SIM swapping : la fraude au duplicata de SIM et comment vous protéger
Le SIM swapping clone votre numéro sur une autre carte pour intercepter les SMS de votre banque. On vous explique comment ils s'y prennent, les signaux et comment vous blinder.

Le SIM swapping est une fraude par laquelle un délinquant obtient un duplicata de votre carte SIM et « transfère » votre numéro de téléphone sur son mobile. Dès cet instant, il reçoit vos appels et, plus grave encore, les SMS contenant les codes de vérification de votre banque. Ici, on vous explique comment ils font, quels signaux les trahissent et comment vous blinder.
Contrairement aux arnaques que vous connaissez déjà, ici ce n'est pas vous qu'on trompe avec un appel. Le coup est porté contre votre opérateur. C'est pour ça que c'est si dangereux : vous pouvez tout faire correctement, ne répondre à aucun numéro étrange, et perdre quand même le contrôle de votre ligne. La bonne nouvelle, c'est qu'il existe des défenses concrètes, et beaucoup sont gratuites.
Qu'est-ce que le SIM swapping exactement ?
Votre numéro de téléphone ne vit pas dans la carte SIM en plastique. Il vit dans les systèmes de votre opérateur, qui associent ce numéro à une SIM précise. Quand vous demandez un duplicata parce que vous avez perdu votre mobile ou que la carte est cassée, l'opérateur « déconnecte » l'ancienne SIM et active la nouvelle avec votre même numéro. C'est un service légitime et nécessaire.
Le SIM swapping (aussi appelé duplicata de SIM frauduleux ou SIM swap) consiste pour un délinquant à demander ce duplicata en se faisant passer pour vous. S'il y parvient, votre vraie SIM se retrouve sans service en quelques minutes et votre numéro se met à fonctionner sur le téléphone de l'attaquant.
À partir de là, tout ce qui dépend de votre numéro passe entre ses mains :
- Les SMS contenant les codes de vérification (le fameux 2FA ou OTP) de votre banque, votre messagerie ou vos réseaux sociaux.
- Les appels de confirmation que certains établissements passent avant une opération.
- Les SMS de récupération de mot de passe de dizaines de services.
Avec le code reçu par SMS, l'attaquant peut entrer dans votre banque en ligne, autoriser des virements ou vider votre compte. Et tout cela sans que votre mot de passe ait fuité : il lui suffit d'intercepter ce second facteur que vous croyiez sûr.
Comment réussissent-ils à se faire passer pour vous auprès de l'opérateur ?
Le duplicata de SIM n'est pas la première étape de la fraude, mais la dernière. Avant, le délinquant doit réunir assez de données sur vous pour convaincre l'opérateur (ou un employé) qu'il est le titulaire de la ligne. Cette phase préalable est de la pure ingénierie sociale.
Il obtient les données en combinant plusieurs sources :
- Fuites de données : failles de sécurité d'entreprises qui exposent noms, pièces d'identité, téléphones et adresses.
- Phishing et smishing : e-mails et SMS qui vous demandent de « vérifier » vos données. Si ça vous rappelle quelque chose, c'est parce que c'est la même mécanique que celle expliquée dans notre guide sur le smishing et les arnaques par SMS.
- Vishing : appels où l'on se fait passer pour votre banque ou votre opérateur pour vous soutirer votre pièce d'identité, votre date de naissance ou votre numéro de compte.
- Réseaux sociaux : informations publiques que vous avez vous-même partagées sans y prêter attention.
Avec ce dossier monté, ils contactent votre opérateur par téléphone, sur le web ou même en personne en boutique, et demandent le duplicata. C'est pourquoi il faut comprendre que le SIM swapping est presque toujours précédé d'une autre tentative d'arnaque. Si un appel ou un SMS vous a récemment demandé des données personnelles, considérez-le comme un signal d'alerte. Apprenez à lire les signaux de risque d'un numéro avant de donner la moindre donnée.
Pourquoi le SMS a-t-il cessé d'être un second facteur sûr ?
Pendant des années, recevoir un code par SMS pour confirmer une opération était jugé suffisant. La logique était simple : vous seul avez votre mobile, donc vous seul recevez le code. Le SIM swapping casse cette prémisse à la racine. Si l'attaquant contrôle votre numéro, le code lui parvient à lui.
Cela rejoint d'autres fraudes qui exploitent le même maillon faible. On l'a vu avec les flash calls et les appels ping pour voler les OTP : les codes à usage unique sont extrêmement précieux pour les délinquants, et le SMS est le canal le plus facile à intercepter.
La conclusion n'est pas « le SMS ne sert à rien », mais que le SMS est le facteur le plus faible parmi ceux qui existent. Si vous pouvez choisir une autre méthode de vérification, faites-le. Plus bas, on vous explique lesquelles.
Quels sont les signes qu'on vous fait un SIM swap ?
Votre grand avantage défensif, c'est que le SIM swapping laisse une trace très visible : votre mobile cesse de fonctionner. Le problème, c'est que beaucoup de gens le confondent avec une panne technique et mettent des heures à réagir. Chaque minute compte.
Voici les signaux à ne pas ignorer :
| Signal | Ce que ça signifie |
|---|---|
| Perte soudaine de réseau sans raison | Votre SIM a été désactivée ; le numéro est peut-être déjà sur un autre téléphone |
| Le mobile affiche « Pas de service » ou « Urgences seulement » | La ligne n'est plus associée à votre carte |
| Vous ne recevez plus d'appels ni de SMS d'un coup | Le trafic de votre numéro a été détourné |
| Vous recevez un SMS ou e-mail signalant un « changement de SIM » que vous n'avez pas demandé | L'opérateur a traité un duplicata à votre nom |
| Alertes de la banque sur des accès ou tentatives d'accès inconnus | Quelqu'un utilise votre numéro pour entrer dans vos comptes |
| Vous ne pouvez plus accéder à votre messagerie ou vos réseaux sociaux | On a lancé le processus de récupération avec votre numéro |
Le signal roi est la perte de réseau inexpliquée. Si vous êtes dans une zone où vous avez toujours du signal et qu'il disparaît soudain, et que redémarrer le mobile n'y change rien, ne remettez pas à plus tard. Prenez un autre téléphone et appelez votre opérateur pour confirmer que votre SIM est toujours active et que personne n'a demandé de duplicata.
Que faire dans les premières minutes si je soupçonne quelque chose ?
La rapidité est tout. Si vous pensez subir un SIM swap en ce moment même :
- Appelez votre opérateur depuis un autre téléphone et demandez de bloquer tout duplicata et de réactiver votre SIM. Expliquez que vous soupçonnez une fraude.
- Contactez votre banque par son canal officiel (l'appli ou le numéro au dos de la carte) et demandez de geler les accès et les opérations en ligne.
- Changez les mots de passe de votre messagerie principale et de votre banque depuis un appareil de confiance, pas depuis le mobile affecté.
- Vérifiez vos comptes à la recherche de virements ou de changements que vous n'avez pas faits.
- Portez plainte. Appelez le 017 de l'INCIBE (gratuit) pour être orienté et déposez plainte auprès de la police.
Si vous avez déjà donné des données ou subi des prélèvements, suivez le plan d'action complet détaillé dans que faire si vous avez déjà donné vos données dans une arnaque.
Comment me protéger avant que ça n'arrive ? Le PIN opérateur et d'autres barrières
La prévention du SIM swapping a deux fronts : compliquer la collecte de vos données par l'attaquant et compliquer la remise d'un duplicata par l'opérateur à quelqu'un qui n'est pas vous. La mesure phare est le PIN ou mot de passe opérateur.
Le PIN opérateur : votre meilleur bouclier
La plupart des opérateurs en Espagne permettent de configurer une clé ou un PIN de sécurité associé à votre compte. C'est un code qui vous sera demandé pour toute démarche sensible, comme un duplicata de SIM. Sans cette clé, même avec vos données personnelles, ils ne pourront pas autoriser le changement.
Il ne s'active pas tout seul. Vous devez le demander expressément :
- Appelez votre opérateur ou entrez dans votre espace client.
- Demandez l'activation d'une clé ou d'un PIN de sécurité pour les démarches de SIM.
- Choisissez un code non devinable (pas de date de naissance ni de pièce d'identité).
- Conservez-le là où vous ne conservez pas tout le reste.
C'est gratuit et c'est la barrière la plus efficace qui existe contre le duplicata frauduleux. Si vous ne savez pas si votre opérateur le propose ou comment ça s'appelle exactement dans votre cas, consultez notre section opérateurs ou demandez directement au service client.
Remplacez le SMS par des méthodes de vérification plus fortes
Même s'ils vous font le SIM swap, si vos comptes critiques ne dépendent pas du SMS, l'attaquant n'a pas la pièce clé. Comparez les options :
| Méthode de 2FA | Résistance au SIM swap | Confort |
|---|---|---|
| Code par SMS | Faible : intercepté avec le duplicata | Élevé |
| Appli d'authentification (TOTP) | Élevée : le code vit sur votre appareil, pas dans le numéro | Moyen |
| Clé de sécurité physique (FIDO/passkey) | Très élevée : exige l'appareil physique | Moyen |
| Notification push de la banque | Élevée : liée à l'appareil, pas au SMS | Élevé |
La recommandation pratique : migrez le second facteur de votre banque, votre messagerie et vos réseaux sociaux vers une appli d'authentification ou des clés/passkeys dès que le service le permet. Réservez le SMS uniquement aux services sans alternative.
Réduisez l'empreinte de données qu'on peut vous voler
Le SIM swap commence avec vos données. Moins il en circule, plus vous leur compliquez la tâche :
- Ne donnez jamais de données personnelles par téléphone ou SMS à qui vous appelle ou vous écrit sans que vous l'ayez initié. La règle d'or est la même que toujours : raccrochez et vérifiez par le canal officiel.
- Méfiez-vous de l'urgence. La pression d'agir « tout de suite » est la marque de la fraude.
- Revoyez ce que vous publiez sur les réseaux. Votre date de naissance, votre village ou le nom de votre animal peuvent être des réponses à des questions de sécurité.
- Surveillez les fuites. Si on vous signale une faille dans un service que vous utilisez, changez ce mot de passe et activez un 2FA robuste.
Activez des alertes et renforcez la messagerie
Votre compte de messagerie est la clé maîtresse : c'est de là que se récupèrent presque tous les autres mots de passe. Protégez-le avec la meilleure vérification possible et un 2FA qui ne dépende pas du SMS. Activez aussi les notifications de la banque pour tout accès ou mouvement : ce sont votre système d'alarme précoce, car elles vous alertent d'une activité suspecte même si l'attaquant contrôle déjà votre numéro (les push vont à l'appareil, pas à la ligne).
En quoi le SIM swapping diffère-t-il des autres arnaques téléphoniques ?
C'est facile à confondre, alors clarifions. Dans le vishing et le spoofing de l'identifiant, le délinquant vous trompe directement en feignant d'être votre banque pour que vous lui donniez les données ou autorisiez quelque chose. Dans le SIM swapping, la tromperie vise l'opérateur, et vous ne participez même pas à la conversation.
Autre différence clé : dans la plupart des fraudes téléphoniques, la défense est de ne pas répondre ni donner de données. Dans le SIM swapping, ça ne suffit pas, car l'attaque se passe en coulisses. Ici la défense est structurelle : le PIN opérateur, le 2FA sans SMS et la surveillance du réseau.
Cela dit, ils partagent un maillon initial commun : la collecte de données par phishing, smishing ou vishing. C'est pourquoi vous blinder contre ces premières tentatives vous protège aussi du SIM swap. Si vous recevez souvent beaucoup d'appels suspects, revoyez comment identifier et bloquer les numéros les plus signalés et consultez les tendances du spam en Espagne pour savoir quels schémas circulent.
En résumé : votre plan anti-SIM swap
Si vous ne retenez que quatre idées, que ce soient celles-ci :
- Activez le PIN opérateur dès aujourd'hui. C'est gratuit et c'est la barrière la plus efficace.
- Sortez le SMS de votre 2FA sur la banque, la messagerie et les réseaux. Utilisez des applis d'authentification ou des passkeys.
- Traitez la perte soudaine de réseau comme une urgence, pas comme une panne technique.
- Protégez votre messagerie par-dessus tout et activez les alertes bancaires.
Le SIM swapping fait peur parce qu'il attaque un service que vous croyiez inviolable : votre propre numéro. Mais c'est l'une des fraudes qui se préviennent le mieux si vous prenez les bonnes mesures à temps. Pas besoin d'être expert en sécurité ; il faut un appel à votre opérateur et une demi-heure à changer des réglages.
Et rappelez-vous que la communauté est votre meilleur radar. Beaucoup de SIM swaps commencent par un appel ou un SMS de collecte de données. Si vous en recevez un suspect, cherchez-le et signalez-le dans l'annuaire des numéros spam de NoCall : vous aidez une autre personne à reconnaître la menace avant de mordre à l'hameçon. Pour continuer à vous former, passez par nos guides et le reste du blog.
Vous avez reçu un appel suspect ?
Recherchez le numéro dans NoCall avant de partager des données, de rappeler ou de cliquer sur un lien.
Recherchez un numéro de téléphone ou un nom d'entreprise (EDF, Orange et SFR...) pour vérifier s'il a été signalé comme spam.
