Attaques SIM swap sur les comptes d’exchange crypto : quoi verrouiller en premier
Checklist pratique anti-SIM swap pour les exchanges crypto : remplacer le SMS, sécuriser l’e-mail, ajouter des passkeys de secours, bloquer les retraits et réagir si votre ligne mobile change soudainement.
Comment nous vérifions ce guide
- Nous avons vérifié les pages officielles de Coinbase sur les attaques par téléphone, la vérification forte et le verrouillage de compte ; le support Kraken sur les passkeys, la 2FA multiple et la perte de téléphone ; les conseils Binance sur les codes anti-phishing et les restrictions API ; ainsi que les notes Ledger sur le détournement du presse-papiers.
Un SIM swap n’est pas seulement un problème d’opérateur mobile. Pour un compte d’exchange crypto, il peut transformer une perte soudaine de réseau en tentative de réinitialisation et de retrait.
Réponse courte
Si votre compte dépend encore du SMS, changez cela avant d’ajouter des fonds importants. Utilisez une passkey ou une clé de sécurité, protégez l’e-mail lié au compte, ajoutez une méthode de secours fiable et activez les protections de retrait.
| Zone de risque | Réglage plus sûr |
|---|---|
| Connexion | Passkey, clé matérielle ou application d’authentification au lieu du SMS seul. |
| Récupération | Éviter la récupération par téléphone et protéger l’e-mail avec une 2FA forte. |
| Retraits | Activer la liste d’adresses ou les délais pour nouvelles adresses. |
| Alertes | Traiter une perte de réseau soudaine comme un incident de sécurité. |
| Long terme | Déplacer les coins non tradés vers un wallet contrôlé par vous. |
Comment l’attaque fonctionne
Coinbase décrit ces attaques comme le transfert du numéro de la victime vers un appareil contrôlé par l’attaquant. Cela menace les comptes avec 2FA par SMS ou récupération par téléphone. Le scénario typique : le téléphone perd le réseau, l’attaquant reçoit des codes, tente d’entrer dans l’exchange ou l’e-mail, puis essaie de retirer rapidement.
À verrouiller en premier
1. Remplacer la 2FA par SMS
Coinbase recommande des méthodes plus fortes comme clé de sécurité, passkey ou application d’authentification. Kraken explique que les passkeys sont liées à l’identité réelle du site ou de l’app, ce qui résiste mieux au phishing.
2. Ajouter un secours indépendant
Gardez une méthode quotidienne, puis une clé matérielle ou passkey séparée. Stockez les codes de récupération hors ligne si disponibles. N’ajoutez pas une autre personne sauf si elle doit réellement contrôler le compte.
3. Sécuriser l’e-mail
Si l’e-mail peut être récupéré avec le même numéro, le risque demeure. Utilisez un mot de passe unique, une 2FA forte et supprimez les anciens moyens de récupération.
4. Activer la liste de retrait
Une liste d’adresses est utile parce qu’elle ralentit l’attaquant. Configurez-la calmement, ajoutez votre wallet, vérifiez l’adresse et testez petit. Voir notre checklist sécurité exchange.
5. Sortir les fonds de long terme
Un exchange sécurisé reste un exchange. Pour conserver plusieurs années, retirez vers un wallet après l’achat. Lisez déplacer la crypto vers un hardware wallet et meilleur wallet crypto débutant.
Si le téléphone perd soudainement le réseau
| Étape | Action |
|---|---|
| 1 | Contactez l’opérateur par un canal fiable et demandez s’il y a eu changement de SIM ou portage. |
| 2 | Verrouillez les comptes d’exchange si un accès non autorisé est possible. |
| 3 | Sécurisez d’abord l’e-mail, puis vérifiez sessions et retraits. |
| 4 | Révoquez les sessions inconnues et remplacez la 2FA compromise. |
| 5 | Ne retirez qu’après vérification de l’adresse sur un écran fiable. |
Les faux supports profitent de la panique : lisez arnaque appel support crypto.
SIM swap, malware et address poisoning
Le SIM swap vise la connexion et la récupération. Le malware de presse-papiers modifie une adresse collée. L’address poisoning pousse à copier une adresse ressemblante. Dans tous les cas, ralentissez et vérifiez l’adresse sur un appareil de confiance.
Pour qui c’est prioritaire
Priorité si vous gardez un solde important sur Coinbase, Kraken, Binance ou Bybit, si le SMS est votre méthode principale, si l’e-mail se récupère par téléphone, si vous allez retirer vers self-custody ou si des clés API sont actives. Pour choisir une plateforme, commencez par meilleur exchange crypto débutant et Kraken vs Coinbase.
Comment nous avons vérifié ce guide
Nous avons vérifié les pages officielles de Coinbase sur les attaques par téléphone, la vérification forte et le verrouillage de compte ; le support Kraken sur les passkeys, la 2FA multiple et la perte de téléphone ; les conseils Binance sur les codes anti-phishing et les restrictions API ; ainsi que les notes Ledger sur le détournement du presse-papiers.
Conclusion
Réduisez l’importance du numéro : connexion résistante au phishing, récupération e-mail sécurisée, retraits verrouillés et self-custody pour les avoirs de long terme.
Recevez le digest Coin Buyer Guide
Un e-mail pratique chaque semaine avec de nouveaux guides sur les wallets, plateformes, cartes, impôts et sécurité crypto, plus des notes utiles du secteur. Pas de hype.