Du jour au lendemain, votre téléphone portable ne parvient plus à accrocher le réseau et vous signale que votre carte SIM est invalide. Vous l’avez redémarré, toujours rien. Et pourtant, votre opérateur ne signale aucune panne dans votre secteur. Attention : vous êtes peut-être victime d’un détournement de votre ligne mobile. Et c’est potentiellement très grave.

En plus du traditionnel mot de passe, de nombreux services en ligne vous envoient un SMS contenant un code secret à usage unique pour vérifier votre identité au moment de la connexion. Parmi ces services figure votre banque, qui utilise certainement cette technique pour des opérations sensibles : connexion à votre banque en ligne, ajout de bénéficiaire de virement, édition de RIB, paiement par carte à distance, etc.

Une faille nommée « SIM swap »

Cette double authentification n’est malheureusement pas sans faille. S’il dispose des informations nécessaires - votre nom, votre adresse, votre date de naissance, votre numéro de mobile, etc - qu’il aura par exemple réussi à glaner en surveillant votre activité sur internet ou via un mail de phishing, un pirate aguerri peut en effet prendre le contrôle de votre ligne téléphonique, et donc réceptionner ces SMS à votre place.

Comment ? Il lui suffit de contacter votre opérateur mobile en se faisant passer pour vous - un contrôle d’identité n’est pas toujours exigé -, de signaler la perte de votre carte SIM et de s’en faire envoyer une nouvelle. Cette arnaque, souvent désignée sous le nom de « SIM swap » (échange de SIM), est certes complexe à mettre en œuvre. Elle n’en est pas moins suffisamment courante pour susciter la vigilance des banques et des opérateurs téléphoniques : Boursorama Banque, par exemple, vient d’envoyer à ses clients un email les informant sur ces fraudes à la carte SIM.

Un compte vidé en quelques heures

L’enjeu, il faut dire, est lourd. Avec le SIM swap, les possibilités de fraude sont multiples. Pour ne parler que de votre compte en banque, le pirate peut potentiellement prendre la main sur votre espace en ligne, y effectuer des virements à son bénéfice, régler des achats en ligne, etc. Bref, vider votre compte en quelques heures.

Dans son magazine Que Choisir (1), l’association de consommateurs UFC l’a récemment illustré en exposant le cas d’un client du Crédit Mutuel Nord Europe victime de cette fraude, et qui a subi près de 6 000 euros de débits frauduleux. Pire, sa banque a refusé de le rembourser, prétextant qu’il avait été imprudent, avant que la justice ne la contraigne à le faire.

Comment réagir ?

Votre SIM ne fonctionne plus ? Vous craignez d’être victime d’un détournement de votre ligne mobile ? Dans l'email envoyé à ses clients, Boursorama explique comment réagir.

Première chose à faire : contactez votre opérateur mobile pour comprendre ce qu’il se passe. Rendez-vous également immédiatement sur votre espace client en ligne de votre banque pour vérifier qu’il n’y a pas de débits suspects ou d’ajout de bénéficiaire de virement inconnu. Profitez-en pour changer votre mot de passe de connexion. Et ensuite joignez un conseiller pour prévenir votre banque de vos soupçons et lui demander d’être vigilante. Changez enfin les mots de passe de connexion de tous les services sensibles (boîte mail, opérateur télécom, réseaux sociaux, etc.) et vérifiez que l’email de secours utilisé par ces services pour vous alerter d’une nouvelle connexion n’a pas été modifié.

Plus généralement, soyez vigilant : consultez souvent vos relevés de compte, protégez votre matériel électronique et surtout, ne vous connectez jamais à votre compte bancaire en cliquant sur un lien reçu par email ou par SMS !

Lire sur le sujet : Compte bancaire : 6 conseils pour éviter le piratage et les arnaques

(1) Que Choisir n°586, décembre 2019