Arnaque à la carte sim : le SIM swapping est-il possible en France ?

Plusieurs médias ont laissé la semaine dernière le sentiment d’une recrudescence des arnaques à la carte SIM, à l’occasion du retentissant piratage du patron de Twitter. En quoi consiste cette arnaque et quels risques courez-vous vraiment en France ? C’est ce que nous allons voir ensemble en nous mettant dans la peau d’un escroc…

Qu’est-ce que le SIM Swapping ?

Sim Swapping signifie littéralement remplacement de carte SIM. Cela consiste pour un escroc à associer à votre numéro de téléphone une carte SIM différente de la vôtre. Pour cela, l’arnaqueur doit se faire passer pour vous auprès de votre opérateur et prétexter une perte ou un vol par exemple. Une fois fait, l’escroc reçoit tous les appels et SMS qui vous sont destinés.

Dès lors, il peut violer la sécurité de multiples systèmes qui se basent sur l’envoi de code via SMS. Il peut s’agir de confirmation de paiement par carte mais aussi certains systèmes de récupération de mot de passe. C’est par exemple de cette manière que le patron de Twitter s’est fait pirater son compte. C’est d’ailleurs après cela que la fonctionnalité d’envois de Tweets par SMS a été désactivée.

L’arnaque à la carte SIM est-elle possible en France ?

Oui, elle est possible… mais elle n’est pas simple à mettre en oeuvre et probablement peu intéressante par rapport à ce qu’elle peut rapporter. Si l’on en croit les derniers rapports de l’observatoire de la sécurité des moyens de paiement, elle semble à présent devenue anecdotique. Annoncée comme en recul dans l’avant dernier rapport, elle n’apparaît plus dans le dernier.

Si je veux faire du SIM Swapping en France, comment dois-je m’y prendre ? Pour faire une demande de nouvelle SIM, vous avez 2 possibilités : la demander en boutique ou vous rendre sur votre compte opérateur (Orange, SFR, Free, etc.) pour qu’elle vous soit envoyée. Dans le premier cas, on vous demandera des documents d’identité originaux. Cette méthode nécessiterait donc de voler les documents en question et d’avoir un complice ressemblant à peu près à la personne en photo sur les documents. En d’autres termes, cela paraît peu probable.

Réaliser une arnaque de SIM Swapping via un compte opérateur

La seconde possibilité peut paraître plus réalisable mais elle reste semée d’embûches. Il faut d’abord obtenir les accès de la victime à son compte opérateur. C’est en général possible via des opérations de phishing.

  • On vous envoie un email contenant un lien vers un faux site de votre opérateur…
  • Vous y entrez vos identifiants, persuadé d’être sur le bon site et en faites ainsi cadeau aux escrocs !
  • Une fois en possession de ces identifiants, l’arnaqueur peut commander la nouvelle SIM.
  • Il doit cependant changer au préalable votre adresse pour la recevoir à votre place.

En faisant toutes ces opérations, il y a néanmoins des chances que les pirates finissent par attirer l’attention de la victime… ou même celle de l’opérateur ! Si personne ne s’est aperçu de quoi que ce soit, la procédure d’activation a lieu. L’arnaqueur doit à ce moment l’utiliser au plus vite, la SIM de la victime étant alors désactivée.

La personne arnaquée va en effet se demander ce qui se passe et probablement finir par appeler son opérateur. C’est donc une question d’heures (au plus quelques jours) avant qu’on ne découvre le pot aux roses.

Alors pourquoi tout le monde s’excite à ce sujet ?

Le piratage du patron de Twitter a fait pas mal de bruit et a conduit à énormément de remise en question sur les procédures de sécurité impliquant des SMS. La presse américaine a creusé le sujet pour expliquer le principe du SIM Swapping tel qu’il est pratiqué aux Etats-Unis. Or les procédures de changement de SIM y sont différentes de la France…

Suite à cela, l’AFP (Agence France Presse) a sorti un article sur le sujet plutôt anxiogène. Or elle ne fait que citer des experts américains et ne s’intéresse jamais à la réalité de l’arnaque en France en 2019. Une partie de la presse française a alors repris l’article sans se poser de question…

Comment limiter les risques ?

On l’a vu, les risques pour vous sont en réalité faibles… mais ils ne sont pas complètement nuls ! Des techniques plus avancées peuvent exister, faisant par exemple appel à des complices chez les opérateurs.

Les conseils à retenir sont donc les suivants :

  • Ne cliquez jamais dans un email ou un SMS pour accéder à votre compte opérateur
  • Soyez vigilants par rapport aux messages envoyés par votre opérateur au sujet d’opérations faites sur votre compte : changement d’adresse, changement d’email, demande de nouvelle SIM

Si vous avez été confronté à une arnaque de ce genre, n’hésitez pas à partager votre expérience dans les commentaires !

14 réponses

  1. lor dit :

    Bonjour,
    J’ai été pirater de la même manière et je vous explique pas comment ce justifier auprès de sa banque car ils ont réussi à me voler 500 euros. Après enfin 1 an de démarche dont en dernier recours le médiateur de la banque j’ai réussi à avoir gain de cause.
    Ils avaient donc reçu le code de sécurité par SMS pour valider les paiements.

    • Jean-Baptiste dit :

      Si vous arriviez toujours à utiliser votre carte SIM, c’est que ce n’est pas de cette arnaque dont vous avez été victime.

      Un classique est qu’il y ait une application malveillante sur le téléphone qui fasse suivre les SMS de validation reçus aux escrocs.

    • bonjour j’ai eu le cas que vous et moi il mon voler 4400€ et le médiateur de la banque dit que la banque n’ai pas fautive et me renvois direct j’ai écris au procureur de la république pour savoir ou en ai l’enquête dommage je ne trouve pas d’avocat spécialisé dans le domaine de la fraude bancaire c’est dur dur

    • bonjour LOR comment avez vous fait pour être remboursé

      cordialement mr ivars

  2. Yousfi dit :

    Ces fameux pirates ont aucune morale et ni respect accéder aux données personnelles. Sans être prétentieux cela ne m’intéresse pas d’avoir des données personnelles d’un tiers pourquoi faire le nuire sûrement pas.

  3. moncorgé dit :

    j’ai été victime de l’arnaque suivante:
    1-victime de phising, j’ai communiqué mes coordonnées bancaires.
    2-mon mobile free a cessé de fonctionner.
    3 une commande c discount d’un tiers m’a été imputée.
    4 ma banque refuse de prendre à sa charge cette dépense (commande confirmée par sms sur mobile)
    5 ma banque accepte de prendre en charge la dépense quand je lui est eu communiqué les échanges de mails avec free pour rétablir ma carte sim .
    Si je suis bien renseigné , chez free il suffit de se présenter dans un de leur centre avec le code confidentiel pour changer la carte sim (pas de contrôle d’identité, pas d’information par e mail du changement de carte sim.)

    • Bonjour,

      Votre cas est intéressant puisque cela ressemble en effet bien à une arnaque à la carte SIM.

      Quelques questions cependant :
      – quand cela vous est-il arrivé ?
      – vous dites “chez free il suffit de se présenter dans un de leur centre avec le code confidentiel pour changer la carte sim”. De quel code confidentiel parlez-vous ?

  4. N2N2O dit :

    Vous croyez que les banques et les GAFAM ont une morale ?
    Je me suis fait arnaquer de près de 15000 euros par ma propre banque avec des assurances vie bidons !
    Assurance du Crédit Mutuel ! ACM VIE !
    Vous saviez que la femme du grand président du Crédit Mutuel travaille à la CNIL ?
    Que le le Crédit Mutuel a racheté COFIDIS ?

  5. N2N2O dit :

    Merci à l’équipe de Stop Arnaques !
    On en append tous les jours !

  6. Gwen dit :

    J’ai été pirater debut juillet par des changement de cartes SIM fait à Lyon alors que j’habite en Bretagne. j’ai été piratée de mon compte bancaire 2 fois (j’ai fais opposition sur ma carte la 1ere et 2eme fois). La première fois plusieurs achat à entre 10€ et 100€, la deuxième fois un mois après via un numéro virtualis du CMB. J’ai également été piratée sur un compte pro où un bénéficiaire s’est créé et s’est fait un virement de 1000€.
    J’ai galéré pendant 3 mois entre SFR, la banque et la gendarmerie. Aujourd’hui une enquête est en cours pour usurpation d’identité.
    L’arnaque à la carte SIM existe réellement en France

    • Oui, comme nous le disions, les risques sont faibles et globalement en recul mais ils existent malheureusement toujours.

      Pouvez-nous en dire plus sur votre cas ? Qu’est ce qui vous a alerté en premier ? Les problèmes sur votre mobile ou les prélèvements indus ?

      Quelles explications vous ont été fournies par SFR ?

  7. Herbert dit :

    Je constate que Jean-Baptiste demande patiemment des explications aux victimes d’arnaques, ou ceux qui se prétendent telles, mais ne reçoit aucune réponse. De la à conclure que ces messages soient le fait de mythomanes, il n’y a qu’un pas que je franchis allègrement.

  8. cjl dit :

    Sur internet depuis 25 ans, je gère mes comptes bancaires en ligne depuis que c’est possible, fais des achat fréquents, même à l’étranger. J’ai bien sûr eu quelques litiges avec des vendeurs un peu limites, mais jamais je n’ai perdu un centime. Quelques règles simples : toujours vérifier la réalité et la réputation d’un vendeur ainsi que les moyens de paiement proposés, ne jamais donner plus d’informations personnelles que n’en nécessite la transactions, le téléphone fixe qui est dans l’annuaire OK, le portable c’est non, ne jamais se connecter à un espace client depuis le lien d’un mail, toujours accéder par la page du site officiel, vérifier l’origine des messages, laisser le moins de traces possibles sur le net. Je ne donnes jamais suite au offres des généreux donnateurs, loteries dont je suis le gagnant sans avoir joué, appels au secours d’amis peu soucieux de la sécurité de leurs données… Eviter toutes les trop bonnes affaires. Une sécurisation sans concession des outils informatiques

  9. Jicé60 dit :

    /!\ N’utilisez JAMAIS le vrai numéro de votre carte bleue sur internet. Utilisez TOUJOURS un nouveau numéro virtuel ( type ” Payweb Card ” au Crédit Mutuel ) que vous téléchargez sur le site de votre banque. Celui-ci n’est utilisable qu’une fois et pour un seul règlement, et aucun lien ne peut être établi avec votre compte. Je me suis bien fais avoir une fois, suite à un règlement par carte avec mon véritable numéro de CB sur site de C.Discount qui avait été piraté, et ça m’a servi de leçon !!!

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *