Qu'est-ce qu'une attaque SIM swap ?

Un SIM swap (ou détournement de SIM) survient quand un attaquant convainc votre opérateur mobile de transférer votre numéro vers une carte SIM qu'il contrôle. Il le fait par ingénierie sociale — en se faisant passer pour vous avec des données personnelles volées — parfois aidé d'un employé corrompu. Une fois votre numéro sur sa SIM, votre téléphone perd le réseau et chaque SMS, y compris les codes 2FA à usage unique, arrive sur l'appareil de l'attaquant. Il réinitialise alors les mots de passe et prend le contrôle des comptes e-mail, bancaires et crypto qui dépendent du SMS.

Quels sont les signaux d'alerte d'un SIM swap ?

Le signe le plus clair est une perte soudaine et inexpliquée du réseau mobile — plus d'appels, de SMS ni de données alors que d'autres autour de vous fonctionnent. Vous pouvez aussi recevoir une notification de l'opérateur à propos d'un changement de SIM ou d'un portage que vous n'avez pas demandé, ou être déconnecté de comptes de façon inattendue. Si votre téléphone devient muet et le reste, traitez-le immédiatement comme un possible SIM swap : contactez votre opérateur depuis un autre téléphone et verrouillez vos comptes les plus sensibles.

Un SIM swap contourne-t-il l'authentification à deux facteurs ?

Seulement la 2FA par SMS. C'est la leçon centrale : les codes envoyés par texto suivent votre numéro, donc une fois le numéro détourné, les codes vont à l'attaquant. Les méthodes 2FA qui ne sont PAS liées à votre numéro sont immunisées — une appli d'authentification (TOTP) génère les codes sur l'appareil lui-même, une clé de sécurité matérielle (FIDO2) exige la clé physique, et les passkeys sont liées à votre appareil. Sortir les comptes à forte valeur de la 2FA par SMS est la défense la plus efficace.

Comment me protéger d'une attaque SIM swap ?

Quatre couches. (1) Ajoutez un code PIN / verrouillage de portage / « Number Lock » sur votre compte mobile pour que le numéro ne puisse être transféré sans lui. (2) Remplacez la 2FA SMS par une appli d'authentification, une clé de sécurité matérielle ou des passkeys sur l'e-mail, la banque et la crypto. (3) Retirez votre numéro comme méthode de récupération sur les comptes critiques quand c'est possible. (4) Réduisez les données personnelles exposées dans les fuites et sur les réseaux sociaux, car les attaquants s'en servent pour se faire passer pour vous auprès de l'opérateur.

Que faire si je suis victime d'un SIM swap en ce moment ?

Agissez en quelques minutes. Appelez votre opérateur depuis un autre téléphone pour re-sécuriser le numéro et annuler le transfert. Puis, depuis un appareil de confiance, changez les mots de passe et révoquez les sessions sur votre e-mail d'abord (c'est la clé maîtresse), puis banque, crypto et réseaux sociaux, en sortant chacun de la 2FA SMS. Contactez votre banque pour signaler la fraude. Déposez un signalement auprès de l'autorité compétente. La vitesse compte : la fenêtre de l'attaquant est le temps entre le transfert et votre reprise de contrôle.

Attaque SIM swap : comment ça marche et comment s'en protéger (2026)

Votre numéro de téléphone n'a jamais été conçu pour être une clé de sécurité — mais pendant des années, les codes SMS à usage unique l'ont transformé en clé. Une attaque SIM swap exploite exactement cela : en détournant votre numéro, un attaquant reçoit vos codes 2FA par SMS et entre dans vos comptes. Ce guide explique comment l'attaque fonctionne, les signaux d'alerte, et les défenses concrètes qui l'arrêtent vraiment en 2026.

Comment fonctionne une attaque SIM swap

Le mécanisme est l'ingénierie sociale, pas le piratage de votre téléphone :

L'attaquant rassemble vos données personnelles (fuites, phishing, ou vos réseaux sociaux publics).
Il contacte votre opérateur mobile, se fait passer pour vous, et demande le transfert de votre numéro vers une nouvelle SIM (un « portage » ou remplacement de SIM) — parfois aidé d'un employé corrompu.
Votre téléphone perd le réseau ; le numéro vit désormais sur la SIM de l'attaquant.
Chaque SMS — y compris les codes 2FA à usage unique — arrive sur son appareil. Il déclenche des réinitialisations de mot de passe et prend le contrôle de l'e-mail, puis de la banque, de la crypto et des réseaux sociaux.

La faiblesse de fond : les codes SMS suivent le numéro, pas vous.

Un ordinateur portable ouvert sur un bureau en bois

Signaux d'alerte

Perte soudaine du réseau mobile (plus d'appels/SMS/données) alors que les autres autour fonctionnent.
Une alerte de l'opérateur sur un changement de SIM ou un portage non demandé.
Être déconnecté de comptes de façon inattendue, ou des e-mails de réinitialisation que vous n'avez pas lancés.

Si votre téléphone devient muet et le reste, supposez un possible SIM swap et agissez tout de suite.

Les défenses qui marchent vraiment

1. Verrouillez le numéro chez l'opérateur. Ajoutez un PIN / verrouillage de portage / Number Lock pour que le numéro ne puisse être transféré sans lui. C'est le contrôle côté opérateur qui bloque la plupart des swaps.

2. Sortez de la 2FA SMS — c'est le geste clé. Comme un SIM swap ne bat que les codes par texto, passez vos comptes importants à une 2FA non liée à votre numéro :

Appli d'authentification (TOTP) — codes générés sur l'appareil. Voyez notre guide des applis d'authentification.
Clé de sécurité matérielle (FIDO2) — anti-phishing et anti-swap. Voyez notre comparatif de clés matérielles.
Passkeys — liées à votre appareil.

3. Retirez le numéro comme méthode de récupération sur les comptes critiques quand la plateforme le permet.

4. Réduisez vos données exposées — l'attaquant a besoin de détails personnels pour vous usurper. Des mots de passe forts et uniques dans un gestionnaire font qu'un SIM swap seul ne suffit pas à cascader entre comptes.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Stockez des mots de passe forts et uniques avec NordPass →Coffre zero-knowledge + authentificateur intégré (TOTP) · Pour que le SMS ne soit jamais votre seule défense→

Si vous êtes victime d'un SIM swap en ce moment

Appelez votre opérateur depuis un autre téléphone pour re-sécuriser le numéro et annuler le transfert.
Depuis un appareil de confiance, sécurisez votre e-mail d'abord (c'est la clé maîtresse) : changez le mot de passe, révoquez les sessions, sortez de la 2FA SMS.
Faites de même pour banque, crypto et réseaux sociaux, dans cet ordre.
Contactez votre banque pour signaler la fraude, et déposez un signalement auprès de l'autorité compétente.

La vitesse est tout : votre fenêtre de risque est l'écart entre le transfert et votre reprise de contrôle. Pour le protocole complet, voyez que faire quand votre compte est piraté.

En résumé

Un SIM swap n'est puissant que contre la vérification par SMS. Verrouillez votre numéro chez l'opérateur, passez chaque compte important à une appli d'authentification, une clé matérielle ou une passkey, et gardez des mots de passe forts et uniques dans un gestionnaire. Faites cela et détourner votre numéro cesse d'être une clé maîtresse de votre vie numérique.

Guide éditorial fondé sur les méthodes documentées d'attaque SIM swap et les propriétés documentées de l'authentification SMS, TOTP, FIDO2 et passkey. Nous nommons clairement la faiblesse propre à la 2FA SMS. Les liens commerciaux portent l'attribut rel="sponsored nofollow" ; une commission d'affiliation peut s'appliquer sans surcoût pour vous.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Voir l'offre NordPass30 jours satisfait ou remboursé · Plan gratuit disponible→

Attaque SIM swap : comment ça marche et comment s'en protéger (2026)

Comment fonctionne une attaque SIM swap

Signaux d'alerte

Les défenses qui marchent vraiment

Si vous êtes victime d'un SIM swap en ce moment

En résumé

Pour aller plus loin

Application authentification deux facteurs : guide complet 2026 (TOTP, meilleures apps)

Yubikey guide complet FIDO2 2026 : modèles, configuration, vs concurrents

Meilleure clé de sécurité hardware 2026 : Yubikey vs Titan vs SoloKeys vs Token2 comparatif complet