Passer au contenu principal
Didit lève 7,5 M$ pour bâtir l'infrastructure pour l'identité et la fraude
Didit
Retour au blog
Blog · 13 juin 2026

Prévention de la fraude par échange de carte SIM : Comment la vérification téléphonique bloque les prises de contrôle de compte (FR)

Un échange de carte SIM donne à un attaquant le contrôle du numéro de téléphone de votre utilisateur, et de chaque code d'accès unique (OTP) par SMS qui suit.

Par DiditMis à jour le
sim-swap-fraud-prevention.png

Une attaque par échange de carte SIM est une technique de prise de contrôle de compte où un fraudeur convainc un opérateur mobile de transférer le numéro de téléphone d'une victime vers une carte SIM contrôlée par l'attaquant. Une fois qu'ils possèdent le numéro, chaque code d'accès unique (OTP) par SMS envoyé à ce numéro – pour la connexion, la réinitialisation de mot de passe ou l'approbation de transaction – tombe entre leurs mains, et non celles du titulaire légitime du compte.

L'attaque est particulièrement efficace car elle contourne la couche d'authentification que la plupart des utilisateurs et de nombreuses plateformes considèrent comme sécurisée. Comprendre comment fonctionnent les échanges de carte SIM, pourquoi les OTP par SMS seuls sont insuffisants et comment superposer des contrôles plus robustes est le fondement d'une défense efficace contre la prise de contrôle de compte (ATO).

Points clés à retenir

  • Un échange de carte SIM transfère le numéro de téléphone d'une victime vers une carte SIM contrôlée par un attaquant en utilisant l'ingénierie sociale auprès de l'équipe de service client d'un opérateur mobile.
  • Une fois qu'un attaquant possède le numéro, il peut recevoir des OTP par SMS (codes d'accès uniques) pour la connexion, la réinitialisation de mot de passe et la confirmation de transaction au nom de la victime.
  • L'OTP par SMS seul n'est pas un facteur d'authentification suffisant pour les comptes de grande valeur ; il est vulnérable aux attaques par échange de carte SIM, interception SS7 et hameçonnage d'OTP.
  • Superposer la vérification téléphonique avec les signaux d'appareil et d'adresse IP, et exiger une authentification biométrique pour les actions sensibles, ferme la surface d'attaque laissée ouverte par l'OTP par SMS.
  • Didit offre une vérification téléphonique multicanal (SMS, WhatsApp, Telegram, RCS, voix) ainsi qu'une analyse IP (0,03 $), une détection de vivacité passive (0,10 $) et une authentification biométrique (0,10 $) qui composent une pile d'authentification renforcée.

Comment fonctionne une attaque par échange de carte SIM

La séquence d'attaque est simple :

  1. Sélection de la cible — l'attaquant identifie une victime, généralement via des enregistrements de fuites de données ou des recherches sur les réseaux sociaux, et confirme le numéro de téléphone associé à son compte.
  2. Usurpation d'identité de l'opérateur — l'attaquant appelle l'opérateur mobile de la victime, se faisant passer pour le titulaire du compte. En utilisant des informations d'identification personnelles (PII) recueillies à partir de données de fuite ou de sources publiques, il demande un transfert de carte SIM — « J'ai perdu mon téléphone et je dois activer mon numéro sur cette carte SIM. »
  3. Numéro porté — l'opérateur, incapable de distinguer le fraudeur du client légitime, effectue le transfert. Le téléphone de la victime perd le service ; la carte SIM de l'attaquant reçoit tous les appels et SMS entrants.
  4. Prise de contrôle de compte — l'attaquant déclenche une réinitialisation de mot de passe sur la plateforme cible. L'OTP par SMS arrive sur son appareil. Il définit un nouveau mot de passe et contrôle le compte.

La victime ne le remarque généralement que lorsque son téléphone perd le service de manière inattendue ou qu'elle reçoit des alertes pour des actions qu'elle n'a pas effectuées — souvent après que les dégâts soient faits.

Pourquoi l'OTP par SMS n'est pas suffisant à lui seul

L'OTP par SMS a été conçu comme un deuxième facteur qui suppose qu'un numéro de téléphone est lié de manière sécurisée à une seule personne. L'échange de carte SIM rompt cette hypothèse au niveau de l'opérateur, en dehors du contrôle de la plateforme. Mais ce n'est pas la seule faiblesse :

Vulnérabilités du protocole SS7 — le protocole Signaling System 7 (SS7) qui achemine le trafic téléphonique mondial a des vulnérabilités documentées qui permettent à des acteurs sophistiqués d'intercepter les messages SMS en transit sans accès physique à la carte SIM.

Hameçonnage d'OTP — les kits d'hameçonnage en temps réel mettent en proxy un flux d'authentification, extrayant l'OTP que la victime saisit sur le faux site de l'attaquant et le rejouant sur la plateforme réelle dans la fenêtre de validité de l'OTP.

Fermes de cartes SIM — les réseaux de fraude organisés exploitent de vastes stocks de cartes SIM enregistrées sous des identités synthétiques, les utilisant pour recevoir des OTP pour des comptes qu'ils ont déjà compromis par bourrage d'identifiants.

Le schéma est cohérent : tout système qui traite l'OTP par SMS comme le contrôle de sécurité terminal a un point de défaillance unique qui peut être contourné sans toucher aux propres contrôles de sécurité de la plateforme.

La pile de défense : des couches qui travaillent ensemble

Une défense efficace contre l'échange de carte SIM n'est pas un contrôle unique — c'est une pile de signaux et d'étapes de vérification qui rend l'attaque non rentable à chaque étape.

Couche 1 : Renseignements téléphoniques à l'enregistrement

Avant d'émettre un OTP, recueillez des renseignements sur le numéro de téléphone lui-même. Les signaux utiles incluent :

  • Type de ligne : s'agit-il d'un numéro mobile ou d'un numéro VoIP (Voice over IP) ? Les numéros VoIP peuvent être provisionnés instantanément sans vérification de l'opérateur et sont couramment utilisés dans les opérations de fraude.
  • Opérateur et pays : l'opérateur correspond-il au pays déclaré par l'utilisateur ? Un numéro enregistré auprès d'un opérateur dans un pays que l'utilisateur n'a pas revendiqué mérite d'être signalé.
  • Accessibilité : l'OTP peut-il réellement être livré ? La livraison multicanal — SMS, WhatsApp, Telegram, RCS ou voix — teste l'accessibilité tout en offrant des options à l'utilisateur.

Ces signaux sont disponibles avant d'envoyer un seul OTP. Ils vous permettent d'appliquer des contrôles plus stricts aux numéros à plus haut risque sans affecter l'expérience des utilisateurs légitimes.

Couche 2 : Signaux d'appareil et d'adresse IP en parallèle de l'OTP

L'analyse IP à 0,03 $ ajoute un contexte que les renseignements téléphoniques seuls ne peuvent pas fournir : l'adresse IP est-elle cohérente avec l'emplacement déclaré de l'appareil ? La connexion provient-elle d'un VPN, d'un proxy ou d'un nœud de sortie Tor ? Cette adresse IP a-t-elle été associée à des tentatives de fraude antérieures ?

Un échange de carte SIM coïncide généralement avec une nouvelle session d'appareil — l'attaquant a un appareil différent de celui que l'utilisateur légitime a jamais utilisé. L'empreinte numérique de l'appareil qui suit la cohérence de la session (type d'appareil, empreinte numérique du navigateur/de l'application, fuseau horaire, paramètres de langue) peut signaler un appareil pour la première fois accédant à un compte de grande valeur lors d'une action sensible, avant même que l'OTP ne soit terminé.

Couche 3 : Authentification biométrique renforcée pour les actions sensibles

Le contrôle le plus robuste pour les moments à haut risque — retraits importants, nouvelles méthodes de paiement, récupération de compte, changements d'adresse — est une authentification biométrique renforcée qui exige que l'utilisateur effectue une vérification de vivacité correspondant à sa biométrie enregistrée.

Une authentification biométrique renforcée n'est pas quelque chose qu'un attaquant par échange de carte SIM peut satisfaire. Il a le numéro de téléphone ; il n'a pas le visage. La détection de vivacité passive à 0,10 $ et l'authentification biométrique à 0,10 $ sont les vérifications qui arrêtent la prise de contrôle de compte au point où elle causerait le plus de dégâts.

Le principe est une friction proportionnée : les sessions à faible risque se déroulent normalement ; les actions à haut risque déclenchent une vérification biométrique rapide et nativement mobile que l'utilisateur légitime remarque à peine, mais que l'attaquant ne peut pas passer.

Comment Didit aide

La vérification téléphonique de Didit délivre des OTP sur plusieurs canaux — SMS, WhatsApp, Telegram, RCS et voix — rejoignant les utilisateurs là où ils se trouvent et offrant une flexibilité de livraison que le SMS monocanal ne peut égaler. La livraison multicanal teste également l'accessibilité du numéro sur les protocoles : un numéro qui ne peut pas recevoir de message WhatsApp mais seulement des SMS a un profil de risque différent de celui qui est accessible sur tous les canaux.

Outre la vérification téléphonique, le flux de travail composable de Didit vous permet de superposer :

  • Analyse IP (0,03 $) — détection VPN/proxy/Tor, cohérence IP-pays, score de risque de fraude.
  • Détection de vivacité passive (0,10 $) — une vérification de vivacité biométrique de moins de 2 secondes qui vérifie que l'utilisateur est réel et présent, et non une photo statique.
  • Correspondance faciale 1:1 (0,05 $) — compare la capture en direct avec le portrait enregistré lors de l'intégration.
  • Authentification biométrique (0,10 $) — une vérification complète d'authentification renforcée qui rejoue la correspondance biométrique à la demande pour les actions de compte sensibles.

Tous ces éléments se combinent dans un unique flux de travail sans code configuré dans la console d'entreprise. Le déclencheur d'authentification renforcée — quel score de risque ou type d'action passe à la biométrie — est une configuration du générateur de flux de travail, pas un changement de code.

Cas d'utilisation

Sécurité des comptes de néobanque et d'IME — les demandes de retrait de grande valeur et les ajouts de nouveaux bénéficiaires sont les moments les plus risqués dans un compte financier. L'authentification biométrique renforcée à ces points ferme la fenêtre que les échanges de carte SIM exploitent.

Récupération de compte d'échange de crypto — les flux de récupération de compte sont la voie la plus exploitée dans l'ATO des échanges de crypto. Exiger une correspondance biométrique pendant la récupération de compte rend le flux résistant aux échanges de carte SIM.

Gestion de compte iGaming — les changements de méthode de dépôt et les demandes de retrait sont spécifiquement ciblés dans l'ATO des jeux car les paiements sont rapides et souvent irréversibles. La vérification renforcée à ces points de contact est une attente réglementaire sur les marchés agréés.

Marchés de consommation avec des méthodes de paiement stockées — les plateformes qui stockent les informations d'identification de paiement pour les comptes acheteurs et vendeurs ont besoin d'une vérification renforcée lorsqu'un utilisateur modifie son compte bancaire de paiement — un objectif courant dans la prise de contrôle de compte.

Questions fréquemment posées

Combien coûte la vérification téléphonique ?

Le prix de la vérification téléphonique de Didit est variable et dépend du canal de livraison et du volume. L'analyse IP est de 0,03 $ ; la détection de vivacité passive est de 0,10 $ ; l'authentification biométrique est de 0,10 $. Tous incluent 500 vérifications gratuites par mois sans minimum.

La vérification téléphonique empêche-t-elle toutes les attaques par échange de carte SIM ?

La vérification téléphonique seule ne suffit pas — un attaquant qui a déjà effectué un échange de carte SIM reçoit l'OTP. La défense vient de la superposition des renseignements téléphoniques, des signaux d'appareil et de l'authentification biométrique renforcée afin que la livraison de l'OTP ne soit pas le contrôle terminal.

Quelle est la différence entre la détection de vivacité passive et l'authentification biométrique ?

La détection de vivacité passive (0,10 $) vérifie que l'utilisateur est réel et présent lors de l'intégration. L'authentification biométrique (0,10 $) effectue une comparaison faciale avec correspondance de vivacité par rapport au portrait enregistré pour une authentification renforcée en cours de session — le contrôle qui arrête l'ATO aux points d'action sensibles.

Un attaquant peut-il contourner l'authentification biométrique renforcée ?

Une authentification biométrique renforcée nécessite le visage en direct de l'utilisateur légitime. Un attaquant par échange de carte SIM a le numéro de téléphone, pas le visage. La détection de vivacité passive avec plus de 200 signaux de fraude et la certification iBeta Level 1 PAD de Didit (0 % IAPAR / 360 attaques) est conçue pour détecter les attaques de présentation — photos, vidéos, masques — à la porte d'authentification renforcée.

Cela fonctionne-t-il pour la revérification en cours de session ?

Oui. Le mécanisme AWAITING_USER de Didit — emprunté au moteur de surveillance des transactions — peut suspendre une action sensible, déclencher une authentification biométrique renforcée et reprendre l'action automatiquement une fois que l'utilisateur la valide.

Prêt à commencer ?

La vérification téléphonique, l'analyse IP, la détection de vivacité passive et l'authentification biométrique sont tous des modules composables de la plateforme unifiée d'identité et de fraude de Didit — configurez-les ensemble dans le générateur de flux de travail sans écrire de code d'intégration supplémentaire.

Infrastructure pour l'identité et la fraude.

Une seule API pour le KYC, le KYB, la surveillance des transactions et le screening de portefeuilles. Intégration en 5 minutes.

Commencer gratuitementNous contacter
Demande à une IA de résumer cette page
Prévention de la fraude SIM Swap: Vérification Téléphonique | Didit.