Bob activait le 2FA partout depuis que son conseiller bancaire le lui avait recommandé. Code par SMS, chaque fois. Il se sentait protégé. Jusqu’au jeudi matin où son téléphone n’avait plus de signal.
Il a pensé à une panne de réseau. Il a attendu. Rien.
Ce qu’il ne savait pas encore : son compte Desjardins était en train d’être vidé. En 40 minutes, un inconnu avait transféré 18 400$ vers un compte externe. Le code SMS de confirmation? Il le recevait, lui — sur le numéro de Bob, maintenant redirigé vers sa propre SIM.
Bienvenue dans le monde du SIM swapping.
C’est quoi exactement le SIM swapping
Votre numéro de téléphone, c’est comme une adresse postale. Il peut être redirigé vers une autre SIM — c’est exactement ce qui se passe quand vous perdez votre téléphone et appelez votre opérateur pour transférer votre numéro sur un nouveau téléphone.
C’est utile. C’est aussi la faille.
Voici comment l’attaque se déroule, étape par étape :
1. L’arnaqueur récolte vos infos personnelles. Il commence par vous chercher en ligne. Votre nom complet sur Facebook, votre date de naissance sur Instagram, votre adresse sur un vieux post. Le reste — NAS partiel, numéro de compte — vient de fuites de données comme celle de Desjardins 2019 qui a exposé 4,2 millions de membres.
2. Il appelle votre opérateur mobile. Vidéotron, Bell, Fido, Telus — peu importe. Il se fait passer pour vous. Prétexte classique : “J’ai perdu mon téléphone, j’ai besoin de transférer mon numéro sur une nouvelle SIM.”
3. Il passe les questions de sécurité. L’agent du service client pose des questions de vérification. Date de naissance? L’arnaqueur l’a. Adresse? Il l’a. Parfois c’est suffisant. Parfois il faut 2-3 tentatives avec différents agents — certains sont plus stricts que d’autres. Il essaie jusqu’à ce que ça passe.
4. Votre numéro est transféré. En quelques minutes, votre téléphone perd tout signal. Le mot “SOS” apparaît dans le coin. Vous n’avez plus de réseau. L’arnaqueur, lui, reçoit maintenant tous vos SMS.
5. La cascade commence. Il va sur votre banque en ligne : “Mot de passe oublié”. Votre numéro est entré. Le code de vérification arrive — sur son téléphone. Il crée un nouveau mot de passe. Il est dans votre compte.
Même processus pour Gmail, Outlook, Facebook, Amazon, Crypto.com. Tout ce qui utilise votre numéro comme méthode de récupération ou de 2FA devient sa propriété.
Bob a récupéré une partie de son argent après des semaines de démarches. Son opérateur a ajouté un code PIN de sécurité — ce qui aurait tout empêché depuis le début.
Pourquoi c’est si dévastateur
Le SMS comme méthode de vérification repose sur une seule hypothèse : vous seul contrôlez votre numéro.
Quand cette hypothèse tombe, tout tombe avec elle.
Ce qui rend le SIM swapping particulièrement vicieux, c’est que l’attaque ne laisse aucune trace visible sur votre téléphone avant qu’il soit trop tard. Votre appareil perd simplement le signal. Vous pouvez attendre 30 minutes en pensant à une panne. Pendant ce temps, l’arnaqueur a eu tout le temps qu’il lui faut.
Et les dommages s’accumulent vite. Email compromis → accès aux comptes liés à cet email → accès aux comptes avec récupération par email → cascade totale.
La bonne nouvelle : il existe mieux. Et c’est pas compliqué.
Les 4 types de 2FA — comparatif complet
Toutes les méthodes de double authentification ne se valent pas. Voici un tableau honnête :
| Méthode | Sécurité | Facilité | Coût | Résistant SIM swap |
|---|---|---|---|---|
| SMS | ⚠️ Faible | ✅ Très facile | Gratuit | ❌ Non |
| App TOTP (Aegis, Google Auth) | ✅ Bonne | ✅ Facile | Gratuit | ✅ Oui |
| Clé physique (YubiKey) | ✅✅ Excellente | ⚠️ Modérée | 70-90$ CAD | ✅ Oui |
| Passkey | ✅✅ Excellente | ✅ Très facile | Gratuit | ✅ Oui |
Le SMS reste mieux que rien — soyons honnêtes. Si vous n’avez pas de raison particulière d’être ciblé, le risque de SIM swapping ciblé est faible. Mais pour vos comptes critiques, il existe clairement mieux.
Les passkeys sont la direction que prend l’industrie. Google, Apple, Microsoft les supportent déjà. Plutôt que d’un code à taper, votre téléphone ou ordinateur confirme votre identité par biométrie. Rien n’est envoyé par SMS, rien ne peut être intercepté.
Comment activer Aegis (Android) ou Raivo (iPhone) — guide étape par étape
Aegis est gratuit, open-source, et le meilleur choix sur Android. Raivo est l’équivalent sur iPhone. Voici comment les configurer.
Sur Android — Aegis Authenticator
Étape 1 : Installer Aegis Ouvrez le Play Store. Cherchez “Aegis Authenticator”. L’icône est un bouclier bleu. Installez-le — gratuit, sans compte requis.
Étape 2 : Configurer le chiffrement Au premier lancement, Aegis vous demande de créer un mot de passe ou d’utiliser votre empreinte digitale pour chiffrer vos codes. Faites-le. C’est ce qui protège vos codes si quelqu’un prend votre téléphone.
Étape 3 : Ajouter votre premier compte
- Allez sur le site que vous voulez sécuriser (ex: Gmail)
- Trouvez “Sécurité” → “Validation en deux étapes” → “Application Authenticator”
- Le site vous montrera un QR code
- Dans Aegis, appuyez sur le ”+” en bas à droite
- Scannez le QR code
- Voilà. Un code à 6 chiffres qui change toutes les 30 secondes apparaît.
Étape 4 : Sauvegarder vos codes Allez dans les réglages d’Aegis → Sauvegardes → Activer la sauvegarde automatique. Choisissez Google Drive ou un dossier local. Si vous perdez votre téléphone, vous pourrez restaurer tous vos codes.
Sur iPhone — Raivo OTP
Étape 1 : Installer Raivo App Store → cherchez “Raivo OTP”. Icône rouge. Gratuit, open-source.
Étape 2 : Créer un PIN ou utiliser Face ID Au premier lancement, configurez un code d’accès ou Face ID. Activez aussi la sauvegarde iCloud (chiffrée avec votre PIN — Apple ne peut pas y accéder).
Étape 3 : Scanner le QR code Même processus que Aegis. Sur le site cible → Sécurité → Application Authenticator → QR code → Raivo → ”+” → Scanner.
Étape 4 : Codes de récupération Chaque service vous donne des codes de récupération au moment d’activer le 2FA. Sauvegardez-les. Pas dans vos notes iPhone non chiffrées — dans votre gestionnaire de mots de passe (Bitwarden, 1Password) ou imprimés et rangés quelque part sûr.
Les comptes à protéger en priorité absolue
Tous les comptes ne sont pas égaux. Certains compromis ouvrent des portes sur tout le reste.
1. Votre email principal. C’est la clé maîtresse. Presque tout peut être réinitialisé par email. Si quelqu’un a accès à votre Gmail ou Outlook, il peut prendre le contrôle de tout le reste. Priorité numéro 1.
2. Votre gestionnaire de mots de passe. Bitwarden, 1Password, Dashlane — si celui-ci tombe, tous vos mots de passe tombent. Activez le 2FA par app, pas par SMS.
3. Vos comptes bancaires. Desjardins, BMO, TD, RBC. La plupart offrent encore principalement le SMS comme 2FA — dans ce cas, protégez votre numéro de téléphone directement chez votre opérateur avec un NIP de sécurité.
4. Apple ID / Google Account. Ces comptes contrôlent votre téléphone. Quelqu’un qui accède à votre Apple ID peut effacer votre iPhone à distance, voir vos photos iCloud, accéder à vos mots de passe sauvegardés.
5. Vos réseaux sociaux. Facebook et Instagram en particulier — pas pour la valeur du compte lui-même, mais parce qu’ils servent souvent de connexion (“Sign in with Facebook”) pour des dizaines d’autres services.
Sophie, graphiste à Québec, a perdu l’accès à son compte Instagram de 12 000 abonnés. Pas de 2FA par app. Quelqu’un a pris le contrôle, changé l’email, le numéro — elle n’a jamais récupéré le compte.
Que faire si ton numéro a été swappé — plan d’urgence
Si votre téléphone perd soudainement tout signal et que vous n’avez pas changé d’opérateur, agissez immédiatement.
Dans les 5 premières minutes :
- Connectez-vous au WiFi (votre téléphone fonctionne toujours, juste sans réseau cellulaire)
- Ouvrez votre app bancaire et changez votre mot de passe immédiatement depuis le WiFi
- Activez un verrouillage temporaire sur vos cartes si votre app le permet
Appelez votre opérateur mobile :
- Vidéotron : 1-888-433-6876
- Bell : 1-800-667-0123
- Fido : 1-888-945-3436
- Telus : 1-866-558-2273
Expliquez qu’une fraude de SIM swapping est en cours. Demandez le gel immédiat de votre numéro et le retransfer sur votre SIM d’origine.
Dans l’heure :
- Changez les mots de passe de tous vos comptes critiques (email, banque, Apple ID / Google)
- Appelez votre banque pour signaler une possible fraude et faire surveiller les transactions
- Activez des alertes de transactions sur tous vos comptes
Dans les 24 heures :
- Signalez au Centre antifraude du Canada : 1-888-495-8501
- Portez plainte à la police locale (vous aurez besoin du numéro de rapport pour votre banque)
- Vérifiez si d’autres comptes ont été accédés (regardez les logs de connexion dans Gmail, Facebook, etc.)
Prévenir une récidive : Une fois le numéro récupéré, appelez votre opérateur et demandez l’ajout d’un NIP de sécurité sur votre compte. Aucun transfert de SIM ne pourra se faire sans ce code, même si l’agent est convaincu par un arnaqueur.
Protéger votre numéro directement chez votre opérateur
Même si vous passez à une app 2FA pour vos comptes en ligne, votre numéro de téléphone reste un vecteur d’attaque potentiel. Ajoutez une couche directement chez votre opérateur.
Vidéotron : Appelez le service client ou allez dans Mon compte Vidéotron → Sécurité → ajoutez un code d’accès téléphonique.
Bell : Appelez le 1-800-667-0123 et demandez l’ajout d’un “code de sécurité pour transfert de numéro”.
Fido / Rogers : Même démarche — ils appellent ça un “NIP de compte” ou “code d’accès”.
Ce code supplémentaire signifie que même si un arnaqueur connaît votre date de naissance et votre adresse, il ne peut pas transférer votre numéro sans ce NIP. C’est gratuit. Ça prend 5 minutes. Faites-le aujourd’hui.
Migrer vers une app 2FA — les erreurs à éviter
Marc-André a mis 3 heures à migrer tous ses comptes vers Aegis. Il a failli se bloquer hors de son propre compte Gmail parce qu’il avait désactivé le 2FA SMS avant d’avoir scanné le QR code dans l’app.
Voici les erreurs classiques à éviter :
Erreur 1 : Désactiver l’ancien 2FA avant d’activer le nouveau. Toujours activer l’app TOTP d’abord, vérifier que les codes fonctionnent, puis désactiver le 2FA SMS. Jamais l’inverse.
Erreur 2 : Ne pas sauvegarder les codes de récupération. Chaque service vous donne 10-12 codes de récupération à usage unique quand vous activez le 2FA. Ce sont vos bouées de secours si vous perdez votre téléphone. Sauvegardez-les dans Bitwarden ou 1Password, ou imprimez-les et rangez-les dans un endroit sûr physiquement.
Erreur 3 : Tout migrer en une seule séance sans vérifier. Faites un compte à la fois. Activez le 2FA par app. Déconnectez-vous. Reconnectez-vous. Vérifiez que ça fonctionne. Seulement alors, passez au suivant.
Erreur 4 : Utiliser la même app sur plusieurs appareils sans sauvegarde. Aegis permet d’exporter une sauvegarde chiffrée. Configurez la sauvegarde automatique vers Google Drive ou un dossier local que vous sauvegardez. Si votre téléphone tombe à l’eau, vous voulez pouvoir restaurer tous vos codes.
Erreur 5 : Oublier les services moins utilisés. Amazon, Airbnb, LinkedIn, votre registraire de domaine — ce sont des comptes moins visités mais souvent liés à des données financières ou d’identité. Ajoutez-les tous dans Aegis, même si vous vous y connectez rarement.
Comprendre les Passkeys — la prochaine étape
Marc-André est développeur à Montréal. Il a migré tous ses comptes vers les passkeys là où c’est disponible. Son verdict : “C’est tellement plus simple que les codes. Je touche mon doigt sur mon téléphone, c’est tout.”
Les passkeys remplacent à la fois le mot de passe ET le 2FA. Voici comment ça fonctionne :
Quand vous créez un passkey sur un site, votre appareil génère une paire de clés cryptographiques. Une reste sur le site, l’autre reste sur votre téléphone. Pour vous connecter, le site envoie un défi cryptographique que seule votre clé privée peut résoudre — confirmée par votre empreinte ou Face ID.
Rien n’est envoyé par SMS. Rien ne peut être phished — même si vous cliquez sur un faux site, il n’a pas votre clé privée. Rien ne peut être SIM-swappé.
Sites qui supportent les passkeys en 2026 : Google, Apple, Microsoft, GitHub, PayPal, Amazon, Shopify, de plus en plus de banques.
La double authentification par SMS, c’est mieux que rien. Mais c’est comme verrouiller votre porte avec un cadenas de plastique quand il existe des serrures en acier — gratuites. Cinq minutes par compte pour passer à une app TOTP. Un appel de cinq minutes à votre opérateur pour ajouter un NIP. C’est tout ce qu’il faut pour éliminer 95% du risque de SIM swapping.
Votre email en premier. Maintenant.
Vous voulez un audit de votre configuration 2FA actuelle et de vos comptes critiques? Contactez-nous ou — on regarde ça ensemble.
À lire aussi :
