SIM swapping: voici comment vous protéger

Une coupure soudaine du réseau, des activités suspectes sur votre compte ou des SMS inconnus de la part de votre opérateur de téléphonie mobile peuvent laisser penser à une attaque par SIM swapping. Mais de quoi s’agit-il? Et surtout, comment s’en prémunir? 

Avec le SIM swapping, des criminels s’emparent de votre numéro de téléphone pour accéder à vos services bancaires en ligne, à vos comptes de messagerie et à d’autres services. Souvent, les victimes ne s’en rendent compte que lorsqu’il est trop tard, ce qui met en péril non seulement leurs données personnelles, mais aussi leurs finances. En connaissant ce type de cyberattaque, vous pourrez mieux identifier les signes avant-coureurs et prendre les mesures qui s’imposent.

Qu’est-ce que le SIM swapping?

Le SIM swapping est un nouveau type de cybercriminalité. Avec cette escroquerie, les criminels tentent de transférer le numéro de téléphone d’une victime sur une nouvelle carte SIM. Ils ont ainsi accès aux SMS de la victime, à ses appels et, souvent, à des comptes personnels qui utilisent une authentification à deux facteurs sur le téléphone portable, comme la banque en ligne ou les services de messagerie électronique. 

Comment fonctionne une attaque par SIM swapping

Les criminels utilisent différentes méthodes pour prendre le contrôle d’un numéro de téléphone. 

• Phishing et ingénierie sociale: les pirates se font passer pour les collaborateurs d’un opérateur de téléphonie mobile ou utilisent des e-mails de phishing pour accéder à des données personnelles. 
• Fuite de données et usurpation d’identité: les données personnelles qui sont déjà en circulation sur Internet sont utilisées pour falsifier une preuve d’identité. 
• Manipulation de l’opérateur de téléphonie mobile: sur la base des informations obtenues, les escrocs demandent une nouvelle carte SIM pour le numéro de téléphone de la victime. Une fois la nouvelle carte activée, le ou la propriétaire perd le contrôle de son numéro. 

Pourquoi le SIM swaping est-il dangereux?

Dès que les escrocs ont pris le contrôle d’un numéro de téléphone grâce au SIM swapping, ils peuvent théoriquement accéder à des comptes protégés par un code TAN ou un code de sécurité SMS envoyés à ce numéro. En reprenant le numéro de téléphone, ils peuvent se connecter aux différents comptes concernés. Les conséquences peuvent alors varier d’un compte à l’autre. En voici quelques exemples: 

• Comptes de messagerie électronique (p. ex. Gmail, Outlook): accès au compte e-mail grâce à la réinitialisation du mot de passe et à l’interception du deuxième facteur d’authentification 
• Réseaux sociaux (p. ex. Facebook, Instagram, LinkedIn): diffusion de messages de phishing ou d’autres escroqueries au nom de la victime et avec son numéro de téléphone 
• Comptes bancaires ou services de paiement (p. ex. Paypal, Twint): paiements effectués en reliant le compte bancaire de la victime au numéro de téléphone passé sous le contrôle de l’escroc 
• Services de cloud (p. ex. Google Drive, iCloud): accès aux documents, aux photos et aux données personnelles après réinitialisation du mot de passe et interception du deuxième facteur d’authentification 

Les signes d’un SIM swapping

Une attaque par SIM swapping survient souvent de manière inattendue, et c’est précisément ce qui la rend si dangereuse. Mais certains signaux peuvent vous alerter. 

Soudain, vous n’avez plus de réseau:

• Votre téléphone affiche «Pas de réseau» ou «Appels d’urgence uniquement», bien qu’aucune perturbation ne soit connue chez votre opérateur de téléphonie mobile. Vous ne recevez plus d’appels téléphoniques ni de SMS. 

Activités inhabituelles sur le compte:

• Vous recevez des notifications par e-mail sur des tentatives de connexion ou des connexions à des services en ligne que vous n’avez jamais effectuées. Vous recevez une confirmation de la réinitialisation de vos mots de passe ou de modifications apportées à votre compte. 

Messages inattendus de votre opérateur:

• Vous recevez un SMS ou un e-mail confirmant votre «nouvelle carte SIM» ou l’activation de cette carte, alors que vous n’avez pas demandé de nouvelle carte. 

SMS ou e-mails suspects de banques et de services en ligne:

• Vous recevez des alertes sur de nouveaux appareils qui se connectent à votre compte ou sur des tentatives infructueuses de connexion. 

Quelles sont les conséquences du SIM swapping?

Une attaque par SIM swapping peut avoir de graves conséquences. Comme de nombreux services en ligne utilisent votre numéro de téléphone pour vérifier votre identité, les escrocs disposent d’un large accès aux données sensibles et aux comptes bancaires s’ils arrivent à contrôler la carte SIM. Les conséquences peuvent aller du préjudice financier à l’usurpation d’identité. 

Pertes financières

• Les escrocs peuvent se connecter à la banque en ligne de leurs victimes, car ils sont en mesure d’intercepter les TAN envoyés par SMS ou les codes de vérification. Ils peuvent ainsi effectuer des virements sur des comptes tiers ou des achats en ligne aux frais de leurs victimes. 

Usurpation d’identité

• Les escrocs utilisent le numéro de téléphone volé pour accéder à des réseaux sociaux, à des comptes de messagerie électronique ou à des services de cloud. Les données personnelles peuvent en outre être utilisées abusivement pour conclure des contrats ou des abonnements. En connaissant l’identité de la victime, il est aussi possible de créer de faux profils ou d’envoyer des messages frauduleux. 

Atteinte durable à votre sécurité en ligne

• Les comptes piratés sont souvent difficiles à récupérer, en particulier lorsque des paramètres tels que les adresses e-mail ou les numéros de téléphone sont modifiés. L’accès à des comptes de messagerie électronique permet aux escrocs de réinitialiser d’autres mots de passe et ainsi d’accéder à des comptes en ligne supplémentaires. 

Conséquences juridiques et organisationnelles

• Si des cybercriminels commettent des actes frauduleux en votre nom, vous pouvez avoir des problèmes juridiques. Le processus de récupération d’un compte prend souvent du temps et nécessite beaucoup de coordination avec les banques, les opérateurs de téléphonie mobile et les plates-formes concernées. 

Mesures de protection contre le SIM swapping 

Étant donné que de nombreux services en ligne utilisent le numéro de téléphone comme critère de sécurité, il est essentiel de se protéger contre le SIM swapping. Heureusement, il existe plusieurs possibilités. 

Utiliser d’autres méthodes d’authentification 

• Utilisez une authentification sécurisée à deux facteurs (2FA), comme Google Authenticator ou Authy pour renforcer la protection de vos identifiants. Ainsi, voler un mot de passe ne suffit plus. 

• Renseignez-vous auprès de votre banque pour des solutions plus sûres: de nombreuses banques proposent aujourd’hui des Push TAN ou des appareils spéciaux (tokens), qui vous protégeront nettement mieux qu’un SMS. 

Sécuriser son compte de téléphonie mobile

• Activez le code de sécurité pour la carte SIM: de nombreux opérateurs proposent de bloquer l’échange de cartes SIM. Ainsi, vous empêcherez le transfert de votre carte SIM vers un autre appareil sans votre consentement. 

• Définissez un code PIN pour le service clientèle: ce code personnel vous protégera contre l’usurpation d’identité et vous sera demandé lorsque vous appelez votre opérateur. 

Protéger ses données personnelles 

• Ne divulguez pas votre numéro de téléphone: ne publiez pas votre numéro sur les réseaux sociaux, dans les forums ou dans des commentaires. Vous éviterez ainsi qu’il ne tombe en de mauvaises mains. 
• Attention aux tentatives d’escroquerie: ne cliquez pas sans réfléchir sur des liens contenus dans des e-mails ou des SMS. Si on vous appelle, ne communiquez pas de données personnelles sans avoir vérifié qui vous appelle, même si votre interlocuteur vous semble digne de confiance. 

Effectuer des contrôles de sécurité réguliers

• Gardez un œil sur vos comptes bancaires et en ligne: contrôlez régulièrement les mouvements de votre compte afin de repérer à temps les transactions suspectes ou inconnues. 
• Utilisez des mots de passe forts et individuels: un mot de passe sûr et différent pour chaque compte. Le mieux est d’utiliser un gestionnaire de mots de passe qui enregistre vos données d’accès en toute sécurité. 
• Configurez des messages d’alerte: activez les notifications en cas d’activité suspecte. Par exemple, si vous constatez une nouvelle connexion à votre compte ou si les paramètres sont modifiés. Vous serez immédiatement informé en cas de problème. 

J’ai été victime de SIM swapping: que faire?

En cas de soupçon de SIM swapping, il faut agir vite. Plus tôt vous agissez, plus grandes sont vos chances de limiter le dommage. 

1. Contactez tout de suite votre opérateur mobile

• Appelez le service client de votre opérateur et expliquez-lui la situation. 
• Faites bloquer la carte SIM inconnue et demandez-en une nouvelle. 

Deuxième Changez immédiatement vos mots de passe

• Réinitialisez les mots de passe de vos comptes e-mail, de banque en ligne et de réseaux sociaux et choisissez des mots de passe uniques, longs et complexes. 
• Si vous utilisez un code TAN par SMS pour la banque en ligne, informez votre banque que vous avez été victime d’une escroquerie ou d’une tentative d’escroquerie. 

3. Informez votre banque et les prestataires concernés

• Faites vérifier vos cartes et vos accès à la banque en ligne. 
• Signalez l’incident à tous les services en ligne concernés et faites sécuriser vos comptes. 
• Si votre numéro de téléphone a été utilisé pour une authentification à deux facteurs (2FA), faites-la mettre à jour en utilisant une autre méthode. 

4. Déposez plainte

• Signalez l’escroquerie à la police. 
• Documentez tous les e-mails, SMS ou tentatives de connexion suspects comme preuves. 
• Si vous avez subi un préjudice financier, vérifiez auprès de votre banque ou de votre assurance si vous pouvez bénéficier d’un remboursement.