Le Sim Swapping est une arnaque répandue, qui permet à des escrocs de s'emparer de votre numéro de téléphone. Seulement, une nouvelle méthode vient d'être signalée par une victime. Le principe ? Un faux SMS envoyé par SFR prétendant qu'une eSim a été commandée sur votre ligne.

Si la carte SIM reste encore le format dominant, depuis quelques années maintenant, tous les opérateurs français proposent à leurs clients d'opter pour l'eSIM, à condition d'avoir un smartphone compatible avec cette technologie évidemment.

Si vous n'êtes pas familier avec l'eSim, il s'agit en réalité d'une version miniaturisée de la carte SIM traditionnelle. Inamovible, elle est directement soudée à la carte mère. En plus de permettre aux constructeurs de se débarrasser du tiroir à carte SIM (et par extension de gagner une place précieuse pour d'autres composants), elle facilite nettement les modifications avec les opérateurs. En effet, les informations écrites sur l'eSim sont modifiables à distance à tout moment par votre opérateur. 

A lire également : Arnaques Sim Swap – déjà frappé par la crise, il se fait vider son compte en banque

Le SIM Swapping, une technique simple aux conséquences désastreuses

Maintenant que nous avons expliqué en détail ce qu'est l'eSIM, il faut aborder le principe de SIM Swapping. Pour résumer, il s'agit d'une méthode appréciée des escrocs pour transférer votre numéro de votre carte SIM à une carte SIM à leur possession. Pour ce faire, les arnaqueurs se contentent d'appeler le service client de votre opérateur en tentant de se faire passer pour vous.

Généralement, ils prétextent un vol, la perte du smartphone ou bien un problème de réseau par exemple. Pour manipuler les opérateurs, la manoeuvre n'est pas bien compliquée. Il suffit de fournir des informations personnelles comme votre date de naissance, votre adresse mail et postale ou autre (des données que l'on peut obtenir facilement sur les réseaux sociaux, ou bien sur des bases de données volées mises à la vente sur le dark web).

Une fois que les escrocs sont en possession de votre numéro, ils peuvent l'utiliser pour lancer des campagnes de phishing, ou encore pour débloquer l'accès à des services sensibles via la double authentification. En octobre 2020, la carte SIM d'une utilisatrice a été piratée via cette méthode. Le hacker a réussi à voler 17 000 euros sur son compte bancaire.

L'eSIM est révèle parfait pour le SIM Swapping

Or, l'eSIM convient visiblement parfaitement à cette méthode. En effet, un utilisateur raconte sur le site Signal-Arnaques.fr avoir été victime d'une nouvelle escroquerie. Voici le mode opératoire détaillé. Tout débute par la réception d'un faux SMS provenant de SFR. Il est écrit qu'une “carte eSIM a été commandée sur votre ligne”. Le texto contient un lien vous redirigeant vers une imitation parfaite du site de l'opérateur.

Ici, on vous demande naturellement de vous connecter avec votre identifiant et mot de passe SFR pour annuler la commande. Une fois un faux formulaire dûment rempli, l'utilisateur est prévenu que sa ligne pourra connaître quelques dysfonctionnements durant les prochaines 72 heures.

Vous l'aurez compris, c'est ici que le piège se referme sur vous. Les pirates vont évidemment récupérer les informations fournies pour commander avec vos identifiants une nouvelle carte SIM à votre nom. Résultat, les pirates s'emparent de votre numéro pour l'utiliser de manière frauduleuse. D'après le témoignage de la victime, les escrocs ont exploité la ligne pour :

• envoyer des dizaines de faux messages à des utilisateurs pour les inciter à payer une amende après une vidéo-verbalisation pour défaut de vignette Crit'Air
• passer des appels surtaxés en direction de numéros créés par les pirates (avec pour résultat une facture téléphonique de plusieurs centaines d'euros pour la victime)

Pour ne pas d'être victime de SIM Swapping, plusieurs réflexes sont bons à prendre. Tout d'abord, éviter de publier des informations personnelles sur le web, ou alors modifiez-les ou limiter au maximum leurs accès (cercle d'amis restreint, etc). Bien entendu, optez systématiquement pour la double authentification sur l'ensemble de vos comptes. Et pour ce faire, ne passer par votre numéro de téléphone et utilisez plutôt une application dédiée comme Google Authenticator.