Nous utilisons des cookies et d’autres technologies sur notre site web pour vous proposer l’ensemble de nos fonctionnalités. Ils peuvent également être mis en place à des fins d’analyse. En continuant à utiliser notre site web, vous acceptez l’utilisation de cookies. Pour plus d’informations, notamment sur la manière de les désactiver, veuillez consulter notre politique de confidentialité.

Attaque par SIM swap : Guide de prévention contre les fraudes
Table of Contents
La fraude par échange de carte SIM (SIM swapping) est en passe de devenir l’une des méthodes préférées des cybercriminels. D’après les données du National Fraud Database, ce type d’escroquerie a explosé, avec une augmentation de plus de 1000 % en 2024. Les hackers transfèrent le numéro de leur victime sur une carte SIM frauduleuse, ce qui leur permet d’intercepter les codes d’authentification à deux facteurs (2FA) envoyés par SMS, de réinitialiser des mots de passe et d’accéder librement à des comptes bancaires, messageries et réseaux sociaux.
Cette technique serait impliquée dans les récentes cyberattaques visant Marks & Spencer et Co-Op, au cours desquelles des agents du support client ont été manipulés via des techniques d’ingénierie sociale. Face à l’efficacité croissante de ces attaques, il est peu probable que cette tendance s’inverse. Dans ce guide, nous allons expliquer le fonctionnement technique des attaques par SIM swap et proposer une stratégie de défense en plusieurs couches pour protéger les téléphones de vos utilisateurs contre ces intrusions.
Qu’est-ce que le SIM-swapping?
Le SIM-swapping, ou fraude à la carte SIM, est une forme de vol d’identité dans laquelle un hacker convainc un opérateur mobile de transférer (ou porter) le numéro de téléphone d’une victime vers une carte SIM qu’il contrôle. Une fois l’échange effectué, tous les appels, SMS et codes d’authentification (2FA) destinés à la victime sont redirigés vers l’appareil du cybercriminel.
Pour réussir cette attaque, l’auteur rassemble souvent des informations personnelles sur la victime (date de naissance, adresse, numéro de sécurité sociale, etc.) via du phishing (hameçonnage), de l’ingénierie sociale, ou à partir de fuites de données. Il utilise ensuite ces données pour se faire passer pour la victime auprès du service client de l’opérateur. Une fois le numéro détourné, le hacker peut demander des réinitialisations de mots de passe et intercepter les codes de vérification, excluant la victime de ses propres comptes. Si cela arrive à un employé de votre entreprise, cela peut devenir une porte d’entrée pour une attaque plus vaste.
Bien que le SIM-swapping ne soit pas nouveau, (les premières attaques remontent au début des années 2010), cette méthode a connu une forte montée en puissance à partir de 2014-2015, à mesure que les hackers ont perfectionné leurs techniques d’ingénierie sociale et que l’authentification à deux facteurs par SMS s’est généralisée.
Pourquoi la fraude à la carte SIM gagne-t-elle en popularité ?
Les cybercriminels se tournent massivement vers la fraude à la carte SIM car elle offre un excellent rapport effort/récompense. En détournant un numéro de téléphone, un hacker peut contourner l’authentification à deux facteurs par SMS sans avoir à craquer des mots de passe complexes ni exploiter des failles logicielles sophistiquées. Le coût initial est faible (souvent quelques e-mails de phishing ou un appel d’ingénierie sociale bien mené à un opérateur) mais les gains peuvent être énormes, notamment s’ils réussissent à infiltrer une grande entreprise, comme cela aurait été le cas pour Scattered Spider avec Marks & Spencer.
Le SIM-swapping est également hautement automatisable. Une fois qu’un groupe de fraudeurs a affiné ses scripts d’ingénierie sociale et constitué un petit stock de données personnelles compromises (via des campagnes de phishing, des bases de données piratées ou des réseaux sociaux), il peut cibler des dizaines, voire des centaines de victimes en peu de temps. Comme le cybercriminel n’a pas besoin d’accéder physiquement à l’appareil de la victime et que les opérateurs mobiles disposent souvent de vérifications antifraudes peu rigoureuses, le transfert frauduleux de numéros passe souvent inaperçu, jusqu’à ce que la victime se retrouve soudainement exclue de ses comptes.
Comment se déroule une attaque par SIM-swapping ?
Une attaque par SIM-swapping se déroule généralement en trois étapes :
- Contournement de la 2FA et accès initial
Avec le contrôle du numéro, le hacker lance des procédures de réinitialisation de mot de passe sur des services utilisant des codes à usage unique (OTP) envoyés par SMS. Lorsque votre entreprise envoie un OTP pour vérifier l’identité de l’utilisateur, c’est l’appareil du cybercriminel qui le reçoit. Il peut ainsi accéder aux comptes, élever ses droits, exfiltrer des données sensibles ou déployer un ransomware. - Reconnaissance et récupération d’identifiants
Le hacker commence par rassembler suffisamment d’informations personnelles (PII) pour se faire passer pour la victime auprès de l’opérateur mobile. Ces données peuvent être obtenues via des campagnes de phishing ciblées (pour récupérer des identifiants ou des codes PIN), des bases de données issues de fuites, ou encore par vishing (appels d’ingénierie sociale durant lesquels le fraudeur se fait passer pour un agent bancaire ou téléphonique). En parallèle, il peut examiner les réseaux sociaux ou les registres publics pour collecter des éléments comme la date de naissance, l’adresse ou des numéros de compte, afin de répondre aux questions de sécurité imposées par le service client. - Détournement du numéro ou de la réémission de carte SIM
Une fois les données nécessaires en main, le hacker contacte le service client de l’opérateur mobile (par téléphone ou via un portail en ligne) pour demander un portage du numéro ou l’émission d’une nouvelle carte SIM. Il prétexte souvent la perte ou le vol du téléphone. Dès que la modification est effectuée, la carte SIM contrôlée par le hacker commence à recevoir tous les appels, SMS et messages d’authentification SS7 initialement destinés à la victime.
Nouvelles techniques et tactiques d’échange de carte SIM
Au-delà des escroqueries classiques impliquant les services clients des opérateurs et l’interception des SMS à usage unique (SMS-OTP), les hackers exploitent désormais les protocoles de signalisation sous-jacents, notamment SS7 et Diameter, utilisés pour acheminer les appels et messages entre opérateurs à l’échelle mondiale. En compromettant ou en louant l’accès à ces points de signalisation, les fraudeurs peuvent rediriger silencieusement les SMS et appels vocaux sans jamais interagir avec le service client, ce qui rend la détection et l’attribution de l’attaque bien plus complexes.
Côté appareil, le déploiement des eSIM (cartes SIM embarquées) et du provisioning à distance ouvre un nouveau vecteur d’attaque : un cybercriminel ayant compromis le compte opérateur d’une victime peut déclencher à distance le téléchargement d’un profil eSIM malveillant, contournant ainsi les contrôles physiques liés à l’échange de carte SIM. Enfin, alors que de plus en plus d’organisations abandonnent le SMS-OTP au profit de l’authentification multifacteur par notification push, les hackers perfectionnent leurs campagnes de vishing (hameçonnage vocal) pour inciter les utilisateurs à approuver à leur insu des connexions frauduleuses via leurs applications d’authentification.
Conseils pour prévenir le SIM-swapping
Les organisations peuvent renforcer leur sécurité face au SIM-swapping en limitant leur dépendance à l’authentification par SMS et en améliorant les processus de vérification d’identité des utilisateurs :
- Renforcez les workflows d’enrôlement et de récupération. Lorsqu’un utilisateur enregistre un nouvel appareil ou réinitialise ses identifiants, assurez-vous que vos agents disposent d’un outil comme Specops Secure Service Desk pour vérifier que la personne est bien celle qu’elle prétend être.
- Mettez en place une évaluation continue du risque basé sur le comportement et les appareils mobiles. Intégrez des mécanismes de détection d’anomalies (empreinte de l’appareil, géolocalisation, fréquence anormale des connexions ou réinitialisations) afin d’identifier et de bloquer les accès suspects avant qu’ils ne compromettent un compte.
- Négociez des protections anti-portage avec les opérateurs. Collaborez avec les fournisseurs de services téléphoniques pour activer des mécanismes comme le port-freeze ou le verrouillage SIM sur les lignes sensibles, exigeant un code PIN ou une validation hors bande pour toute demande de portabilité.
- Surveillez les événements téléphoniques et les signaux SS7. Appuyez-vous sur des services de détection de fraude téléphonique ou sur des prestataires de sécurité gérés pour détecter les requêtes de signalisation non autorisées ou les changements soudains d’IMSI/ICCID.
- Formez vos équipes et testez votre réponse aux incidents. Sensibilisez les équipes du helpdesk et les services informatiques aux techniques d’ingénierie sociale utilisées dans les attaques par échange de carte SIM et organisez régulièrement des simulations de ligne compromise, afin de pouvoir isoler rapidement les comptes concernés, appliquer des dérogations manuelles et collaborer avec les opérateurs pour annuler les ports frauduleux.
- Maintenez à jour la veille sur la threat intelligence. Abonnez-vous aux notifications de compromission sectorielles (comme celles de la FS-ISAC ou du NCSC) et surveillez les pics de campagnes régionales de SIM-swapping (comme celles qui ont récemment touché des enseignes britanniques), afin de renforcer ou segmenter de manière proactive les systèmes exposés.
Se défendre contre le SIM-swapping avec une authentification multifacteur résistante au phishing
À mesure que les cybercriminels affinent leurs techniques, le SIM-swapping s’impose comme un moyen particulièrement efficace de contourner les défenses classiques. Si votre organisation s’appuie encore sur l’authentification à 2FA par SMS, vous exposez vos utilisateurs à une vulnérabilité critique qu’un simple appel téléphonique et un peu d’ingénierie sociale peuvent exploiter. La solution n’est pas d’abandonner l’authentification multifacteur, mais de la rendre résistante au phishing.
C’est là qu’interviennent des outils comme Specops Secure Access. Des solutions MFA telles que Specops Secure Access remplacent ou complètent les codes à usage unique par SMS par des notifications push envoyées sur une application mobile, l’utilisateur doit alors approuver explicitement la connexion sur un appareil préalablement enregistré. Comme aucun message SMS n’est transmis via le réseau téléphonique, un SIM-swap ne permet plus d’intercepter ni de rejouer le second facteur.
Associez cela à Specops Password Policy et vous couvrez l’autre moitié du problème : appliquer des mots de passe forts, uniques et non compromis. Ensemble, ces solutions réduisent drastiquement votre exposition aux attaques par SIM-swapping, en éliminant les maillons faibles de votre chaîne d’authentification. Traitez le risque de SIM-swapping non pas comme un simple problème utilisateur, mais comme un enjeu stratégique de gestion des identités (IAM). Mettre en place une MFA résistante au phishing et une hygiène rigoureuse des mots de passe ne sont plus de simples bonnes pratiques : ce sont des impératifs pour contrer les attaques par ingénierie sociale. Si ce n’est pas déjà fait, il est temps d’évaluer vos contrôles actuels et de voir comment Specops peut vous aider à renforcer votre sécurité. Contactez dès aujourd’hui un expert Specops.
(Dernière mise à jour le 07/07/2025)