Arnaque à la carte sim : le SIM swapping est-il une réalité en France ?

Plusieurs médias ont laissé la semaine dernière le sentiment d’une recrudescence des arnaques à la carte SIM, à l’occasion du retentissant piratage du patron de Twitter. En quoi consiste cette arnaque et quels risques courez-vous vraiment en France ? C’est ce que nous allons voir ensemble en nous mettant dans la peau d’un escroc…

Qu’est-ce que le SIM Swapping ?

Sim Swapping signifie littéralement remplacement de carte SIM. Cela consiste pour un escroc à associer à votre numéro de téléphone une carte SIM différente de la vôtre. Pour cela, l’arnaqueur doit se faire passer pour vous auprès de votre opérateur et prétexter une perte ou un vol par exemple. Une fois fait, l’escroc reçoit tous les appels et SMS qui vous sont destinés.

Dès lors, il peut violer la sécurité de multiples systèmes qui se basent sur l’envoi de code via SMS. Il peut s’agir de confirmation de paiement par carte mais aussi certains systèmes de récupération de mot de passe. C’est par exemple de cette manière que le patron de Twitter s’est fait pirater son compte. C’est d’ailleurs après cela que la fonctionnalité d’envois de Tweets par SMS a été désactivée.

L’arnaque à la carte SIM est-elle possible en France ?

Oui, elle est possible… mais elle n’est pas simple à mettre en oeuvre et probablement peu intéressante par rapport à ce qu’elle peut rapporter. Si l’on en croit les derniers rapports de l’observatoire de la sécurité des moyens de paiement, elle semble à présent devenue anecdotique. Annoncée comme en recul dans l’avant dernier rapport, elle n’apparaît plus dans le dernier.

Si je veux faire du SIM Swapping en France, comment dois-je m’y prendre ? Pour faire une demande de nouvelle SIM, vous avez 2 possibilités : la demander en boutique ou vous rendre sur votre compte opérateur (Orange, SFR, Free, etc.) pour qu’elle vous soit envoyée. Dans le premier cas, on vous demandera des documents d’identité originaux. Cette méthode nécessiterait donc de voler les documents en question et d’avoir un complice ressemblant à peu près à la personne en photo sur les documents. En d’autres termes, cela paraît peu probable.

Réaliser une arnaque de SIM Swapping via un compte opérateur

La seconde possibilité peut paraître plus réalisable mais elle reste semée d’embûches. Il faut d’abord obtenir les accès de la victime à son compte opérateur. C’est en général possible via des opérations de phishing.

  • On vous envoie un email contenant un lien vers un faux site de votre opérateur…
  • Vous y entrez vos identifiants, persuadé d’être sur le bon site et en faites ainsi cadeau aux escrocs !
  • Une fois en possession de ces identifiants, l’arnaqueur peut commander la nouvelle SIM.
  • Il doit cependant changer au préalable votre adresse pour la recevoir à votre place.

En faisant toutes ces opérations, il y a néanmoins des chances que les pirates finissent par attirer l’attention de la victime… ou même celle de l’opérateur ! Si personne ne s’est aperçu de quoi que ce soit, la procédure d’activation a lieu. L’arnaqueur doit à ce moment l’utiliser au plus vite, la SIM de la victime étant alors désactivée.

La personne arnaquée va en effet se demander ce qui se passe et probablement finir par appeler son opérateur. C’est donc une question d’heures (au plus quelques jours) avant qu’on ne découvre le pot aux roses.

Alors pourquoi tout le monde s’excite à ce sujet ?

Le piratage du patron de Twitter a fait pas mal de bruit et a conduit à énormément de remise en question sur les procédures de sécurité impliquant des SMS. La presse américaine a creusé le sujet pour expliquer le principe du SIM Swapping tel qu’il est pratiqué aux Etats-Unis. Or les procédures de changement de SIM y sont différentes de la France…

Suite à cela, l’AFP (Agence France Presse) a sorti un article sur le sujet plutôt anxiogène. Or elle ne fait que citer des experts américains et ne s’intéresse jamais à la réalité de l’arnaque en France en 2019. Une partie de la presse française a alors repris l’article sans se poser de question…

Comment limiter les risques ?

On l’a vu, les risques pour vous sont en réalité faibles… mais ils ne sont pas complètement nuls ! Des techniques plus avancées peuvent exister, faisant par exemple appel à des complices chez les opérateurs.

Les conseils à retenir sont donc les suivants :

  • Ne cliquez jamais dans un email ou un SMS pour accéder à votre compte opérateur
  • Soyez vigilants par rapport aux messages envoyés par votre opérateur au sujet d’opérations faites sur votre compte : changement d’adresse, changement d’email, demande de nouvelle SIM

Si vous avez été confronté à une arnaque de ce genre, n’hésitez pas à partager votre expérience dans les commentaires !

10 réponses

  1. lor dit :

    Bonjour,
    J’ai été pirater de la même manière et je vous explique pas comment ce justifier auprès de sa banque car ils ont réussi à me voler 500 euros. Après enfin 1 an de démarche dont en dernier recours le médiateur de la banque j’ai réussi à avoir gain de cause.
    Ils avaient donc reçu le code de sécurité par SMS pour valider les paiements.

    • Jean-Baptiste dit :

      Si vous arriviez toujours à utiliser votre carte SIM, c’est que ce n’est pas de cette arnaque dont vous avez été victime.

      Un classique est qu’il y ait une application malveillante sur le téléphone qui fasse suivre les SMS de validation reçus aux escrocs.

  2. Yousfi dit :

    Ces fameux pirates ont aucune morale et ni respect accéder aux données personnelles. Sans être prétentieux cela ne m’intéresse pas d’avoir des données personnelles d’un tiers pourquoi faire le nuire sûrement pas.

  3. moncorgé dit :

    j’ai été victime de l’arnaque suivante:
    1-victime de phising, j’ai communiqué mes coordonnées bancaires.
    2-mon mobile free a cessé de fonctionner.
    3 une commande c discount d’un tiers m’a été imputée.
    4 ma banque refuse de prendre à sa charge cette dépense (commande confirmée par sms sur mobile)
    5 ma banque accepte de prendre en charge la dépense quand je lui est eu communiqué les échanges de mails avec free pour rétablir ma carte sim .
    Si je suis bien renseigné , chez free il suffit de se présenter dans un de leur centre avec le code confidentiel pour changer la carte sim (pas de contrôle d’identité, pas d’information par e mail du changement de carte sim.)

    • Bonjour,

      Votre cas est intéressant puisque cela ressemble en effet bien à une arnaque à la carte SIM.

      Quelques questions cependant :
      – quand cela vous est-il arrivé ?
      – vous dites « chez free il suffit de se présenter dans un de leur centre avec le code confidentiel pour changer la carte sim ». De quel code confidentiel parlez-vous ?

  4. N2N2O dit :

    Vous croyez que les banques et les GAFAM ont une morale ?
    Je me suis fait arnaquer de près de 15000 euros par ma propre banque avec des assurances vie bidons !
    Assurance du Crédit Mutuel ! ACM VIE !
    Vous saviez que la femme du grand président du Crédit Mutuel travaille à la CNIL ?
    Que le le Crédit Mutuel a racheté COFIDIS ?

  5. N2N2O dit :

    Merci à l’équipe de Stop Arnaques !
    On en append tous les jours !

  6. Gwen dit :

    J’ai été pirater debut juillet par des changement de cartes SIM fait à Lyon alors que j’habite en Bretagne. j’ai été piratée de mon compte bancaire 2 fois (j’ai fais opposition sur ma carte la 1ere et 2eme fois). La première fois plusieurs achat à entre 10€ et 100€, la deuxième fois un mois après via un numéro virtualis du CMB. J’ai également été piratée sur un compte pro où un bénéficiaire s’est créé et s’est fait un virement de 1000€.
    J’ai galéré pendant 3 mois entre SFR, la banque et la gendarmerie. Aujourd’hui une enquête est en cours pour usurpation d’identité.
    L’arnaque à la carte SIM existe réellement en France

    • Oui, comme nous le disions, les risques sont faibles et globalement en recul mais ils existent malheureusement toujours.

      Pouvez-nous en dire plus sur votre cas ? Qu’est ce qui vous a alerté en premier ? Les problèmes sur votre mobile ou les prélèvements indus ?

      Quelles explications vous ont été fournies par SFR ?

  7. Herbert dit :

    Je constate que Jean-Baptiste demande patiemment des explications aux victimes d’arnaques, ou ceux qui se prétendent telles, mais ne reçoit aucune réponse. De la à conclure que ces messages soient le fait de mythomanes, il n’y a qu’un pas que je franchis allègrement.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *