Une attaque ciblée a frappé Orange Belgium. Résultat : 850 000 clients exposés et une menace réelle de fraude par SIM swapping plane sur eux.Orange Belgium a subi une cyberattaque majeure fin juillet 2025. Les pirates ont accédé aux données sensibles de 850 000 comptes clients, incluant le numéro de téléphone, le code PUK et le numéro de carte SIM. Des informations qui, entre de mauvaises mains, permettent d’orchestrer une fraude particulièrement redoutée dans le milieu cyber : le SIM swapping. Cette technique permet de détourner un numéro de téléphone pour intercepter les SMS de validation, ouvrant l’accès à des comptes bancaires, réseaux sociaux ou boîtes mail.
Une cyberattaque ciblée aux conséquences bien réelles
Il n’aura fallu qu’un seul accès non autorisé pour exposer la vie numérique de 850 000 personnes. Fin juillet, Orange Belgium a confirmé avoir été victime d’une attaque informatique ciblant l’un de ses systèmes internes. L’opérateur affirme avoir rapidement réagi en coupant l’accès, déposant plainte et alertant les autorités compétentes. Mais entre-temps, les données stockées ont été compromises. Le pirate a mis la main sur des informations précises et exploitables : nom, prénom, numéro de téléphone, numéro de carte SIM, code PUK et plan tarifaire. Une fuite qui ressemble à l’alerte de Auchan, Air France/KLM, Victoria Secret, Etc.
Si aucun mot de passe ni information bancaire n’a été dérobé, cette fuite est loin d’être anodine. Elle constitue un véritable jeu de clés pour les cybercriminels spécialisés dans le détournement d’identité. L’un des risques les plus préoccupants aujourd’hui, selon plusieurs experts en cybersécurité, est celui du SIM swapping, ou fraude par échange de carte SIM. Le principe est simple : faire croire à un opérateur mobile qu’on est le propriétaire légitime d’un numéro et demander un transfert de ligne vers une carte SIM contrôlée par l’attaquant.
Avec les données dérobées chez Orange bele, un pirate possède déjà de quoi se faire passer pour un client légitime. Le code PUK, en particulier, souvent ignoré du grand public, est une clé puissante dans les processus d’identification téléphonique. S’ajoutent à cela les noms, prénoms et numéros de téléphone — soit exactement les éléments qu’un centre d’appels peut demander pour valider une demande. Ce n’est plus une hypothèse : le terrain est parfaitement préparé pour des attaques par ingénierie sociale ciblée.
Le SIM swapping, arme numérique d’ingénierie socialeOù trouver son code PUK
Via l'espace client (sur le site ou l’app) : se connecter à son compte ; rubrique « Mes cartes SIM » ou « Mes informations ». Le code PUK de la carte SIM y est affiché (si l’accès n’est pas bloqué). On trouve aussi le PUK sur le support physique de la carte SIM. Si vous avez conservé le carton ou le support plastique d’origine de ta carte SIM, le code PUK est souvent imprimé dessus, à côté du code PIN. Attention : ne tentez jamais plus de 10 fois d’entrer un mauvais code PUK, sinon la carte SIM sera définitivement bloquée et vous devrez en commander une nouvelle.
Derrière le SIM swapping se cache une logique d’attaque particulièrement vicieuse. En détournant une ligne mobile, un cybercriminel prend le contrôle total des communications de sa cible : appels, SMS, messages de vérification, notifications critiques. Dans la grande majorité des cas, les services sensibles utilisent encore le SMS comme méthode d’authentification à deux facteurs (2FA) : un code envoyé pour confirmer une connexion ou une opération. Banques, réseaux sociaux, messageries, administrations, services cloud… tous peuvent devenir vulnérables en quelques minutes.
Ce type d’attaque ne nécessite pas de piratage informatique à proprement parler. Il repose sur la manipulation humaine. Et c’est là que la dimension renseignement entre en jeu : les cybercriminels opèrent aujourd’hui comme de véritables agents infiltrés. Ils collectent, croisent, exploitent des données issues de multiples fuites pour reconstituer des profils crédibles. Dans le cas d’Orange Belgium, la fuite des codes PUK — en apparence anodins — est une aubaine. Associée au numéro de carte SIM, elle peut suffire à convaincre un opérateur de transférer un numéro.
Certains opérateurs ont renforcé leurs procédures avec des méthodes d’identification supplémentaires, notamment via une application ou un mot de passe secondaire. Sans cette méthode, un pirate ayant détourné la carte SIM d’un client pourrait aussi prendre le contrôle de son compte client sans grande difficulté, créant ainsi un effet domino.
Il faut souligner ici que le SIM swapping ne se déclenche pas par hasard. Il est ciblé. Il touche des profils identifiés comme ayant une valeur stratégique : journalistes, chefs d’entreprise, élus, responsables IT, influenceurs, mais aussi particuliers lambda dont les données ont été compromises. L’objectif ? L’accès. Et plus encore que l’argent, ce qui attire les attaquants, ce sont les points d’entrée : boîtes mail, réseaux sociaux, comptes cloud, carnets d’adresses, documents confidentiels.
Comment reprendre le contrôle de son identité mobile
Face à ce risque grandissant, la réaction doit être à la fois individuelle et systémique. Pour les clients concernés par la fuite d’Orange Belgium, la première étape est la vigilance. Tout changement inexpliqué dans le comportement du téléphone, perte soudaine de réseau, SMS suspects, demande de réactivation, doit immédiatement alerter. Ces signes sont souvent les premiers symptômes d’un SIM swapping en cours. En cas de doute, il faut contacter son opérateur sans délai et déposer plainte auprès de la police.
Mais il ne suffit pas de réagir, il faut aussi prévenir. Et cela commence par une refonte de nos pratiques numériques. Il est aujourd’hui crucial de remplacer le SMS comme méthode d’authentification. Des solutions plus robustes existent, à commencer par les applications d’authentification liées à un appareil unique (TOTP), ou les clés physiques de sécurité de type YubiKey. Ces outils, parce qu’ils reposent sur un élément que l’on possède physiquement, rendent tout détournement de ligne inutile.
Par ailleurs, certains services proposent de configurer un niveau de sécurité supplémentaire directement chez l’opérateur. Par exemple, ajouter une vérification à double facteur pour les modifications de carte SIM.
merci à ZATAZ
