SIM Swapping

Le SIM swapping n’est plus une menace marginale, mais devient une préoccupation stratégique au plus haut niveau. Au Royaume-Uni, près de 3 000 cas de SIM swapping ont été signalés en 2024, soit une augmentation stupéfiante de 1 055 % par rapport aux 289 incidents recensés l’année précédente.

Ces attaques sont également répandues aux États-Unis, où près de 50 millions de dollars de pertes ont été rapportés en raison de fraudes liées au port jacking ou au SIM swapping, selon le Internet Crime Report de 2023 du FBI. Cette hausse des cas montre pourquoi les équipes dirigeantes doivent considérer les prises de contrôle de comptes mobiles comme un élément critique de leur défense en cybersécurité.

Le SIM swapping — également appelé détournement de SIM ou fraude par portage — est une technique de prise de contrôle de compte qui redirige le service mobile d’une victime vers une carte SIM contrôlée par l’attaquant.

Un module d’identité d’abonné (SIM) contient les identifiants du réseau mobile qui lient un numéro de téléphone aux services vocaux, SMS et de données. Lorsque des criminels convainquent un opérateur de transférer ces identifiants vers une nouvelle SIM, ils s’emparent du numéro sans jamais toucher à l’appareil de la victime.

Les acteurs malveillants manipulent généralement le personnel du support client ou exploitent des portails en libre-service peu sécurisés. Ils présentent des informations personnelles (PII)  volées, des pièces d’identité falsifiées ou des deepfakes manipulés pour passer les vérifications d’identité, puis demandent une « carte SIM de remplacement » ou un « portage de numéro ». Une fois l’échange effectué, les appels et les codes d’authentification multifactorielle par SMS sont envoyés vers le téléphone de l’attaquant. Cet accès leur permet de réinitialiser des mots de passe de services cloud, vider des comptes bancaires ou contourner des VPN d’entreprise reposant sur des codes à usage unique.

Les opérateurs disposent de protections comme des tickets de validation de portage et des codes PIN au niveau des comptes, mais des failles subsistent. Les dirigeants d’entreprise devraient considérer le SIM swapping comme un risque pour l’entreprise, car de nombreux employés utilisent encore le SMS pour l’authentification multifactorielle (MFA) et la récupération de compte. Comprendre cette tactique est une première étape vers des contrôles renforcés qui maintiennent les communications critiques — et les identifiants — entre de bonnes mains.

Les attaques par SIM swap suivent un schéma prévisible qui exploite à la fois les vulnérabilités numériques et la psychologie humaine. Le succès de ces attaques repose sur la capacité de l’attaquant à manipuler les employés des opérateurs ou à exploiter des processus de vérification faibles au sein des entreprises de télécommunications.

1. Reconnaissance et collecte de données : Les attaquants commencent par recueillir des informations personnelles sur leur cible via des profils sur les réseaux sociaux, des violations de données ou des campagnes de phishing. Des détails comme les noms complets, adresses, numéros de téléphone et questions de sécurité de compte sont utilisés pour usurper de manière convaincante l’identité de la victime lors des interactions avec l’opérateur.
2. Ingénierie sociale de l’opérateur : Munis de données personnelles, les criminels contactent le service client de l’opérateur mobile ou se rendent en boutique pour demander un transfert de SIM. Ils exploitent l’erreur humaine en se présentant comme des clients en détresse ayant « perdu leur téléphone » ou nécessitant un « remplacement en urgence », visant souvent des employés récents ou des situations sous pression où les vérifications sont bâclées.
3. Exécution de la demande de portage : Une fois la confiance de l’employé obtenue, les attaquants demandent que le numéro de téléphone de la victime soit transféré vers une nouvelle carte SIM en leur possession. Certains criminels vont jusqu’à recruter ou soudoyer des employés d’opérateurs comme complices internes, contournant totalement les protocoles de sécurité grâce à un accès privilégié aux comptes clients.
4. Prise de contrôle de compte et exploitation : En contrôlant le numéro de téléphone de la victime, les attaquants interceptent les codes d’authentification à deux facteurs envoyés par SMS ainsi que les liens de réinitialisation de mot de passe. Cet accès leur permet de compromettre de manière systématique des comptes email, des applications bancaires, des portefeuilles de cryptomonnaies et des systèmes d’entreprise reposant sur la vérification via téléphone.

Une distinction importante à bien comprendre est que « cette technique compromet la MFA par SMS en transférant le numéro de téléphone de la cible vers l’attaquant », explique Matthew Gardiner, responsable marketing produit chez Proofpoint. « Pour y parvenir, l’acteur malveillant doit manipuler socialement l’opérateur mobile ou disposer d’un complice interne au sein de l’organisation. »

Le SIM swapping a évolué, passant de la cible de simples consommateurs à la perturbation de grandes entreprises et d’agences gouvernementales. Ces incidents très médiatisés montrent comment les attaquants exploitent les vulnérabilités des opérateurs mobiles pour provoquer des ravages financiers et des dommages institutionnels.

Le piratage du compte X de la SEC (janvier 2024)

En janvier 2024, des hackers ont mené une attaque par SIM swap contre le compte X de la Securities and Exchange Commission (SEC) des États-Unis, publiant de fausses informations sur l’approbation de fonds négociés en bourse (ETF) liés au Bitcoin, ce qui a provoqué une hausse temporaire du cours du Bitcoin. Les attaquants ont détourné le numéro de téléphone associé au compte @SECgov pour contourner l’authentification à deux facteurs et obtenir un accès non autorisé permettant la publication de contenus frauduleux influençant les marchés. Eric Council Jr., un homme originaire d’Alabama, a ensuite plaidé coupable pour sa participation à l’attaque et a été condamné à 14 mois de prison.

Cet incident a démontré comment le SIM swapping peut manipuler les marchés financiers et nuire à la crédibilité des institutions. La SEC aurait pu empêcher cette attaque en mettant en place une authentification matérielle plutôt qu’une authentification à deux facteurs par SMS pour ses comptes critiques sur les réseaux sociaux. La faille a également mis en lumière la vulnérabilité persistante des agences gouvernementales face aux mêmes techniques d’ingénierie sociale utilisées contre les consommateurs individuels.

La perte de 33 millions de dollars en cryptomonnaie chez T-Mobile (2025)

En mars 2025, un arbitre californien a ordonné à T-Mobile de verser 33 millions de dollars après qu’une attaque par SIM swap a permis à des voleurs de dérober environ 38 millions de dollars en cryptomonnaie dans le portefeuille d’un client. Les attaquants ont contourné le drapeau de sécurité « NOPORT » de T-Mobile en convainquant un agent du centre d’appel d’émettre un code QR eSIM à distance, malgré la présence de mesures de « sécurité renforcée » sur le compte de la victime. Cette affaire représente l’un des jugements financiers les plus importants contre un opérateur pour négligence en matière de SIM swap.

La décision a établi un nouveau précédent juridique en matière de responsabilité des opérateurs dans les incidents de SIM swapping. T-Mobile aurait pu prévenir cette attaque en exigeant une approbation par un superviseur pour les modifications de comptes à fort enjeu, et en remplaçant l’authentification basée sur les connaissances par des mesures de sécurité cryptographiques. Ce cas montre comment des défaillances de sécurité à l’échelle de l’entreprise peuvent entraîner des pertes de plusieurs millions de dollars et des conséquences juridiques.

Les prises de contrôle de comptes professionnels via le SIM swapping constituent un multiplicateur de menaces critique pouvant se propager à l’ensemble d’une organisation. Lorsque des attaquants ciblent des employés ou des cadres dirigeants, ils accèdent à des comptes de messagerie professionnelle, des applications cloud et des systèmes internes reposant sur l’authentification par SMS. Le numéro de téléphone compromis d’un seul cadre peut fournir aux attaquants les clés des systèmes financiers, des bases de données clients et des communications stratégiques.

Les travailleurs à distance sont particulièrement exposés, car de nombreuses organisations utilisent encore l’authentification multifactorielle par SMS pour accéder aux VPN et aux outils de productivité dans le cloud. Les équipes distribuées utilisent souvent des appareils personnels à des fins professionnelles, créant ainsi des vecteurs d’attaque contournant les contrôles de sécurité traditionnels du réseau. Lorsque des employés à distance sont victimes de SIM swapping, les attaquants peuvent infiltrer les réseaux d’entreprise à des milliers de kilomètres sans jamais toucher l’infrastructure de la société.

Le SIM swapping facilite également des attaques sophistiquées de compromission de messagerie professionnelle (BEC). Les criminels utilisent des numéros de téléphone détournés pour réinitialiser les mots de passe de messagerie de cadres, puis lancent des escroqueries par factures ou autorisent des virements frauduleux via des comptes professionnels légitimes. Le centre de plaintes pour cybercriminalité du FBI (IC3) a rapporté que les BEC ont coûté près de 55,5 milliards de dollars aux organisations du monde entier sur une décennie, avec 305 000 incidents recensés.

La menace dépasse les seules pertes financières immédiates pour inclure le vol d’identité à long terme et les manquements à la conformité réglementaire. Les attaquants contrôlant les numéros de téléphone de cadres peuvent accéder à des documents fiscaux personnels et professionnels, des dossiers médicaux et des informations sensibles de clients stockées dans des applications cloud. Les organisations opérant dans des secteurs réglementés s’exposent à des amendes et à des responsabilités juridiques lorsque des SIM swaps d’employés entraînent des violations de données ou de la vie privée qui auraient pu être évitées par des protocoles d’authentification plus robustes.

Prévenir le SIM swapping nécessite une approche de sécurité à plusieurs niveaux combinant des contrôles techniques et une sensibilisation humaine. Aucune solution unique ne protège totalement contre des attaquants déterminés, mais les organisations peuvent réduire considérablement leur risque en faisant des choix stratégiques en matière d’authentification et en mettant en œuvre des mesures de sécurité proactives. L’essentiel réside dans l’élimination de la dépendance aux SMS et dans la construction d’une culture de la sécurité à tous les niveaux de l’organisation.

• Éliminer l’authentification à deux facteurs par SMS autant que possible : Remplacez la 2FA par SMS par des applications d’authentification comme Microsoft Authenticator, Google Authenticator ou Authy, qui génèrent des codes temporaires localement sur les appareils. Ces applications ne dépendent pas des réseaux cellulaires et restent fonctionnelles même si les attaquants contrôlent votre numéro de téléphone.
• Déployer des jetons matériels d’authentification multifactorielle : Mettez en place des clés de sécurité matérielles comme les YubiKeys ou d’autres dispositifs compatibles FIDO2 pour les comptes sensibles et les utilisateurs privilégiés. Les jetons matériels offrent la meilleure protection contre les prises de contrôle de compte, car ils ne peuvent pas être interceptés ou reproduits par des attaques de SIM swapping.
• Activer les protections au niveau de l’opérateur et les codes PIN de compte : Contactez votre opérateur mobile pour ajouter un verrouillage de carte SIM, un gel de portage ou un code PIN au niveau du compte, qui exigent une vérification supplémentaire avant tout transfert de numéro. Demandez aux représentants de documenter ces mesures de sécurité et d’exiger l’approbation d’un superviseur pour toute modification liée à la SIM sur les comptes à haut risque.
• Mettre en œuvre des programmes complets de formation à la sécurité : Informez les employés des techniques d’ingénierie sociale utilisées dans les attaques de SIM swapping et établissez des protocoles clairs pour la vérification d’identité lors des interactions avec le support de compte. Des formations régulières aident le personnel à reconnaître les tentatives de manipulation et créent une culture de sécurité qui agit comme un pare-feu humain contre ces attaques.
• Surveiller les comptes pour détecter les modifications non autorisées et les activités suspectes : Configurez des alertes pour les réinitialisations de mot de passe, les connexions depuis de nouveaux appareils et les modifications des méthodes d’authentification sur toutes les applications professionnelles critiques. La détection précoce d’une compromission de compte permet de limiter les dégâts et de fournir des preuves aux équipes d’intervention.
• Créer des canaux de communication de secours pour les dirigeants : Établissez des moyens de contact alternatifs pour les cadres dirigeants qui ne dépendent pas des numéros de téléphone principaux, comme des applications de messagerie sécurisée ou des lignes fixes dédiées. Ces canaux de secours garantissent la continuité des activités lorsque les numéros mobiles principaux sont compromis lors d’attaques.

N’oubliez pas que les attaquants déterminés font évoluer en permanence leurs techniques pour contourner les mesures de sécurité. La vigilance humaine et les évaluations régulières de sécurité restent les défenses les plus efficaces contre le SIM swapping et les attaques d’ingénierie sociale connexes.

La technologie seule ne peut pas résoudre le problème du SIM swapping, car ces attaques exploitent fondamentalement la psychologie humaine et les failles organisationnelles. Pour bâtir une défense efficace, les organisations doivent investir autant dans la sensibilisation humaine que dans les contrôles techniques.

• Mettre en place une formation à la sécurité qui aborde spécifiquement les attaques par SIM swapping : Organisez des sessions de formation trimestrielles pour apprendre aux employés à reconnaître les signes avant-coureurs des tentatives d’ingénierie sociale, notamment les appels inattendus de vérification de compte et les demandes urgentes d’informations sensibles émanant de prétendus représentants d’opérateurs.
• Former le personnel à identifier et signaler les tactiques d’ingénierie sociale utilisées dans les attaques par SIM swapping : Sensibilisez les employés aux techniques de manipulation courantes telles que l’usurpation d’identité, la création d’un sentiment d’urgence et l’exploitation de l’autorité, utilisées par les attaquants pour contourner les protocoles de sécurité des entreprises de télécommunications et des organisations.
• Favoriser une culture de responsabilité où la cybersécurité devient l’affaire de tous : Établissez des politiques de sécurité claires qui font de chaque employé un acteur de la protection des actifs de l’organisation, avec une communication régulière de la part de la direction sur les priorités en matière de sécurité et des programmes de reconnaissance des comportements proactifs en matière de cybersécurité.
• Créer des protocoles d’intervention en cas de compromission de compte mobile : Développez des procédures précises à suivre pour les employés qui soupçonnent une compromission de leur numéro de téléphone, incluant des canaux de notification immédiate et des étapes pour sécuriser les comptes liés avant que des dommages supplémentaires ne surviennent.
• Établir des programmes de sécurité dédiés aux cadres dirigeants : Mettez en œuvre des mesures de sécurité renforcées pour les cadres C-level et les autres profils à haut risque, incluant des référents sécurité dédiés et des briefings réguliers sur les nouvelles techniques d’attaque.
• Réaliser des évaluations de sécurité régulières qui tiennent compte des vulnérabilités techniques et humaines : Planifiez périodiquement des exercices de type red team pour tester les réactions des employés face à des tentatives d’ingénierie sociale et évaluer l’efficacité des programmes de sensibilisation existants.
• Constituer des équipes de sécurité interfonctionnelles incluant RH, informatique et communication : Créez des comités de sécurité collaboratifs capables de traiter les dimensions humaines de la cybersécurité, en veillant à ce que la sensibilisation à la sécurité soit intégrée dans les processus de recrutement, d’intégration et de formation continue des employés.

Les défenses les plus efficaces contre le SIM swapping combinent des contrôles techniques solides à des employés sensibilisés à la sécurité, conscients de leur rôle dans la protection des actifs de l’organisation. La vigilance humaine constitue la dernière ligne de défense cruciale lorsque les protections techniques échouent ou que les attaquants trouvent de nouveaux moyens d’exploiter les vulnérabilités des systèmes.

Les attaques par SIM swapping réussissent parce qu’elles exploitent l’intersection entre des contrôles techniques insuffisants et la psychologie humaine. Les attaquants n’ont pas besoin de compétences de piratage avancées pour vider des comptes bancaires ou pénétrer des réseaux d’entreprise — il leur suffit de convaincre un seul employé d’opérateur de transférer un numéro de téléphone. La simplicité de ces attaques les rend particulièrement dangereuses pour les organisations qui utilisent l’authentification par SMS pour accéder à des systèmes critiques.

La bonne nouvelle, c’est que le SIM swapping peut être entièrement évité grâce à des mesures de sécurité proactives. Les organisations qui éliminent la 2FA par SMS, déploient des clés de sécurité matérielles et investissent dans la formation à la sécurité peuvent neutraliser efficacement cette menace. L’essentiel est de comprendre que la sécurité mobile n’est plus une préoccupation secondaire, mais un élément central de la stratégie de cybersécurité des entreprises.

C’est le moment d’auditer vos politiques actuelles de MFA et vos programmes de formation des employés. Posez-vous la question : vos dirigeants utilisent-ils encore des codes SMS pour accéder aux applications cloud ? Vos employés savent-ils reconnaître une tentative d’ingénierie sociale visant leur compte mobile ? Les réponses à ces questions détermineront si vos cartes SIM restent une vulnérabilité ou deviennent un pilier de votre stratégie de sécurité.

Chez Proofpoint, notre plateforme de sécurité complète s’attaque aux vulnérabilités humaines qui rendent possibles les attaques de SIM swapping, grâce à des solutions avancées de détection des menaces et de sensibilisation à la sécurité. Notre approche intégrée combine la Threat Intelligence en temps réel avec des programmes de formation des employés, permettant aux organisations de détecter et de contrer les tentatives d’ingénierie sociale avant qu’elles ne débouchent sur une prise de contrôle de compte. En nous concentrant à la fois sur les aspects techniques et humains de la cybersécurité, nous aidons les entreprises à bâtir des défenses résilientes contre le SIM swapping et d’autres attaques sophistiquées d’ingénierie sociale qui ciblent le maillon le plus faible de toute chaîne de sécurité — les personnes. Contactez-nous pour en savoir plus.