Introduction
Dans cet article, je vais traiter d’une attaque en pleine croissance, l’attaque par usurpation de carte SIM, communément appelée SIM swapping en anglais.
Qu’est-ce que le SIM swapping ?
Le SIM swapping est une attaque visant l’un de vos biens les plus précieux que vous avez toujours sur vous, votre cellulaire. La méthode en question consiste à contacter votre opérateur (Bell, Telus, Rogers, etc.), et utiliser des techniques d’ingénierie sociale pour procéder au transfert de votre numéro de téléphone mobile vers une nouvelle carte SIM.
Dés lors que le pirate réussit sa manœuvre frauduleuse, il a la capacité d’usurper votre identité puisque finalement il a accès à toute votre vie numérique.
votre téléphone, cet outil sur lequel vous recevez vos messages texte lors des demandes de type MFA. Et puis, votre numéro de cellulaire est fréquemment utilisé comme identifiant pour la connexion ou la récupération d’accès à divers services en ligne (comptes de réseaux sociaux, banque, fournisseurs, Hydro Québec, etc.)
Il lui reste plus qu’à mettre en place quelques scénarios: vous bloquer en modifiant tout vos mots de passe de tout vos comptes, vider vos comptes bancaires, exploiter tous vos comptes de médias sociaux, professionnels, et accéder à vos données.
Exemple concret / Cas réel
Voici quelques exemples qui ont fait la une des manchettes entre 2019 et 2025 :
10 arrested in SIM swap fraud investigation: Toronto police [1]
«SIM swap»: quand les fraudeurs prennent le contrôle de votre cellulaire à distance [2]
Qu’est-ce que le “Sim swapping”, l’escroquerie qui a permis un vol de 600.000 euros? [3]
À mon sens, celle qui a le plus fait parler d’elle reste celle en direction du CEO de Twitter, Jack Dorsey, en 2019. [4]
Quels sont les principaux signaux d’alerte à surveiller ?
Voici une liste non exhaustive d’éléments qui peuvent être liés à une attaque de SIM swapping :
Vous ne pouvez plus passer d’appel téléphonique, ou votre cellulaire passe hors ligne ;
Vous recevez des courriels en provenance de votre fournisseur indiquant un changement sur votre compte ;
Vous ne pouvez plus accéder à vos comptes courriel, médias sociaux ect. alors que vous n’avez fait aucune modification de vos mots de passe ;
Comment s’en protéger / Bonnes pratiques
Le succès de ce genre d’attaque s’appuie sur une ingénierie sociale convaincante. La personne du côté de l’opérateur est donc le maillon faible. Si elle n’est pas bien formée ou consciente des risques liés à l’ingénierie sociale, elle pourrait transférer votre numéro de téléphone mobile vers une autre carte SIM.
Se protéger de ce type d’attaque commence par s’assurer d’avoir une bonne hygiène numérique. Il faut impérativement vous assurer que vos informations en lien avec votre identité ne soient pas disponibles sur Internet.
L’utilisation du SMS pour les demandes MFA devrait être remplacée par des solutions plus robustes comme FIDO2 associé à un jeton physique tel qu’une clé Yubikey ou similaire.
Rapprochez-vous de votre fournisseur et demandez-lui s’il est possible d’établir un protocole en cas de demande qui porte sur le changement de la carte SIM. Cela peut être un code PIN, un mot de passe au dossier, etc.
Conclusion
Même si votre fournisseur a l’obligation de vérifier votre identité avant de procéder à un changement, les statistiques démontrent une croissance soutenue ces dernières années.
Perte de 26 millions de dollars en 2024 aux États-Unis d’Amérique - Federal Bureau of Investigation, Internet Crime Report 2024
Une augmentation de +1 000 % !! SIM Swap Fraud Surges 1,000%, Causing Billions in Global Losses
Finalement le SIM swapping est populaire et efficace. Il est temps d’utiliser une contre-mesure pour contrer ce type d’attaque. FIDO2 me semble une option viable avec un coût acceptable pour s’en protéger.
Qu’en pensez-vous ?
Commentaires et Discussion
Partagez et discutez
💬 Je suis Yannick Vollenberg , si vous souhaitez participer à la discussion sur les réseaux sociaux. C'est le meilleur moyen de me faire part de vos commentaires et de partager l'article.