Faux support et SIM-swap : les arnaques qui vident ton wallet (2026)

Tu as un problème avec ton compte sur un exchange. Tu postes dans le Discord officiel. Trente secondes plus tard, un compte "Support" te contacte en DM, te demande de vérifier ton identité sur un lien externe. Tu donnes ton code. Ton compte est vide en moins de cinq minutes.

C'est l'arnaque au faux support. Elle est simple, rapide, et elle fonctionne précisément parce qu'elle cible un moment de vulnérabilité — quand tu cherches de l'aide. À côté, le SIM-swap (échange de carte SIM : détournement de ton numéro de téléphone par un attaquant) est plus technique, mais le résultat est identique : tes comptes sont compromis et tes fonds disparaissent.

Ces deux arnaques sont parmi les plus efficaces contre les détenteurs de crypto en 2026. Et les deux sont évitables, à condition de comprendre exactement comment elles fonctionnent.

Comment fonctionne l'arnaque au faux support

Le scénario type en trois actes

Acte 1 — La détection. Tu poses une question sur un forum public : Discord, Telegram, Reddit, X. L'escroc surveille ces canaux en permanence. Il te repère en quelques secondes, parfois via des bots automatisés qui scannent les mentions de mots-clés ("problème", "erreur", "accès", "bloqué").

Acte 2 — La prise de contact. Il t'envoie un message privé. Son profil imite à la perfection le support officiel : même nom, même photo de profil, badge "Staff" ou "Admin". Il prétend avoir vu ton message et proposer de t'aider. L'urgence est souvent mise en avant : "Ton compte est en cours de suspension, agis vite."

Acte 3 — L'extraction. Il te dirige vers un lien frauduleux, un formulaire qui ressemble à la page officielle, ou te demande directement un code 2FA (authentification à deux facteurs : second niveau de vérification d'identité), ta seed phrase (suite de 12 à 24 mots qui donne accès total à un wallet décentralisé) ou ta clé privée. Une fois ces informations communiquées, c'est terminé.

Les vecteurs utilisés

L'ingénierie sociale (manipulation psychologique pour obtenir des informations ou des actions) est le moteur de cette arnaque. Les canaux varient :

• Discord et Telegram : faux comptes "Staff" ou "Admin" dans les serveurs officiels, faux serveurs miroirs dont l'URL ressemble à l'originale
• X (anciennement Twitter) : réponses aux tweets de support officiel avec un faux compte identique — le vrai support répond, le faux répond aussi juste en dessous
• E-mail : faux e-mails avec domaines sosies (exemple : "ledger-support.net" à la place de "ledger.com"), fausses alertes de sécurité
• Résultats de recherche : annonces publicitaires achetées sur Google qui apparaissent avant le vrai site de l'exchange

Le vecteur change, le script reste le même : urgence + demande d'information sensible.

Comment fonctionne le SIM-swap

Le détournement de ton numéro

Le SIM-swap cible ton numéro de téléphone. L'attaquant ne pirate pas ton téléphone directement. Il convainc ton opérateur de transférer ton numéro sur une carte SIM qu'il contrôle.

Étape par étape :

1. Collecte d'informations personnelles : l'attaquant rassemble des données sur toi via les réseaux sociaux, des bases de données piratées ou du phishing (hameçonnage). Nom, date de naissance, adresse, numéro de client — des informations souvent disponibles publiquement ou achetées sur des forums.

2. Appel à l'opérateur : il contacte le service client de ton opérateur en se faisant passer pour toi, invoque un motif classique ("j'ai perdu ma SIM", "j'ai changé de téléphone"), et demande le transfert du numéro sur une nouvelle carte. La procédure de vérification de l'opérateur est parfois insuffisante.

3. Ton téléphone est coupé : ta carte SIM perd le réseau. C'est souvent le premier signe que quelque chose ne va pas.

4. Il reçoit tes SMS : à partir de là, tous tes SMS arrivent sur son téléphone. Il déclenche une réinitialisation de mot de passe sur ton compte e-mail, reçoit le code de vérification par SMS, entre dans ta boîte mail. Ensuite, il enchaîne : compte exchange, autre compte, autre service. La chaîne peut tomber en quelques minutes.

Pourquoi le 2FA par SMS est une passoire

Le 2FA par SMS est meilleur que pas de 2FA du tout. Mais contre le SIM-swap, il est inefficace par construction — l'attaquant reçoit littéralement tes SMS à ta place.

Ce n'est pas une vulnérabilité théorique. Les cas documentés sont nombreux : l'investisseur américain Michael Terpin a par exemple perdu l'équivalent de 23,8 millions de dollars en cryptomonnaies après une attaque par SIM-swap en 2018, à l'origine d'un litige retentissant contre son opérateur télécom. Les victimes les plus ciblées sont celles qui sont publiquement identifiées comme détenteurs de crypto — sur les réseaux sociaux, dans des forums, dans des groupes Telegram.

Comparaison des méthodes 2FA : ce qui protège vraiment

Le tableau ci-dessous compare les trois niveaux de protection disponibles pour sécuriser tes comptes crypto.

Le TOTP (Time-based One-Time Password : code à usage unique basé sur l'heure, généré par une application) élimine le risque SIM-swap car le code est calculé sur ton appareil, pas envoyé via réseau mobile. Une application comme Aegis (Android, open source) ou Google Authenticator génère un code valable 30 secondes à partir d'une clé partagée au moment de l'activation. Personne ne peut intercepter un SMS parce qu'il n'y a pas de SMS.

La clé physique (type YubiKey) va plus loin : l'authentification est liée cryptographiquement au domaine officiel (protocole FIDO2/WebAuthn). Sur un faux site qui ressemble à Binance, la signature générée n'est jamais valide pour le vrai site — le phishing est neutralisé par construction. C'est la seule méthode résistante au phishing de façon structurelle.

Les protections concrètes à mettre en place maintenant

Sécuriser ton numéro de téléphone chez l'opérateur

La plupart des opérateurs français permettent d'activer un code PIN ou mot de passe sur ton compte client, requis pour toute opération sur ta ligne (portabilité, changement de SIM). Appelle le service client de ton opérateur ou connecte-toi à ton espace client et cherche cette option. Ce code doit être unique — pas ton code PIN de carte bancaire, pas ta date de naissance.

Chez certains opérateurs, tu peux également activer une alerte en cas de tentative de portabilité du numéro. Renseigne-toi directement auprès du tien.

Sécuriser tes comptes

• Remplace le 2FA SMS par une app TOTP sur chaque compte : exchange, e-mail principal, gestionnaire de mots de passe. L'e-mail est critique — il est souvent la porte d'entrée pour réinitialiser tous les autres comptes.
• Utilise une adresse e-mail dédiée, non publiée en ligne, pour tes comptes crypto. Pas celle que tu utilises pour t'inscrire à des newsletters.
• Un gestionnaire de mots de passe (Bitwarden, 1Password) pour des mots de passe uniques et longs par service. La réutilisation d'un mot de passe transforme la compromission d'un compte en compromission de tous tes comptes.
• Hardware wallet pour les gros montants : si tu détiens un montant significatif, un Ledger ou Trezor retire tes fonds du risque internet par construction. Même si tous tes comptes exchange sont compromis, les fonds sur le hardware wallet restent hors d'atteinte tant que ta seed phrase est protégée.

Protéger ta seed phrase

Ta seed phrase (suite de 12 à 24 mots, aussi appelée phrase de récupération, qui permet de restaurer l'accès à un wallet décentralisé) est la clé maîtresse. Quelqu'un qui l'a peut vider ton wallet depuis n'importe quel endroit, sans aucune autre information.

Règles absolues :

• Ne la tape jamais en ligne, dans un formulaire, dans un chat, dans un fichier sur ton ordinateur
• Ne la photo jamais avec ton smartphone
• Écris-la sur papier, stocke physiquement (idéalement en deux exemplaires dans deux lieux distincts)
• Personne n'a besoin de ta seed phrase pour t'aider — ni le support, ni un ami, ni ce guide