Le verdict en trois phrases
Le SIM swap detourne votre numero de telephone pour recevoir vos codes OTP a votre place et vider votre solde mobile money. La protection ne tient pas a un seul reglage mais a une chaine : PIN distinct du code SIM, alerte de changement de carte, et double validation des gros retraits. Pour un compte marchand qui brasse plusieurs millions par mois, le cout d'un incident depasse largement le cout de la prevention.
Comment fonctionne l'attaque, etape par etape
Le fraudeur collecte d'abord vos donnees (numero, nom, parfois piece d'identite via phishing), puis se fait passer pour vous aupres de l'operateur pour obtenir une nouvelle carte SIM. Des que la SIM est activee, votre telephone perd le reseau et tous les OTP arrivent chez l'attaquant. En quelques minutes, il reinitialise le PIN du wallet et lance des retraits.
| Etape | Action du fraudeur | Signal cote victime | Fenetre de reaction |
|---|---|---|---|
| 1. Collecte | Phishing, fuite de donnees, ingenierie sociale | Aucun | Jours/semaines |
| 2. Demande SIM | Faux justificatifs aupres de l'operateur | Aucun | Heures |
| 3. Activation SIM | La nouvelle SIM prend le reseau | Perte totale de reseau | 5-30 minutes |
| 4. Reset PIN | Reception des OTP detournes | SMS de reset non sollicite | 2-10 minutes |
| 5. Retraits | Vidage du solde et des plafonds | Notifications de debit | Immediat |
Le point critique est l'etape 3 : une perte de reseau soudaine et prolongee sans raison est le signal d'alerte numero un. Sur un marche ou les coupures reseau sont courantes, beaucoup de victimes l'ignorent jusqu'au debit.
Les protections qui reduisent vraiment le risque
Toutes les mesures ne se valent pas. Voici leur efficacite estimee et leur cout pour un marchand en 2026.
| Protection | Cout | Effort | Reduction du risque (estimation) |
|---|---|---|---|
| PIN wallet distinct du code SIM | 0 FCFA | 5 min | Eleve |
| Alerte SMS/e-mail de changement SIM | 0 FCFA (souvent gratuit) | 10 min | Eleve |
| Double validation retraits > 500 000 FCFA | 0 FCFA (parametrage) | 15 min | Tres eleve |
| Numero marchand dedie, non public | 0 FCFA | 1 h | Moyen |
| Plafond journalier de retrait abaisse | 0 FCFA | 10 min | Moyen-eleve |
| Compte marchand verifie (KYC complet) | Variable | 24 h-5 j | Moyen |
| Second signataire pour gros montants | Organisation | Continu | Tres eleve |
La combinaison la plus rentable : PIN distinct + alerte de changement SIM + double validation au-dela de 500 000 FCFA. Ces trois mesures coutent zero franc et bloquent la majorite des scenarios d'attaque automatisee.
Besoin d'un site web professionnel ?
Kolonell crée des sites web qui attirent des clients, optimisés pour le marché sénégalais. Devis gratuit en 2 minutes.
Mini cas pratique
Awa, gerante d'une boutique de cosmetiques a Dakar, encaisse environ 4 500 000 FCFA/mois sur son wallet marchand. Un dimanche, son telephone perd le reseau pendant 40 minutes. Comme elle avait active l'alerte e-mail de changement SIM, elle recoit une notification sur son ordinateur, appelle immediatement l'operateur et fait suspendre le compte. Le fraudeur avait deja tente un retrait de 800 000 FCFA, bloque par la double validation qu'elle avait configuree au-dela de 500 000 FCFA. Cout de l'incident : 0 FCFA au lieu d'une perte potentielle de 1 a 2 millions. Le seul investissement : 25 minutes de parametrage un mois plus tot.
FAQ
Comment savoir si je suis victime d'un SIM swap ? Le signe principal est une perte de reseau soudaine et durable (plus de 15-20 minutes) sans coupure generale dans votre zone, suivie de SMS de reinitialisation que vous n'avez pas demandes. Verifiez aussitot aupres de l'operateur.
Que faire dans les premieres minutes ? Appelez l'operateur depuis un autre telephone pour faire bloquer la SIM et le wallet, puis changez les acces. Chaque minute compte : les retraits surviennent souvent dans les 10 minutes suivant l'activation.
La double validation ralentit-elle mes ventes ? Non, si vous la limitez aux montants eleves (au-dela de 500 000 FCFA). Les encaissements clients courants, generalement inferieurs a 100 000 FCFA, ne sont pas affectes.
Quelle est la perte moyenne en cas de fraude ? En 2026, l'ordre de grandeur constate va de 200 000 a 2 000 000 FCFA par cas, selon le solde disponible et les plafonds du compte au moment de l'attaque.
Un compte marchand verifie est-il plus sur ? Il offre de meilleurs outils de controle (alertes, multi-utilisateurs, historiques) mais ne remplace pas les bonnes pratiques. La verification KYC est une couche parmi d'autres, pas une garantie absolue.
Discutons de votre projet. Nous integrons paiement mobile money securise, alertes et double validation directement dans votre site ou application. WhatsApp +221 77 596 93 33.
Mohamed Bah
Fondateur, Kolonell
Passionné par le digital et l'entrepreneuriat en Afrique, Mohamed accompagne les entreprises sénégalaises dans leur transformation digitale depuis 2020. Fondateur de Kolonell, il croit que chaque PME mérite une présence en ligne professionnelle et accessible.
