Un faux permis vole un numéro verizon en 30 min : la faille sim-swap qui fait trembler les banques
30 minutes. C’est le temps qu’il a fallu à un escroc muni d’une carte d’identité truquée pour dérober le numéro d’un abonné Verizon dans un magasin de Newark, déclencher une avalanche de demandes de récupération de comptes bancaires et vider en ligne le compte épargne de sa victime. Le 14 mars, l’utilisateur Reddit nos583 a posté les captures d’écran de l’attaque : SMS de confirmation non lus, notification de transfert SIM validée, puis rideau : plus de réseau, plus d’argent.
Un silence de téléphone coûte 18 000 dollars
Le téléphone de nos583 était en mode silencieux. Verizon a pourtant envoyé trois alertes en cascade : « Confirmez-vous le transfert de votre ligne ? ». Aucune réponse dans les 20 minutes imparties, l’opérateur a validé la demande. Résultat : l’attaquant réceptionne les SMS de double authentification, réinitialise les mots de passe des applications bancaires et déclenche cinq virements vers des comptes en Bulgarie. La banque remboursera, mais pas avant 90 jours d’enquête.
Verizon assure que « le nom sur le faux permis correspondait exactement au titulaire du compte ». Deux vendeurs ont co-signé l’opération, respectant la procédure interne. Sauf que la procédure oublie un détail : les protections Number Lock et SIM Protection ne sont pas activées par défaut. Elles exigent un délai de 72 heures et une validation via l’application Verizon, impossible à court-circuiter en magasin. « Si ces options avaient été en place, le transfert n’aurait jamais abouti », reconnaît un ingénieur système de l’opérateur sous couvert d’anonymat.
Le pin oublié devient la porte dérobée
Depuis 2022, Verizon impose un code PIN pour tout changement de carte SIM. Mais la clause « PIN oublié » permet au vendeur de demander une pièce d’identité. Les forums de carders revendent des faux permis calibrés pour cette faille : 90 dollars la carte, livrée en 48 h avec hologramme et bande MRZ valide. « On appelle ço le “chemin du roi” : un seul employué peu vigilant suffit », note buda342_, un ancien vendeur devenu consultant en cybersécurité.
Les opérateurs rivaux ne font pas mieux. T-Mobile a enregistré 2 400 plaintes SIM-swap en 2024, AT&T plus de 3 100. La FCC a proposé une régle de 24 heures de délai obligatoire, mais le texte est bloqué en commission depuis novembre. Pendant ce temps, les victimes cumulent les préjudices : vol de cryptomonnaies, piratage de comptes professionnels, usurpation d’identité fiscale.
Comment verrouiller sa ligne en trois clics
Si vous êtes chez Verizon, ouvrez l’application, rubrique « Sécurité », activez Number Lock puis SIM Protection. Ajoutez un mot de passe compte séparé, différent du PIN. Refusez toute demande de changement de carte SIM par téléphone : exigez un passage en magasin avec pièce d’identité et empreinte digitale. Enfin, désactivez la récupération de compte par SMS sur vos services bancaires ; préférez une application d’authentification comme Google Authenticator ou Authy.
Pour nos583, la leçon est claire : « J’ai récupéré mon numéro, pas mes économies. » Il a déposé plainte au FBI, rejoint le collectif SimSwap Victims United et prévoit une action de groupe contre Verizon. L’opérateur a promis « une enquête interne rapide ». Entre-temps, les escrocs continuent de faire la tournée des boutiques avec leurs faux permis. La prochaine alerte SMS arrive dans votre poche dans… combien de minutes ?