ApprendreInvestir

SIM swap : 30 minutes pour blinder tes cryptos

Un SIM swap peut vider tes comptes en quelques minutes. Je te montre les réglages simples à faire tout de suite pour verrouiller ton numéro et ton 2FA.

Sécuriser ses cryptos8 min de lecture
Partager
SIM swap : 30 minutes pour blinder tes cryptos

SIM swap : 30 minutes pour blinder tes cryptos

SIM swap : 30 minutes pour blinder tes cryptos

Tu peux avoir le meilleur mot de passe du monde, un Ledger, un coffre-fort, des post-it brûlés à la flamme... si ton numéro de téléphone se fait voler, tu peux te faire retourner en quelques minutes. Oui, quelques minutes. Le SIM swap, c'est exactement ça : un pirate réussit à faire transférer ton numéro sur une autre carte SIM, et d'un coup, il reçoit tes SMS, tes appels... et surtout tes codes 2FA par SMS.

La première fois que j'ai vraiment pris ça au sérieux, c'est après avoir vu un pote se faire "déconnecter" de son WhatsApp en pleine soirée. Son téléphone avait du réseau, mais plus rien ne passait. Deux heures plus tard, son compte d'échange crypto était vidé. Le pire ? Son mot de passe était bon. Son erreur, c'était le SMS.

Bon, la bonne nouvelle : tu peux réduire le risque très fort en 30 minutes, sans te transformer en expert cybersécurité. Je te donne une checklist simple, concrète, et je te dis ce que je fais perso.

Le SIM swap, c'est quoi exactement (et pourquoi ça fait si mal) ?

Imagine : le pirate appelle ton opérateur (ou passe en boutique), se fait passer pour toi, et demande un "remplacement de SIM" parce que "j'ai perdu mon téléphone" ou "ma SIM ne marche plus". Si l'opérateur se fait avoir, ton numéro bascule sur la SIM du pirate. Ton téléphone, lui, perd le réseau.

À partir de là, le pirate peut :

Recevoir tes SMS de réinitialisation de mot de passe, valider des connexions, récupérer des codes de double authentification par SMS. Et si ton email est aussi protégé par SMS... c'est souvent le domino final : email → reset du mot de passe de l'exchange → retrait.

Franchement, le truc qui fait peur, c'est que ça ne demande pas forcément du "hack" technique. C'est souvent du social engineering. De la manipulation humaine. Et ça, ça marche trop bien.

Le plan en 30 minutes : ce que je sécurise en priorité

Je vais être direct : si tu fais une seule chose après avoir lu ce billet, vire le 2FA SMS partout où tu peux. Le SMS, c'est pratique, mais en crypto c'est une serrure en carton.

Mon ordre de priorité perso :

  1. Sortir du 2FA SMS (exchange + email en premier)
  2. Mettre une vraie authentification (appli ou clé physique)
  3. Verrouiller le numéro chez l'opérateur (anti-SIM swap)
  4. Nettoyer les options "récupération" (email secondaire, numéro, etc.)

Allez, on déroule.

Étape 1 - Arrête le 2FA par SMS (là où ça compte vraiment)

Question simple : ton exchange principal (Binance, Kraken, Coinbase, Bybit, etc.), il t'envoie des codes par SMS ? Si oui, tu joues avec le feu. Même si tu as un "bon mot de passe". Même si tu as "jamais eu de souci". Les soucis arrivent le jour où tu t'y attends le moins.

Ce que je recommande à la place

Personnellement, je préfère dans cet ordre :

1) Clé physique (type YubiKey)
Si tu peux, c'est le top. Le pirate peut avoir ton mot de passe, ton email... sans la clé, il reste dehors. Après avoir testé une YubiKey sur mes comptes sensibles, j'ai arrêté de me raconter des histoires : c'est juste plus solide, point.

2) Appli d'authentification (Aegis, 2FAS, Google Authenticator)
Ça reste très bien. Mais attention : protège ton téléphone (PIN solide, biométrie, chiffrement) et pense aux sauvegardes. J'aime beaucoup Aegis (Android) pour le côté backup chiffré. Sur iPhone, 2FAS est vraiment cool et simple.

À éviter si tu peux : SMS
Ça dépanne, mais en crypto, c'est une porte d'entrée.

Étape 2 - Sécurise ton email (sinon tout le reste sert à moitié)

Tu veux un scénario classique ? Le pirate prend ton numéro → il reset ton email → il reset l'exchange. Fin de partie. Du coup, ton email doit être blindé.

Mes réglages "minimum vital" sur l'email

  • 2FA sans SMS (appli ou clé physique)
  • Mot de passe unique (jamais réutilisé ailleurs)
  • Suppression/contrôle des méthodes de récupération (numéro de téléphone, email secondaire)
  • Alertes de connexion activées

Un truc que j'ai fait et que je te conseille : j'ai créé un email "propre" dédié à la crypto, que je n'utilise nulle part ailleurs (pas de newsletters, pas de sites random). Moins il circule, moins il attire les ennuis. Simple.

Étape 3 - Verrouille ton numéro chez l'opérateur (anti-SIM swap)

On arrive au cœur du sujet : empêcher le transfert de SIM. Là, ça dépend de ton opérateur (Orange/Sosh, SFR/RED, Bouygues/B&You, Free...). Les menus changent, les termes aussi, et parfois c'est planqué. Mais le principe reste le même : ajouter une barrière "humaine" pour éviter qu'un conseiller valide un remplacement de SIM à la légère.

Ce que tu peux demander/activer

Quand j'ai appelé mon opérateur la première fois, j'ai dû insister un peu, parce que le conseiller ne comprenait pas trop le besoin. Du coup je te donne les mots-clés qui marchent :

1) Un code secret / mot de passe support
Tu définis un code que le service client doit demander avant toute action sensible (changement de SIM, portabilité, modification d'options). Si on ne te le propose pas, demande : "Je veux un mot de passe de sécurité obligatoire pour toute demande".

2) Blocage du remplacement de SIM à distance
Certains opérateurs peuvent restreindre les remplacements de SIM (ou exiger un passage en boutique + pièce d'identité). L'objectif : éviter le "coup de fil magique".

3) Alertes immédiates
Active les notifications (mail/app) sur toute modification de ligne. Le but, c'est d'être prévenu à la seconde où quelque chose bouge.

4) Vérifie la portabilité
Le transfert vers un autre opérateur, c'est une autre porte. Demande quelles protections existent contre une portabilité frauduleuse.

Et franchement : si ton opérateur te semble "léger" sur ces sujets, réfléchis à changer. Je sais, c'est relou. Mais perdre un numéro, ça se récupère parfois. Perdre des cryptos, beaucoup moins.

Étape 4 - Coupe les "raccourcis" qui aident les pirates

Tu sais les petits détails qu'on néglige ? C'est souvent là que ça passe.

Ce que je nettoie systématiquement

Les infos publiques
Ton numéro de téléphone est affiché quelque part ? LinkedIn, site pro, vieilles annonces, bio Insta, signature d'email... Bref, tout ce qui aide un pirate à te "doxxer" et à construire un scénario crédible face au support client.

Les questions secrètes
Si tu as encore des "nom de jeune fille de ta mère / ville de naissance", change pour des réponses aléatoires stockées dans un gestionnaire de mots de passe. Les vraies réponses se devinent ou se trouvent.

Les appareils connectés
Sur tes emails et exchanges, regarde la liste des appareils/sessions actives. Je fais le ménage régulièrement. Quand je vois un truc bizarre, je déconnecte tout et je change le mot de passe.

Mon setup "simple et solide" pour la crypto

Je te partage mon approche, sans te vendre du rêve :

Pour les comptes critiques (email crypto + exchanges), j'ai :
une clé physique quand c'est possible, sinon appli 2FA. Zéro SMS. Et côté opérateur, j'ai un code support + je surveille les alertes.

Pour le stockage, je garde le long terme hors exchange. Parce que même avec un 2FA béton, laisser trop sur une plateforme, c'est une tentation permanente pour les emmerdes (hack, phishing, erreur, blocage).

Signaux d'alerte : si ça sent le SIM swap, fais ça tout de suite

Ton téléphone perd le réseau sans raison (plus d'appels/SMS), et ça dure ? Ne te dis pas "ça va revenir". Agis.

Ma réaction en mode "urgence" :

  1. Appeler l'opérateur depuis un autre téléphone et signaler une suspicion de SIM swap
  2. Bloquer la ligne / rétablir la SIM légitime
  3. Changer immédiatement les mots de passe email + exchange
  4. Révoquer toutes les sessions actives
  5. Geler les retraits sur l'exchange si possible

Oui, c'est stressant. Mais chaque minute compte. Le SIM swap, c'est souvent une course.

Conclusion : 30 minutes maintenant, ou des semaines de galère après

Je vais être honnête : sécuriser, c'est pas "fun". Ça ne fait pas monter ton portefeuille. Ça ne donne pas l'impression d'être productif. Et pourtant, c'est probablement le meilleur "rendement" que tu puisses avoir en crypto : éviter une perte totale.

Si tu veux un truc simple à retenir : SMS = fragile. Remplace-le par une appli 2FA ou une clé, verrouille ton opérateur avec un code support, et blinde ton email. Tu fais ça une fois, proprement, et tu dors mieux.

Du coup, prends 30 minutes aujourd'hui. Pas demain. Les pirates, eux, n'attendent pas.

Partager

Explorer les catégories

Bourse

Tout pour investir en actions en bourse : choisir des titres, analyser, comprendre les dividendes, éviter les erreurs et maîtriser ETF et vocabulaire.

Crypto

Guides DeFi et staking : choisir ses protocoles, comprendre les rendements, gérer les risques et sécuriser ses gains en crypto.

Débuter

Débutez la gestion de votre budget : bases des finances perso, épargne, diversification et risque pour bâtir un plan solide.

Épargne

Optimisez votre épargne via le PER : livrets, assurance-vie, obligations et comparatifs pour préparer votre retraite efficacement.

Fiscalité

Optimisez vos impôts grâce à la défiscalisation : règles clés, PEA, assurance-vie, compte-titres et non-résidents, sans erreurs.

Immobilier

Optimisez la fiscalité de vos investissements immobiliers : crédit, locatif, LCD, SCPI et pierre-papier, et stratégies à l'étranger.

Retraite

Tout sur la retraite des indépendants : expatriation, complémentaire, retraite anticipée, simulateurs et stratégies pour préparer vos revenus futurs.

Stratégies

Découvrez des stratégies pour choisir vos placements : construire un portefeuille, viser le long terme, générer des revenus passifs et réduire les risques.