Marc reçoit un texto de son fournisseur mobile : son numéro a été transféré sur une nouvelle SIM.
Il n’a rien demandé.
Dans les 40 minutes qui suivent, un inconnu reçoit tous ses codes SMS à 6 chiffres. Codes bancaires. Codes de récupération. Codes de connexion.
Le compte bancaire de Marc : vidé à 3h du matin. Épargne, compte courant. 22 000 $.
Comment le SIM swapping fonctionne (sans jargon)
Votre numéro de téléphone est comme une adresse postale. Il peut être redirigé vers une autre SIM — c’est ce qui se passe quand vous perdez votre téléphone et appelez votre opérateur pour transférer votre numéro.
Les arnaqueurs exploitent exactement ce processus.
Ils appellent votre opérateur mobile. Ils se font passer pour vous. Ils fournissent des informations personnelles — date de naissance, adresse, parfois les 4 derniers chiffres de votre NAS — des informations disponibles dans les fuites de données.
Si l’agent du service client est convaincu, votre numéro est transféré sur la SIM de l’arnaqueur. En quelques minutes.
Votre téléphone perd tout signal. Et l’arnaqueur reçoit vos SMS.
Pourquoi c’est dévastateur
Le SMS comme méthode de vérification (2FA) repose sur l’hypothèse que vous seul contrôlez votre numéro.
Quand ce n’est plus vrai, tout tombe.
L’arnaqueur va sur votre banque en ligne : “Mot de passe oublié”. Il reçoit le code de réinitialisation par SMS sur votre numéro — maintenant le sien. Il crée un nouveau mot de passe. Il est dans votre compte.
Même processus pour Gmail, Outlook, Facebook, Amazon. Chaque service qui utilise votre numéro comme méthode de récupération devient vulnérable.
Le SMS 2FA reste mieux que rien
Soyons honnêtes.
Le SMS 2FA est infiniment mieux que pas de 2FA du tout. Pour la majorité des gens, dans la majorité des situations, il représente une protection réelle.
Le SIM swapping demande un effort ciblé. Un arnaqueur qui fait ça vise quelqu’un de précis — pas n’importe qui au hasard. Si vous n’avez pas de raison particulière d’être ciblé, le risque est faible.
Mais il n’est pas nul. Et pour vos comptes les plus critiques — banque, email principal, Apple ID ou Google — il existe mieux.
La vraie alternative : l’application d’authentification
Une app comme Aegis (Android, gratuite, open-source), Google Authenticator, ou Authy génère un code à 6 chiffres qui change toutes les 30 secondes.
La différence fondamentale : ce code est généré localement, sur votre téléphone. Il ne passe pas par le réseau. Il ne peut pas être intercepté par SMS. Il ne dépend pas de votre numéro de téléphone.
Un arnaqueur qui a pris le contrôle de votre numéro ne reçoit pas ces codes. Ils sont générés sur votre appareil physique.
Comment activer 2FA app sur vos comptes les plus importants
Gmail / Google : myaccount.google.com → Sécurité → Validation en deux étapes → Application Authenticator
Apple ID : Réglages → [votre nom] → Mot de passe et sécurité → Authentification à deux facteurs (utilise l’appareil Apple lui-même comme token)
Facebook : Paramètres → Sécurité et connexion → Authentification à deux facteurs → Application d’authentification
Banques québécoises : La plupart n’offrent pas encore l’app 2FA — SMS uniquement. Dans ce cas, protégez votre numéro : contactez votre opérateur pour ajouter un code PIN de sécurité avant tout transfert de SIM.
Le niveau suivant : les clés physiques
Pour les cas extrêmes — dirigeants d’entreprise, journalistes, personnes avec accès à des données sensibles — les clés physiques comme YubiKey sont l’option la plus solide. Impossible à phisher à distance. Mais plus complexe à mettre en place.
Pour la plupart d’entre vous, une app d’authentification sur les comptes critiques suffit amplement.
Le SMS 2FA est une bonne habitude. L’app 2FA est une meilleure habitude. La différence prend 5 minutes à mettre en place par compte.
Marc a récupéré une partie de son argent après des semaines de démarches. Son opérateur a ajouté un code PIN de sécurité sur son compte — ce qui aurait empêché tout ça depuis le début.
À lire aussi :
