Photo illustrant un employé d’un opérateur mobile remettant une carte SIM à un client.

Le phénomène de SIM-swap peut concerner tous les opérateurs, comme Orange, Sfr, Free, Bouygues, etc..

Le SIM Swapping, ou « échange de carte SIM », est une arnaque de plus en plus répandue. Elle permet à un fraudeur de prendre le contrôle de votre ligne téléphonique à distance, sans même toucher à votre téléphone. Voici un guide simple et efficace pour comprendre l’arnaque et s’en prémunir.

🧠 Le SIM swap : C’est quoi ?

 En quelques mots, c’est détourner votre numéro de téléphone !

Le SIM swap, c’est l’un des types d’arnaques les plus sournois qui existent aujourd’hui. Ce n’est ni un virus, ni une attaque de hacker ultra-sophistiquée. C’est une fraude d’usurpation d’identité, qui vise à voler votre ligne mobile… pour ensuite accéder à vos comptes sensibles, notamment vos comptes bancaires et votre argent.

L’escroc ne pirate pas votre téléphone. Il fait bien plus simple : il contacte votre opérateur mobile (Orange, SFR, Free…) en se faisant passer pour vous pour demander une nouvelle carte sim, ou effectuer un changement de forfait avec une portabilité de numéro.

Si l’opérateur ne vérifie pas suffisamment l’identité du fraudeur, il peut accepter la demande. Ce qui pourrait avoir comme résultat le transfert de votre numéro sur la nouvelle carte SIM du fraudeur.

Que faire en cas de doute ?

  1. Appelez votre opérateur pour vérifier d’éventuels changements
  2. En cas de changement avéré, demander une suspension de la ligne active et commandez une nouvelle carte Sim
  3. Contactez votre ou vos banques pour bloquer vos comptes jusqu’à résolution du problème
  4. Connectez-vous à tous vos autres comptes numériques importants pour en changer les mots de passe (mail, crypto, etc..)
  5. Porter plainte en ligne ou commissariat

Pensez à tout protéger :

  • Comptes bancaires et applications bancaires
  • Portefeuilles crypto ou plateformes de trading
  • Comptes e-mail
  • Réseaux sociaux
  • Applications de messagerie (WhatsApp, Telegram, Signal…)
  • Services cloud (Google Drive, iCloud, Dropbox…)
  • Comptes professionnels (CRM, Slack, gestion de projet)
  • Achat en ligne : Services de livraison, VTC ou e-commerce

L’idéal est de faire le tour de l’ensemble de vos comptes en ligne pour les sécuriser. Mettez à jour vos mots de passe, et si la double authentification forte (via Google authenticator ou autre) n’est pas disponible, attendez d’avoir récupéré votre ligne téléphonique avant de réactiver la validation par SMS.

📱 Ce que ça permet à l’usurpateur ?

L’objectif : recevoir à votre place les SMS de vérification pour valider des paiements ou accéder à vos comptes en ligne. En effet, la plupart des banques utilisent encore la double authentification par SMS ou appel vocal pour valider les opérations sensibles.

Une fois que l’escroc à accès à votre ligne mobile, il pourra :

  • Recevoir vos codes de validation par SMS (banque, impôts, e-mails…)
  • Faire des tentatives de connexion sur vos comptes bancaires ou autres services
  • Demander une réinitialisation de mot de passe (en recevant le lien ou le code)
  • Et même vous bloquer complètement hors de vos comptes

En résumé : avec votre ligne, il a tous les outils pour contourner la double authentification et devient maitre de votre vie.

🔍 Comment procèdent les escrocs pour faire ça ?

Le mode opératoire de la personne qui tente de vous voler via la méthode deSIM Swapping se décomposent en quatre grandes étapes :

  1. Collecte d’informations personnelles
  2. Appel à l’opérateur et Activation de la nouvelle SIM
  3. Intrusion dans vos comptes

1. La collecte de vos informations personnelles :

Avant de détourner une ligne téléphonique, les fraudeurs collectent discrètement des informations personnelles dont ils auront besoin pour se faire passer pour vous. Cela va de votre nom à une copie de votre pièce d’identité. De quoi justifier une demande en bonne et due forme auprès de l’opérateur. L’escroc va alors patiemment créer sa petite base de données sur vous avec :

  • nom et prénom
  • date de naissance
  • adresse postale
  • adresse mail
  • numéro de téléphone
  • identifiants clients
  • Iban ou RIB bancaires.
  • Copie de vos pièces d’identité

Comment mes données sont elles accessibles ?

À l’ère du numérique de nombreux moyens peuvent être utilisé pour que l’on vous vole vos données personnelles.  Cela peut commencer sur les réseaux sociaux, en passant par les formulaires douteux sur internet. Voici les différents canaux qui leur permettent d’avoir accès à vos précieuses informations personnelles.

  • Par Phishing (formulaires ou faux e-mails)
  • Les sites douteux qui revendent vos infos (comme les pseudo formations en ligne)
  • Par virus informatique
  • Les piratages de bases de données et fuites de données comme celle de Free en novembre 2024
  • Les réseaux sociaux mal sécurisés
  • La divulgation non autorisé et sécurisé du RIO par un opérateur
  • La complicité interne dans des centres d’appels sous-traités.

Si vous êtes clients Free, vous avez déjà certainement déjà eu pas mal de tentatives d’arnaques en tout genre, comme celle du faux conseiller bancaire.

Exemple 1 : L’appel frauduleux au service client

Un escroc contacte votre opérateur mobile en prétendant avoir perdu, cassé ou s’être fait voler sa carte SIM. Il demande qu’une nouvelle carte soit envoyée et que l’actuelle soit désactivée.

Pour convaincre le service client, il utilise des données personnelles qu’il a obtenues via Internet, des fuites de données, ou du phishing.

Une fois la ligne détournée, il reçoit tous vos appels et SMS, y compris les codes de validation envoyés par votre banque pour confirmer des paiements ou accéder à des opérations sensibles.

Exemple 2 : Le piratage du compte client opérateur

L’escroc parvient à pirater votre espace client chez l’opérateur mobile, souvent grâce à un virus sur votre ordinateur ou un mail piégé imitant les communications officielles de votre opérateur.

Une fois connecté à votre compte, il demande l’activation d’une eSIM sur un appareil de dernière génération. Cette action déclenche l’envoi d’un code de vérification par SMS sur votre téléphone.

Il vous appelle aussitôt, se fait passer pour le support technique, et vous incite à lui transmettre ce code. Une fois le code saisi, votre carte SIM est désactivée et il prend le contrôle total de votre ligne.

Exemple 3 : Le détournement via le code RIO

Le fraudeur obtient votre numéro RIO (Relevé d’Identité Opérateur), un identifiant unique nécessaire pour transférer une ligne téléphonique d’un opérateur à un autre.

En possession de ce code, il lance une portabilité vers un autre opérateur et récupère ainsi votre numéro.

Le RIO peut parfois être accessible directement depuis votre mobile par SMS, ou via votre espace client. Il est donc crucial de ne jamais le communiquer à un tiers, sous aucun prétexte.

2. La récupération de votre ligne chez l’opérateur par le fraudeur :

Une fois ces informations en main, ils contactent l’opérateur en se faisant passer pour la victime, prétextant une perte ou un vol de téléphone. Ils demandent alors l’activation d’une nouvelle carte SIM. Si l’opérateur ne vérifie pas rigoureusement l’identité, la nouvelle carte est activée et l’ancienne désactivée.

3. Intrusion dans vos comptes et votre vie

À ce stade, c’est la catastrophe. L’escroc prend alors le contrôle de votre ligne. Il reçoit vos appels, vos SMS, et surtout vos codes de validation envoyés par la banque ou d’autres services en ligne. Il peut alors réinitialiser vos mots de passe et accéder à tous vos comptes.

  • Il peut maintenant accéder à vos services bancaires
  • Arnaquer vos amis par SMS
  • mettre le bazar dans votre vie

🔐 Comment se protéger du SIM swap

Protégez votre ligne téléphonique

La première chose à faire, est de vous rendre auprès de votre opérateur, en boutique, et de demander un renforcement de sécurisé (demande d’identification renforcée) en ce qui concerne le changement de carte SIM, ou portabilité du numéro. Cela évitera qu’une personne mal intentionné puisse duper l’opérateur avec de simples documents volés.

Certains vous permettent aussi d’ajouter un mot de passe ou un code secret pour bloquer toute modification sans votre accord.

Suivez également les règles suivantes :

  • Ne partagez jamais votre code RIO
  • Ne cliquez pas sur des liens envoyés par SMS
  • Ne donnez jamais de code reçu par message
  • Ne partagez jamais vos données personnelles

Protégez votre compte bancaire en complément

Limiter l’usage du SMS comme méthode de validation pour accéder à vos comptes bancaires est essentiel. Privilégiez les applications d’authentification comme Google Authenticator ou Authy, qui fonctionnent sans utiliser le réseau mobile. Si vous voulez aller encore plus loin, certains outils comme YubiKey permettent une sécurité physique ultra-fiable. Certaines banques permettent aussi l’authentification via leur application.

  • Activez la double authentification via application (Google Authenticator, etc.) plutôt que par SMS
  • Utiliser les applications des banques

⚠️Quels sont les signes d’une attaque SIM swap en cours ?

En cas d’attaque de ce type, votre téléphone n’a plus de réseau sans raison apparente. Si vous recevez aussi des alertes de changement de mot de passe, ou que vous ne pouvez plus vous connecter à vos comptes alors que vos identifiants sont bons, il est temps d’agir. C’est qu’une autre personne contrôle votre ligne.

  • Votre téléphone n’a plus de réseau sans raison
  • Vous recevez des alertes de changements de mot de passe que vous n’avez pas faits
  • Vos identifiants sont rejetés alors qu’ils sont corrects
  • SMS de l’opérateur disant qu’une nouvelle carte SIM a été activée
  • Vos appels et SMS cessent de fonctionner subitement

En cas de doute : Appelez immédiatement votre opérateur pour bloquer votre ligne, et appelez égallement votre ou vos banques pour tout bloquer.

Enfin, surveillez les signes : plus de réseau, messages suspects, alertes de connexion… Le moindre doute doit déclencher une réaction rapide.

🔥Pourquoi cette arnaque cartonne ?

Elle est redoutablement efficace, d’abord parce que beaucoup de services utilisent encore le SMS comme double authentification. Ensuite, parce qu’il est souvent facile pour un fraudeur bien préparé de manipuler un service client : une voix assurée, quelques infos personnelles glanées ici ou là, et le tour est joué. Résultat ? L’escroc prend le contrôle de votre numéro… et peut accéder à vos comptes.

Avoir accès à votre numéro de téléphone, c’est comme avoir le passe partout de votre vie numérique !

🆘 Que faire si vous êtes victime ?

Pas de panique, mais pas de temps à perdre. Appelez votre opérateur pour récupérer votre ligne au plus vite. Prévenez Immédiatement votre banque, changez tous vos mots de passe depuis un appareil sûr, et déposez plainte (en ligne ou en commissariat). Chaque minute compte. En résumé faites comme suit :

  • Contactez votre banque pour bloquer tous vos comptes
  • Modifiez vos mots de passes et accès à vos comptes sensibles, depuis un appareil sûr
  • Demandez un rapport détaillé à votre opérateur sur les circonstances du transfert de SIM.
  • Porter plainte (commissariat ou THESEE).
  • En cas de préjudice important, envisager une action en justice avec un avocat spécialisé.

Porter plainte : pour quels motifs ?

Si vous êtes victime de cette escroquerie, alors vous pourrez sûrement déposer plainte pour :

Infraction Description Référence légale
Usurpation d’identité L’escroc se fait passer pour la victime auprès de l’opérateur, parfois avec de faux documents. Article 226-4-1 du Code pénal
Accès frauduleux à un système de traitement automatisé de données Utilisation frauduleuse de la ligne pour accéder à des comptes (bancaires, e-mails, etc.). Article 323-1 du Code pénal
Escroquerie Argent volé ou opérations financières frauduleuses suite au SIM swap. Article 313-1 du Code pénal
Falsification et usage de faux Documents falsifiés pour tromper l’opérateur (ex : fausse pièce d’identité). Sanction pénale – usage de faux
Vol de données personnelles Utilisation illégale d’informations personnelles issues de fuites ou de phishing. Sanctions prévues par le RGPD (CNIL)

Où et comment porter plainte

  • En ligne : via le service officiel THESEE
  • En gendarmerie ou commissariat : avec toutes les preuves en main (captures, e-mails, détails de l’opérateur, etc.)

⚖️ En cas de SIM swap, l’opérateur est-il responsable ?

En cas de SIM swap frauduleux, l’opérateur peut être partiellement ou totalement responsable, mais cela dépend du contexte précis et de la jurisprudence.

Ce que dit la loi :

Les opérateurs ont une obligation de sécurité vis-à-vis de leurs clients. Cela signifie qu’ils doivent mettre en œuvre des procédures fiables pour vérifier l’identité de toute personne demandant un changement de carte SIM ou un transfert de ligne.

Si un fraudeur parvient à détourner votre ligne parce que l’opérateur a failli dans ses vérifications (ex. : acceptation d’une fausse pièce d’identité ou absence de contrôle renforcé), sa responsabilité peut être engagée. Plusieurs décisions de justice vont dans ce sens, considérant qu’il s’agit d’un manquement à son obligation de sécurité.

Quelques exemples juridiques concrets :

Afin de vous donner une idée des décisions de justice qui peuvent être prises, concernant la responsabilité des opérateurs en cas de fraude à la carte SIM :

Cassation – Chambre commerciale, 20 janvier 2021 (pourvoi n° 19‑11 332)

La Cour de cassation a estimé qu’un opérateur avait manqué à son obligation contractuelle de sécurité en transférant une carte SIM sans vérification suffisante, facilitant ainsi une fraude. Sa responsabilité peut être engagée.

Cour d’appel d’Amiens, 3 janvier 2014 (RG n° 20/06070)

Après un détournement de ligne via changement de SIM, la cour a jugé que l’opérateur n’avait pas respecté les règles de vérification d’identité, ce qui constitue un manquement engageant sa responsabilité.

Cour d’appel de Colmar, 12 avril 2021 (n° 19/03528)

Une fraude via piratage de carte SIM a conduit la cour à retenir la responsabilité de l’opérateur Free, qui n’avait pas mis en œuvre des procédures de sécurité suffisantes.

Tribunal judiciaire de Paris, 18 décembre 2024 (9e chambre, 2e section)

Un usager victime d’un piratage de ligne a obtenu gain de cause : le tribunal a jugé que l’opérateur avait délivré une carte SIM sans vérification sérieuse, ce qui constitue un manquement à son obligation de sécurité.

Ce que dit la jurisprudence

Il existe des cas où des victimes ont obtenu gain de cause contre leur opérateur, notamment lorsque :

  • la procédure de remplacement de SIM était trop légère,
  • le client n’avait jamais été informé des risques,
  • aucune vérification sérieuse d’identité n’avait été faite.

Cependant, si l’opérateur peut prouver qu’il a respecté ses procédures et que la fraude vient de l’ingénierie sociale ou d’une négligence du client (phishing, divulgation d’infos, etc.), alors la responsabilité peut être atténuée, voire rejetée.

Conclusion :

Le SIM swapping exploite notre dépendance au téléphone et à la validation par SMS. Mais avec les bons réflexes et les bons outils, vous pouvez rendre cette technique inoffensive. Mieux vaut prévenir aujourd’hui que perdre demain le contrôle de vos données, de votre argent… et de votre identité numérique.

L’opérateur peut être jugé responsable s’il a manqué à son devoir de vérification. Mais chaque cas est particulier, et tout dépend des preuves et de la chronologie des faits. Il est donc essentiel d’agir vite, de tout documenter et de ne pas hésiter à faire appel à une aide juridique si besoin.