Comment protéger ses cryptos du SIM swap
Un SIM swap peut commencer par un simple appel au support d'un opérateur et se terminer par l'exposition de votre adresse e-mail et de vos comptes sur les plateformes crypto, avant même que vous ne remarquiez que votre téléphone n'a plus de réseau. L'attaquant n'a pas besoin de logiciels malveillants. Il lui suffit de faire transférer votre numéro de téléphone vers une carte SIM qu'il contrôle. Pour protéger vos cryptos contre le SIM swap, désactivez la 2FA par SMS, utilisez une application d'authentification, séparez les soldes destinés aux échanges à court terme de vos avoirs à long terme, et conservez les montants importants dans un hardware wallet en auto-conservation.
Le SIM swap fait partie des méthodes de vol de cryptos les plus efficaces, car il contourne la sécurité sur laquelle beaucoup d'utilisateurs s'appuient : l'authentification à deux facteurs par SMS. Les SMS peuvent être détournés par un SIM swap, c'est pourquoi les comptes liés aux cryptos et aux plateformes d'échange devraient utiliser des applications d'authentification plutôt que les SMS. Ce guide explique précisément comment fonctionne l'attaque, comment la reconnaître pendant qu'elle se déroule et quoi faire pour vous protéger.
Comment fonctionne une attaque par SIM swap
L'attaque est plus simple que beaucoup ne l'imaginent. Pas de malware. Pas de piratage technique. Juste le support de l'opérateur.
Étape 1: recherche. L'attaquant collecte d'abord vos données personnelles : numéro de téléphone, nom, adresse postale et adresse e-mail. Certaines proviennent de fuites de données, notamment d'une fuite documentée chez un grand fabricant de hardware wallets qui a exposé les noms, adresses, e-mails et numéros de téléphone de plus de 270 000 clients. Les conséquences ont inclus des attaques de type SIM swap visant ces utilisateurs. D'autres informations proviennent des réseaux sociaux ou d'autres sources en ligne.
Pour les utilisateurs de cryptos, le risque est maximal lorsqu'un compte sur une plateforme custodiale dépend d'un accès par SMS. Les wallets de plateformes d'échange sont des hot wallets custodiaux en ligne : la plateforme contrôle les clés, tandis que vous accédez aux fonds via une connexion à un service. C'est cette connexion qui constitue le point faible. Si votre plateforme d'échange ou votre compte e-mail utilise les SMS pour la réinitialisation du mot de passe ou l'authentification à deux facteurs, votre numéro de téléphone fait partie du parcours de récupération. Dès qu'un attaquant contrôle ce numéro, les messages qui vous étaient destinés peuvent être reçus sur son appareil.
En pratique, cela donne ceci : vos Bitcoin, ETH ou USDT conservés sur une plateforme d'échange sont protégés par votre compte sur cette plateforme. Si ce compte peut être réinitialisé par SMS, le solde du wallet est aussi vulnérable que votre compte auprès de l’opérateur. Un SIM swap transforme un problème lié au numéro de téléphone en un problème de compte crypto.
Signes indiquant que vous avez subi un SIM swap
Le signal d'alerte le plus clair est un téléphone qui perd soudainement le réseau mobile alors que vous ne changez ni d'appareil, ni d'opérateur, et que vous ne traversez pas une zone blanche. Traitez la situation comme urgente si ce même numéro est associé à votre e-mail, à vos comptes sur des plateformes crypto ou à vos options de récupération de mot de passe.
Les signaux du côté du compte comptent tout autant. Surveillez les e-mails de réinitialisation de mot de passe que vous n'avez pas demandés, les notifications de connexion à une plateforme que vous ne reconnaissez pas, ou les demandes de double authentification qui arrivent alors que vous ne vous connectez pas. Si votre boîte mail affiche des alertes de sécurité de Coinbase, Binance, Kraken, Gemini ou d'une autre plateforme custodiale, partez du principe que le compte est ciblé tant que vous n'avez pas prouvé le contraire.
N'attendez pas une explication parfaite. Si vous perdez soudainement le signal mobile et voyez apparaître des e-mails de réinitialisation de mot de passe ou des demandes de sécurité inattendues, traitez la situation comme une prise de contrôle de compte en cours, surtout si des fonds importants se trouvent sur une plateforme d'échange. Vérifiez vos comptes crypto depuis une connexion sécurisée, examinez les connexions récentes et l'activité de retrait, puis désactivez la récupération par SMS partout où le compte le permet. Si vous détenez encore un solde important sur une plateforme, transférez la partie destinée au long terme vers l'auto-conservation après avoir repris le contrôle du compte.
Cette section se concentre volontairement sur les comptes. Les procédures de récupération auprès des opérateurs varient selon le fournisseur, le pays et les paramètres du compte. Le réflexe crypto reste le même partout : réduire les dégâts en retirant les SMS du parcours d'accès et en gardant les avoirs importants à l'écart des connexions aux services de garde-fonds.
Comment protéger vos comptes sur les plateformes crypto
Voici le vrai problème : la plupart des gens activent la 2FA par SMS parce que c'est l'option proposée par défaut par les plateformes d'échange. Cela ressemble à de la sécurité. Ce n'en est pas, surtout pour les comptes qui détiennent des montants importants en cryptos.
Supposons que vous conserviez 5 000 $ sur Coinbase. Remplacer les SMS par une application d'authentification signifie qu'un attaquant ayant réussi un SIM swap peut recevoir vos SMS, mais ne peut toujours pas générer le code de connexion.
Supprimez la 2FA par SMS de chaque compte crypto. Remplacez-la par l'une de ces options :
Application d'authentification (Google Authenticator ou Authy). Ces applications génèrent localement, sur votre téléphone, des codes à usage unique fondés sur le temps. Elles n'ont aucun lien avec votre carte SIM. Un attaquant ayant détourné votre carte SIM peut lire vos SMS, mais il ne peut pas générer les codes d'une application d'authentification à laquelle il n'a pas accès physiquement. Tout compte lié à une plateforme crypto ou aux cryptos devrait utiliser une application d'authentification plutôt que les SMS.
Clé de sécurité matérielle (comme une YubiKey). Utilisez-en une pour les comptes d'échange à forte valeur lorsque la plateforme la prend en charge. Coinbase prend en charge YubiKey pour protéger les comptes. Un attaquant ayant réussi un SIM swap peut voler des SMS, mais il ne peut toujours pas accéder à la clé physique requise pour la connexion, le trading ou les retraits.
Verrouillez également la couche liée au numéro de téléphone. Définissez un code PIN de compte opérateur différent du code de déverrouillage de votre téléphone, puis demandez à votre opérateur une protection contre le portage, un verrouillage du numéro, un verrouillage de la SIM ou un gel du portage. Les formulations varient selon les opérateurs. L'objectif est simple : rendre les transferts de numéro et les changements de carte SIM plus difficiles à approuver à distance.
Utilisez une adresse e-mail dédiée aux plateformes d'échange de crypto. Ne la réutilisez pas pour les achats, les réseaux sociaux ou les newsletters. Supprimez la récupération par SMS pour cette adresse e-mail, protégez-la avec une application d'authentification ou une clé matérielle, et stockez les codes de secours hors ligne.
Les mots de passe robustes, les appareils à jour, la vérification attentive des URL et les phrases de récupération privées restent importants. Ils réduisent le risque lié aux hot wallets, mais ne modifient pas l'entité qui détient les clés sur une plateforme d'échange. C'est pourquoi le renforcement d'un compte d'échange est limité. Il protège les achats, les ventes et les soldes à court terme. Il ne transforme pas Coinbase, Binance, Kraken, Gemini ni d'autres plateformes similaires en solutions d'auto-conservation.
Séparez donc les usages. Ne gardez sur une plateforme que le montant nécessaire au trading ou aux dépenses à court terme. Transférez les avoirs à long terme vers un wallet dont vous contrôlez la clé privée.
Pourquoi les hardware wallets sont immunisés contre le SIM swap
Voici ce que donne la comparaison entre plusieurs méthodes de stockage :
| Emplacement des actifs | Risque de SIM swap | Pourquoi |
|---|---|---|
| Compte d'échange avec 2FA par SMS | Critique | Le SIM swap contourne directement la 2FA par SMS. Réinitialisation du mot de passe, compte vidé. |
| Compte d'échange avec application d'authentification | Faible | Le SIM swap ne permet pas de générer les codes de l'application d'authentification. |
| Hardware wallet Tangem (auto-conservation) | Aucun | L'accès nécessite la possession physique de la carte. Aucune authentification par téléphone dans le parcours d'accès. |
Tangem se trouve dans la catégorie « aucun », car l'accès nécessite la carte. Tangem Cold Wallet stocke vos clés privées dans une puce à élément sécurisé Samsung S3D350A, certifiée EAL6+ selon les Common Criteria. La clé privée est générée dans la puce lors de la configuration et ne quitte jamais la carte, en aucune circonstance.
Pour signer une transaction, vous approchez la carte physique de votre téléphone. C'est tout. Aucun code SMS. Aucune connexion par e-mail. Aucun compte cloud. La carte est la clé.
Concrètement, cela signifie qu'un attaquant pourrait détourner votre numéro par SIM swap, prendre le contrôle de votre e-mail, télécharger l'application Tangem et l'ouvrir sur son propre appareil. Il ne peut toujours pas accéder à votre wallet. Sans la carte physique en main, il n'a rien. Le parcours d'attaque qui vide les comptes d'échange n'existe pas pour les hardware wallets en auto-conservation.
C'est la différence fondamentale entre le stockage custodial et le non-custodial. Les wallets custodiaux, comme les plateformes Coinbase, Binance et Kraken, contrôlent les clés privées, tandis que vous contrôlez la connexion au compte. Cette connexion peut être réinitialisée par SMS. Les hardware wallets non-custodiaux placent la clé entre vos mains, littéralement, et suppriment entièrement le parcours de récupération dépendant du numéro de téléphone.
Une mise en garde mérite d'être formulée : si vous perdez toutes vos cartes de secours Tangem et que vous n'avez pas de seed phrase, la récupération des fonds est impossible. Aucune entité, y compris Tangem, ne peut récupérer les fonds. C'est le compromis d'une véritable auto-conservation. La même architecture qui rend les attaques à distance impossibles signifie aussi qu'il n'existe pas de porte dérobée permettant la récupération. Tangem recommande de conserver les cartes dans des lieux distincts : une avec vous, une chez vous, une auprès d'une personne de confiance.
Tangem a distribué plus de 3 millions d'appareils depuis 2018, avec zéro piratage réussi signalé. Le firmware est audité par Kudelski Security et Riscure. Le code source de l'application est open source sur GitHub. Le modèle de sécurité peut être vérifié, pas seulement affirmé.
Checklist complète de protection contre le SIM swap
Suivez ces étapes dans l'ordre. Le premier groupe protège vos comptes d'échange dès aujourd'hui. Le dernier point retire entièrement vos avoirs les plus importants de la surface d'attaque liée au SIM swap.
- Supprimer la 2FA par SMS de tous les comptes sur les plateformes d'échange crypto
- Ajouter une application d'authentification (Google Authenticator ou Authy) à tous les comptes d'échange
- Ajouter une clé de sécurité matérielle pour les comptes d'échange à forte valeur
- Définir un code PIN de compte opérateur différent du code PIN de votre téléphone
- Demander à votre opérateur une protection contre le portage, un verrouillage de la SIM, un verrouillage du numéro ou un gel du portage
- Créer une adresse e-mail dédiée aux cryptos
- Supprimer la récupération par SMS de cette adresse e-mail dédiée aux cryptos
- Transférer les avoirs crypto importants des plateformes d'échange vers un hardware wallet Tangem
Les mesures liées aux comptes sont gratuites et prennent un après-midi. Le temps de configuration de Tangem Cold Wallet est indiqué entre 1 et 3 minutes. Ensemble, ces étapes réduisent le risque pesant sur les comptes d'échange et sortent les avoirs à long terme des parcours d'accès dépendants du numéro de téléphone.
FAQ
-
Non. Si vos cryptos sont dans un hardware wallet en mode auto-conservation, comme Tangem, un SIM swap ne peut pas les voler. L'attaque ne fonctionne que contre les comptes protégés par une authentification par SMS. L'autoconservation signifie que la clé privée est stockée dans une puce matérielle intégrée à une carte physique. Il n'existe aucun compte protégé par numéro de téléphone à réinitialiser, ni aucun parcours de récupération par e-mail à exploiter. Un attaquant qui détourne votre numéro via un SIM swap n'obtient rien de quoi atteindre votre wallet.
-
Les deux sont nettement plus sûrs que la 2FA par SMS pour les comptes liés aux cryptos. Les recommandations du Vault citent Google Authenticator et Authy comme exemples d'applications d'authentification à privilégier plutôt que les SMS, car ces derniers peuvent être détournés par un SIM swap. La différence pratique porte sur la récupération. Si vous détenez 5 000 $ sur une plateforme d'échange, l'une ou l'autre application représente une amélioration majeure par rapport aux SMS, car le code n'est pas envoyé sur votre numéro de téléphone. Google Authenticator peut conserver les codes localement si la synchronisation avec le cloud est désactivée. Authy peut être pratique en cas de perte de téléphone, mais la sauvegarde dans le cloud implique de sécuriser le compte Authy lui-même avec soin.
-
Changez-la avant d'ajouter davantage d'argent. Commencez par le compte d'échange affichant le solde le plus élevé, puis passez aux autres. Remplacez les SMS par une application d'authentification partout où la plateforme le permet, enregistrez les codes de secours hors ligne et vérifiez que votre compte e-mail évite, lui aussi, la récupération par SMS. Si vous conservez 100 USDT sur une plateforme pour des trades rapides, le risque se limite au solde de ce compte. Si vous y gardez 1 BTC ou une position importante en ETH, les enjeux changent. Transférez la partie destinée au long terme vers l'auto-conservation une fois le compte sécurisé.
-
Il supprime le risque associé au compte d'échange pour les fonds que vous transférez. Il ne protège pas l'argent qui reste sur Coinbase, Binance, Kraken, Gemini ou sur une autre plateforme custodiale. Voyez cela comme une séparation des soldes par usage. Votre compte d'échange peut servir aux achats, aux ventes ou au trading à court terme. Votre wallet Tangem détient les cryptos que vous ne voulez pas exposer à une connexion à un service, à une réinitialisation de mot de passe ou à un processus de récupération par SMS. Si le compte d'échange est ultérieurement compromis, l'attaquant ne pourra toujours pas accéder aux actifs déjà transférés sur la carte.
-
Non. Tangem n'exige ni la création de compte ni le KYC pour l'utilisation de base du wallet. Tangem ne collecte aucune donnée personnelle : ni nom, ni adresse, ni e-mail, ni numéro de téléphone. Les transactions se connectent directement aux nœuds publics de la blockchain, sans passer par des serveurs de Tangem. Il n'existe aucun compte Tangem à compromettre, ni aucun profil de données personnelles qu'un attaquant pourrait utiliser comme point de départ. C'est important, car les attaques par SIM swap commencent souvent par des données d'identité. Une fuite exposant les noms, adresses physiques, e-mails et numéros de téléphone de 270 000 clients fournit aux attaquants des informations utiles. L'utilisation de base du wallet Tangem ne crée pas ce type de profil de compte.
Demandez à l’IA si Tangem correspond à vos besoins
