En 2025, le FBI a reçu plus de 1 600 plaintes liées au SIM swapping, pour des pertes estimées à plus de 48 millions de dollars aux États-Unis. En France, les chiffres officiels sont rares, mais les témoignages de victimes se multiplient sur les forums crypto. Le SIM swap est devenu l'une des attaques les plus efficaces contre les détenteurs de cryptomonnaies.
Le principe est simple à comprendre, difficile à contrer, et les opérateurs télécom traînent des pieds pour renforcer leurs procédures. Voici comment ça marche et comment s'en protéger.
Comment fonctionne une attaque SIM swap
L'attaquant collecte d'abord des informations sur vous. Nom, adresse, date de naissance, numéro de téléphone. Ces données se trouvent facilement : fuites de données (haveibeenpwned.com pour vérifier), réseaux sociaux, registres publics. En crypto, les gens qui affichent leurs gains sur Twitter sont des cibles idéales.
Avec ces informations, l'attaquant contacte votre opérateur télécom. Il se fait passer pour vous. "J'ai perdu mon téléphone, je voudrais transférer mon numéro sur une nouvelle carte SIM." Selon l'opérateur et l'interlocuteur, la vérification d'identité peut être superficielle. Parfois, il suffit de donner le nom, la date de naissance et la dernière facture.
Une fois le numéro transféré, l'attaquant reçoit vos SMS. Il lance une réinitialisation de mot de passe sur votre email (beaucoup de services envoient un code par SMS). Il accède à votre email. De là, il accède à vos comptes crypto, initie un retrait, et valide avec le code SMS qu'il reçoit. Le tout en moins de 30 minutes.
Pourquoi les détenteurs de crypto sont ciblés
Le ratio effort/récompense est imbattable pour un criminel. Un SIM swap réussi peut rapporter des dizaines de milliers d'euros en un seul coup. Les cryptomonnaies sont irréversibles : une fois les fonds transférés vers un wallet externe, personne ne peut annuler la transaction. Pas de chargeback comme avec une carte bancaire.
Et beaucoup de détenteurs de crypto utilisent encore le SMS comme deuxième facteur d'authentification. Si votre compte Binance ou Coinbase est protégé par un code SMS, un SIM swap suffit à le compromettre.
Comment se protéger
Remplacez le 2FA par SMS par une application 2FA (2FAS, Authy) ou une clé physique (YubiKey). C'est la mesure la plus importante. Un code généré par une application sur votre téléphone ne transite pas par le réseau télécom et ne peut pas être intercepté via un SIM swap.
Contactez votre opérateur et demandez un verrouillage de votre carte SIM. Chez Orange, SFR, Free et Bouygues, vous pouvez demander qu'aucun changement de SIM ne soit effectué sans passage en boutique avec pièce d'identité. La procédure varie selon les opérateurs, mais elle existe.
Utilisez une adresse email dédiée pour vos comptes crypto. Pas celle que vous donnez partout. Un compte email séparé, avec un mot de passe unique et le 2FA par application, réduit la surface d'attaque.
Ne publiez jamais vos gains crypto en ligne. Pas sur Twitter, pas sur Reddit, pas sur Discord. Chaque fois que quelqu'un poste "j'ai fait x10 sur SOL", il se peint une cible dans le dos. Les attaquants surveillent ces publications pour identifier leurs victimes.
Que faire si vous êtes victime
Si votre téléphone perd soudainement le réseau sans raison (pas de signal, pas de données mobiles), c'est peut-être un SIM swap en cours. Agissez immédiatement.
Appelez votre opérateur depuis un autre téléphone pour vérifier si un transfert de SIM a été demandé. Si c'est le cas, demandez une annulation immédiate. Changez les mots de passe de vos comptes email et crypto depuis un appareil sûr. Vérifiez qu'aucun retrait n'a été initié sur vos exchanges.
Si des fonds ont été volés : déposez plainte, contactez les exchanges concernés avec les détails de l'attaque (adresses de destination des fonds volés), et conservez toutes les preuves. Certains exchanges ont des équipes spécialisées qui peuvent geler des fonds si l'alerte est donnée assez vite.
Pour une protection complète de vos actifs crypto, consultez notre guide de sécurité et pensez à transférer vos fonds vers un hardware wallet qui est immunisé contre ce type d'attaque.
