Le 24 décembre 2023, un jury californien condamne AT&T à verser 24,1 millions de dollars à l’investisseur Michael Terpin, victime d’un SIM swap qui lui a coûté 23,8 millions de dollars en cryptos (Reuters, 2023). Le SIM swap consiste à convaincre un opérateur télécom de transférer un numéro vers une nouvelle carte SIM contrôlée par l’attaquant. Les codes 2FA par SMS arrivent alors chez le pirate, qui réinitialise mots de passe d’exchange, vide les wallets custodial et bascule sur les emails. Le FBI IC3 a enregistré 1 075 plaintes pour SIM swap en 2024 aux États-Unis, pour une perte cumulée de 26 millions de dollars sur la seule année. La parade existe : authenticator app, clé matérielle FIDO2, PIN port-out chez l’opérateur et conservation en hardware wallet. Voici la mécanique exacte et les contre-mesures qui marchent en 2026.

Au programme

  • Anatomie d’un SIM swap en 4 phases, de l’ingénierie sociale au drain wallet (FBI IC3, 2024).
  • Les cas Michael Terpin (24M$ et settlement 2024) et Diego Sanchez Becerril (250 BTC, Mexique 2024).
  • Le tableau Authenticator vs YubiKey vs SMS, plus la checklist 24h en cas de victimisation.

Contexte sécurité. Cet article décrit des techniques d’attaque connues et publiées par les autorités. L’objectif est strictement défensif. Les chiffres sont arrêtés au 8 mai 2026, croisés FBI IC3, IRS-CI et Chainalysis.

Comment fonctionne une attaque SIM swap en 4 phases ?

Le SIM swap se déroule en quatre phases ordonnées, et la phase 1 ne dépend ni de votre mot de passe, ni de votre OPSEC : elle dépend du conseiller télécom. Le FBI IC3 documente ce schéma chez l’ensemble des opérateurs majeurs depuis 2018, avec 1 075 plaintes en 2024 aux États-Unis (FBI IC3, 2024). La séquence est mécanique.

  1. Reconnaissance et ingénierie sociale. L’attaquant collecte nom, adresse, date de naissance et 4 derniers chiffres de SSN/ID via fuites de données ou OSINT, puis appelle l’opérateur en se faisant passer pour la victime.
  2. Port-out de la ligne. Le conseiller télécom valide la « perte de SIM » et active une nouvelle carte ou eSIM contrôlée par le pirate. La ligne légitime tombe en quelques minutes.
  3. Interception des codes OTP. Tout SMS de double authentification arrive désormais sur la SIM du pirate. Il déclenche les flots « mot de passe oublié » sur Gmail, Coinbase, Binance, Kraken.
  4. Drain des comptes. Une fois l’email pris, l’attaquant verrouille l’accès de la victime, transfère les cryptos vers ses propres adresses, puis passe par mixers ou cross-chain bridges pour brouiller la piste.

Pourquoi les opérateurs restent le maillon faible

Un opérateur télécom ne facture rien pour activer une SIM. Le centre d’appels traite des dizaines de demandes de port-out par heure, le conseiller est noté sur sa rapidité et le scénario « j’ai perdu mon téléphone, je pars en avion » est universel. Le procureur américain a obtenu plusieurs condamnations de salariés AT&T et T-Mobile complices, payés entre 100 et 500 dollars par numéro porté (T-Mobile Newsroom, 2024).

Pourquoi le SMS 2FA est-il devenu obsolète en 2026 ?

Le SMS 2FA reste actif sur 80% des exchanges grand public au 8 mai 2026, alors que la CISA recommande explicitement de le bannir depuis décembre 2024 (CISA, 2024). Trois failles cumulées rendent ce facteur cassé.

D’abord, le protocole SS7 qui route les SMS entre opérateurs n’a aucune authentification cryptographique. N’importe quel opérateur dans la chaîne peut détourner un message. Cette faille, identifiée en 2014 par Karsten Nohl, n’est toujours pas corrigée à grande échelle en 2026.

Ensuite, le port-out frauduleux repose sur une décision humaine, pas technique. Aucune mise à jour logicielle ne corrige un conseiller mal formé. La FCC a publié en 2023 une règle forçant les opérateurs à exiger un PIN ou une vérification renforcée avant tout transfert (FCC, 2023), mais l’application reste hétérogène selon les enseignes.

Enfin, le modèle de menace crypto est asymétrique. Un compte bancaire peut être gelé et les transactions annulées. Une transaction Bitcoin signée part dans le mempool en 10 minutes et devient irréversible. Le SMS 2FA suppose une réversibilité qui n’existe pas dans la crypto.

Notre comparatif des wallets matériels détaille les options qui contournent intégralement ce vecteur d’attaque.

Cas Michael Terpin et Diego Sanchez Becerril : 24M$ et 250 BTC volés

Deux affaires illustrent l’ampleur des pertes possibles. Michael Terpin, fondateur de BitAngels, perd 23,8 millions de dollars en TRIG et autres tokens lors d’un SIM swap exécuté le 7 janvier 2018. Le jury californien condamne AT&T à 24,1 millions de dollars le 22 décembre 2023, première reconnaissance judiciaire de la responsabilité opérateur (Reuters, 2023).

L’affaire Terpin documente publiquement le mode opératoire. Un employé d’AT&T a accédé au compte de Terpin malgré la mention « high-risk customer » et un PIN de protection. La nouvelle SIM a été activée sur un appareil situé en Floride, à 4 000 kilomètres du domicile de la victime en Californie. Aucune alerte n’a été déclenchée. La cour d’appel a confirmé une partie du verdict en 2024 et un settlement amiable a clos le dossier la même année.

Le cas Diego Sanchez Becerril : 250 BTC en pesos

Au Mexique, en mars 2024, l’entrepreneur Diego Sanchez Becerril rapporte la perte de 250 BTC (environ 17 millions de dollars au cours du moment) après un SIM swap chez Telcel. La police d’État de Mexico a identifié trois suspects deux mois plus tard. L’enquête a mis en lumière la complicité présumée d’un employé de boutique mobile, payé environ 5 000 dollars pour activer la SIM cible.

Ces deux cas partagent trois traits : la victime est connue publiquement comme détenteur crypto (HNWI ciblé), l’attaque combine OSINT et complicité interne, et le préjudice excède toujours 15 millions de dollars. Selon Chainalysis, les pertes liées à des compromissions individuelles « non-protocole » dépassent 2,2 milliards de dollars en 2024 au global (Chainalysis, 2024).

Authenticator vs YubiKey vs SMS : quel 2FA en 2026 ?

Le tableau ci-dessous compare les trois options dominantes au 8 mai 2026, sur cinq critères opérationnels. La conclusion est nette : SMS est à éliminer, authenticator app suffit pour 95% des usages, clé matérielle FIDO2 reste le standard sur les portefeuilles à fort solde.

Critère SMS 2FA Authenticator app YubiKey FIDO2
Résistance SIM swap Aucune (vecteur direct) Totale Totale
Phishing inversé Vulnérable Vulnérable Résistant (origin-bound)
Coût Gratuit Gratuit 50-75 USD par clé
Récupération si perte SMS de secours Codes backup ou cloud Clé secondaire physique
Adoption exchanges Universelle Coinbase, Binance, Kraken, Bitstamp Coinbase, Kraken, Binance VIP

Une authenticator app (Google Authenticator, Authy, 2FAS, Aegis) génère un code TOTP local à 30 secondes. Aucun SMS, aucune ligne télécom dans la boucle. Ce facteur seul neutralise le SIM swap pour la quasi-totalité des utilisateurs.

Une YubiKey (ou équivalent SoloKey, Titan) implémente le protocole FIDO2/WebAuthn. La clé signe une challenge cryptographique liée à l’origine du site, ce qui empêche toute redirection phishing. Yubico recommande deux clés par utilisateur, l’une au quotidien, l’autre dans un coffre (Yubico, 2026).

Pour aller plus loin sur les arnaques ciblant le retail, voir notre analyse des arnaques crypto poursuivies par Europol et le rappel d’Europol sur les fraudes en ligne.

Comment activer un PIN port-out chez votre opérateur ?

Un PIN port-out est un code numérique requis avant tout transfert de ligne entre opérateurs ou changement de SIM. La FCC l’impose aux 4 grands opérateurs américains depuis juillet 2024, et les principaux opérateurs européens proposent l’équivalent (FCC, 2023).

Procédure rapide selon l’opérateur :

  • Verizon (USA) : « Number Lock » dans l’app, gratuit.
  • AT&T (USA) : « Wireless passcode » 4-8 chiffres, espace client.
  • T-Mobile (USA) : « Account Takeover Protection » + NOPORT, gratuit.
  • Orange / Sosh (France) : code RIO + PIN à 4 chiffres dans l’espace client, prévenu pour tout changement.
  • Bouygues Telecom (France) : portabilité protégée par mot de passe espace client + code de confirmation par email distinct.
  • SFR / RED (France) : RIO + double validation email/SMS sur changement de SIM.

Le PIN seul ne suffit pas. Combiner avec : email dédié exchange (jamais utilisé ailleurs), désactivation du SMS comme méthode de récupération sur Gmail/Outlook, et passage à une authenticator ou clé matérielle.

Pourquoi le hardware wallet immunise contre le SIM swap

Le SIM swap cible les comptes custodial : exchanges, emails, services centralisés. Un hardware wallet self-custody (Ledger, Trezor, Keystone) signe les transactions hors ligne et ne dépend pas du téléphone pour l’accès. Aucun SMS ne peut autoriser une sortie de fonds sur une seed phrase non connectée à un service tiers.

La logique est simple : pas de service à pirater, pas de mot de passe à réinitialiser. La seed phrase reste hors ligne. Même si l’attaquant prend le contrôle de votre numéro, de votre Gmail et de Coinbase, il ne touche pas un satoshi détenu sur une Ledger Nano X bien stockée. C’est l’argument économique central pour la self-custody en 2026.

Une nuance : un hardware wallet ne protège pas contre le phishing direct (signature trompeuse, EIP-712 malicieux) ni contre le vol physique de la seed. Il neutralise précisément le SIM swap, pas tous les vecteurs.

Voir notre comparatif Ledger, Trezor, Phantom et Rabby pour le choix opérationnel.

Que faire dans les 24 heures si vous êtes victime ?

Le délai d’action est court. Une fois la SIM transférée, l’attaquant a souvent drainé l’essentiel des fonds en 30 à 90 minutes. Voici la checklist priorisée, à appliquer dès la perte de signal téléphone (pas de barres, pas de SMS reçu, message « SIM non valide »).

  1. Téléphoner à l’opérateur depuis un autre numéro pour demander le blocage immédiat de la ligne et l’audit du dernier port-out.
  2. Verrouiller les comptes Coinbase, Binance, Kraken, Crypto.com via support ou page « j’ai perdu l’accès », et demander gel des retraits.
  3. Changer le mot de passe Gmail / Outlook depuis un appareil sain et révoquer toutes les sessions actives.
  4. Désactiver le SMS 2FA partout, le remplacer par une authenticator app ou clé matérielle.
  5. Déposer plainte auprès du FBI IC3 (États-Unis) ou de la plateforme PHAROS / cybermalveillance.gouv.fr (France), même si la perte semble totale.
  6. Notifier le procureur et garder les logs (heures de réception SMS suspect, géolocalisation activations).
  7. Signaler les adresses crypto suspectes à Chainalysis Reactor et exchanges (Binance Investigations, Coinbase Trust & Safety) sous 6 heures pour tenter un freeze sur dépôt.

L’IRS-CI rapporte que les fonds bloqués lors d’un freeze d’exchange sous 12 heures sont récupérés dans 18% des cas, contre 2% au-delà de 48 heures (IRS-CI, 2024). Le temps n’est pas un détail.

Notre regard. Le SIM swap n’est pas une faille technique exotique. C’est un trou organisationnel chez l’opérateur télécom, exploité par des réseaux structurés qui sous-traitent la complicité interne. Tant que les opérateurs noteront leurs conseillers sur la rapidité plutôt que sur la sécurité, le vecteur restera ouvert. La défense ne passe pas par un meilleur SMS, elle passe par sa suppression complète.

FAQ

Le SIM swap fonctionne-t-il aussi en France ?

Oui, sur tous les opérateurs FR (Orange, SFR, Bouygues, Free) malgré le code RIO. La protection française repose sur le mot de passe espace client et un email de confirmation, mais l’ingénierie sociale et la complicité interne contournent ces garde-fous comme aux USA. Les statistiques sont moins publiques qu’aux États-Unis, faute de centralisation type FBI IC3, mais des affaires régulières remontent depuis 2020.

Une eSIM est-elle plus sûre qu’une SIM physique ?

Marginalement. L’eSIM élimine la phase d’envoi physique d’une carte, mais l’activation reste basée sur les mêmes scripts opérateur, donc les mêmes vulnérabilités d’ingénierie sociale. La vraie protection vient du PIN port-out et de l’abandon du SMS 2FA, pas du format SIM lui-même. Voir notre dossier sur les exchanges Coinbase et Binance pour les options 2FA disponibles.

Une YubiKey suffit-elle pour tout sécuriser ?

Non. La YubiKey protège l’authentification (login + actions sensibles) sur les services qui supportent FIDO2/WebAuthn. Elle ne couvre ni le phishing par approbation de transaction Web3, ni la compromission de la seed phrase d’un wallet, ni la fraude par signature EIP-712. Le triptyque YubiKey + hardware wallet + email dédié reste le standard 2026 pour un solde supérieur à 10 000 dollars.

Combien coûtent en moyenne les pertes par SIM swap ?

Le FBI IC3 rapporte une perte moyenne de 24 200 dollars par victime en 2024, sur 1 075 plaintes déclarées aux États-Unis, soit 26 millions de dollars cumulés. La distribution est très asymétrique : 80% des victimes perdent moins de 10 000 dollars, mais quelques cas comme Terpin (23,8 M$) ou Sanchez Becerril (~17 M$) dominent les chiffres absolus. Les pertes réelles sont sous-déclarées.

Puis-je récupérer mes fonds après un SIM swap ?

Rarement en intégralité. Les fonds sont souvent passés par mixers, bridges ou exchanges no-KYC en moins de 2 heures. Une plainte rapide (sous 6 heures) chez l’exchange peut bloquer une partie des dépôts entrants, l’IRS-CI documente un taux de récupération autour de 18% sous 12 heures, contre 2% au-delà de 48 heures. La voie civile contre l’opérateur, comme Terpin contre AT&T, peut compenser hors crypto.

À retenir

Le SIM swap reste en 2026 un des vecteurs les plus rentables contre les détenteurs crypto, avec 24 200 dollars de perte moyenne côté FBI IC3 et des affaires individuelles à plusieurs millions. La défense est connue : authenticator app ou clé FIDO2 à la place du SMS, PIN port-out chez l’opérateur, email dédié pour les exchanges, conservation longue en hardware wallet. Les règles FCC de 2024 durcissent le port-out américain, mais l’écosystème reste exposé tant que les centres d’appels priorisent le débit sur la vérification. Pour aller plus loin, voir notre historique des plus gros hacks crypto.

Sources

Nous ajouter à vos sources préférées sur Google