Numéro de téléphone et code RIO détournés : SFR accompagne une fraude de sa filiale SFR RED. Opération contre son client et tentative d’usurpation d’identité.

cr  20.07.2023      r+  18.10.2024      r-  18.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Cet article est celui de l’un de nos contributeurs sur notre forum. C’est son témoignage sur une usurpation de son numéro de téléphone et son code RIO lors d’un montage entre SFR et une filiale de SFR.

Bonjour,

J’ai récemment été victime d’un vol de code RIO. Je ne l’ai jamais communiqué à qui que ce soit, je n’ai jamais composé le 3179 (obtenir son code RIO), en fait je ne savais même pas ce qu’était un code RIO ni à quoi ça servait. J’étais chez SFR puis ensuite été transféré chez RED by SFR, mais dans l’ensemble plus de 15 ans chez SFR avec le même numéro. J’étais très content de mon forfait, puis cette fraude m’est tombée dessus et j’ai été résilié. Quelqu’un d’autre a obtenu mon numéro avec de mauvaises intentions qui auraient pu aller très loin. Attention, ceci n’a rien à voir avec l’arnaque Coriolis où vous leur communiquez directement votre code RIO pour passer vers un autre forfait de manière forcée - non ! Dans mon cas, il s’agit de vol de ligne avec tentative d’usurpation d’identité. Je n’ai jamais communiqué mon RIO à qui que ce soit. Je vais tout expliquer dans ce message, et surtout, expliquer comment agir. Si vous venez d’être victime de résiliation suite à un portage forcé de votre ligne, passez immédiatement à la partie « COMMENT REAGIR » car c’est une situation URGENTE.

J’ai commencé à recevoir des messages de l’opérateur Lycamobile sur mon téléphone me disant que « ma demande de portabilité de numéro a été acceptée ». J’ai aussi reçu un message de SFR disant exactement ça : « Info RED: Une demande d’activation d’une nouvelle SIM est en cours dans un espace SFR. Si vous n’êtes pas à l’origine de cette demande, contactez rapidement notre service client par chat depuis notre site [...] ». Chose que j’ai faite immédiatement.

Une conseillère nommée « Nambinina » m’a répondu : « A ce que je constate, cette notification ne concerne pas votre ligne [XX XX XX XX XX]. Merci de ne pas prendre en compte cela svp ». Suite à ce message, j’ai insisté, j’ai demandé alors pourquoi je recevais ces messages. Nambinina a certifié une 2ème fois « Ne vous inquiétez pas, cela ne concerne pas votre ligne ». Je ne sais pas ce qui m’a pris, mais j’ai fait des captures d’écran de ces échanges.

Me voilà rassuré. Je me suis dit que cela devait effectivement être juste un bug. Sauf que 3 jours après, je reçois un mail me confirmant la résiliation de mon abonnement SFR.

• Je regarde mon téléphone, plus de réseau.

• J’essaye d’ouvrir l’application mobile « Red by SFR », elle ne se connecte plus.

• Je vais sur l’espace SFR, je ne peux contacter personne car je suis « résilié ».

Choqué, je ne trouve qu’un seul moyen de contacter « RED by SFR » : via Facebook. Ils trouvent mon dossier, et me confirment que j’ai été résilié par une demande de portabilité de numéro, et qu’ils ne peuvent rien y faire.

J’envoi la capture d’écran, et oh quelle surprise, je me rends compte que je parle à nouveau à « Nambinina ». Je lui dis « Vous voyez, vous m’avez certifié vous même que je n’étais pas concerné!!! ». Elle me répond que « Nambinina » n’est qu’un pseudonyme utilisé par plusieurs collaborateurs de chez eux. Et évidemment, ils ne veulent rien savoir, disent qu’ils ne peuvent plus rien faire pour moi.

Je reviendrai sur le rôle que SFR a joué dans cette affaire. Ils sont évidemment responsables en grande partie de ce qui s’est passé. Mais ça, c’est tout à la fin du message, car c’est le moins important.

Si votre numéro vient d’être résilié et transféré à un pirate de la sorte, ou qu’une demande de portabilité « forcée » est en cours, voici la marche à suivre :

1. Connectez-vous immédiatement à l’adresse mail que vous avez communiqué à cet opérateur mobile, car très probablement, le fraudeur a accès à cette information et connaît donc votre adresse mail.
   
   Changez immédiatement le numéro de téléphone lié à la double authentification.
   
   Ensuite changez le mot de passe, car s’il a accès à votre numéro de téléphone. Même s’il n’a pas le mot de passe, il peut passer par la double authentification et y accéder. Il gagnera ensuite l’accès à toute votre vie, dont votre vie privée et vos données privées officiellement collectées liées à votre adresse mail et à votre numéro de téléphone.
   
   Faites de même pour TOUS vos services en ligne qui sont critiques et où vous avez renseigné votre numéro de téléphone volé pour la double authentification :

   • Adresses mail.

   • Comptes bancaires.

   • PayPal et compagnie.

   • Réseaux sociaux.

   • Messagerie type Whatsapp.

   • Tous les services qui sont importants pour vous.

   • Etc.

2. Vous pouvez aussi taper « Code » ou « Vérification » dans la recherche de vos messages SMS et ainsi identifier quels services vous envoient régulièrement des codes de vérification.

3. Comme vous n’avez plus de numéro de téléphone, vous pouvez utiliser celui de votre conjoint, enfants ou parents, qui que ce soit, juste le temps d’ouvrir une nouvelle ligne à votre nom. Mais la priorité est de dissocier la double authentification partout où elle est liée à la ligne volée, c’est une URGENCE.
   
   Certains services vous permettront sans problème de changer le numéro de téléphone associé, juste avec le mot de passe et si vous êtes connecté depuis un appareil connu. D’autres vous demanderont de rentrer le code reçu… sur la ligne volée qui n'est plus dirrigée vers vous ! Vous serez bloqué. Oui, c’est absolument aberrant. Dans ce cas, il faut écrire au service en question en cherchant le formulaire de contact sur leur site.
   
   ATTENTION : ne leur dites surtout pas que votre ligne a été volée, sinon vous allez éveiller leurs soupçons à propos de vous-même. Dites leur quelque chose du style :
   
   
   

   
   
   
   

   « Bonjour, j’ai changé de numéro et je n’ai plus accès à ma ligne que j’avais utilisé pour la double authentification, du coup je n’arrive pas à me connecter. Pouvez-vous remplacer mon numéro de téléphone par [AUTRE NUMERO] ».

   
   

   Normalement, le service en question vous répondra et procédera à une vérification de votre identité de leur propre manière, et ensuite désactivera la double authentification pour vous permettre de rentrer un nouveau numéro de téléphone.

4. Si vous avez fait ça pour vos services critiques, normalement le pire est derrière vous. Maintenant il vous faut un nouveau numéro de téléphone. Allez sur le site d’un grand opérateur (et SURTOUT PAS SFR !) puis prenez rendez-vous en ligne pour un rendez-vous EN MAGASIN LE JOUR MEME. Normalement il y aura des créneaux horaires proposés.
   
   Il est très important que ce soit fait dans un magasin physique afin d’obtenir le nouveau numéro et surtout, physiquement, la nouvelle carte SIM, immédiatement.
   
   Dans les grandes villes vous aurez accès facilement à une représentation d’un opérateur en télécommunications numériques. Dans la France profonde, allez vers une grande surface ayant un rayon de téléphonie mobile. Prenez un forfait sans abonnement car là vous n’avez pas le temps de réfléchir et de comparer les offres. Une fois que vous avez votre nouvelle ligne, changez à nouveau la double authentification sur vos comptes vers cette nouvelle ligne si vous avez utilisé des numéros de votre famille entre-temps.

Maintenant que vous avez une nouvelle ligne téléphonique, l’urgence est derrière vous, toutefois, il n’est pas bon de permettre à votre ancien numéro de téléphone d’être attribué à quelqu’un d’autre. Ces réattributions sont possibles après un certain délais qui oscille selon cette règle de l’ARCEP :

Une fois que vous avez une nouvelle ligne à votre nom, que vous avez transféré tous vos services critiques qui utilisaient l’ancien numéro de téléphone pour la double authentification vers le nouveau numéro, et que vous avez notifié vos contacts, vous avez évité le pire. Maintenant vous pouvez tenter de récupérer l’ancien numéro juste au cas où. Ce numéro ne vous servira à rien (il ne faudra plus l’utiliser, même si vous arrivez à le récupérer, j’expliquerai pourquoi plus bas), mais au moins vous garderez le « contrôle » sur la situation.

1. Vous avez dû recevoir des messages mentionnant la demande de portabilité de votre ligne vers un nouvel opérateur. Normalement, ces messages comportaient le NOM du nouvel opérateur, ainsi que des numéros de dossiers. Dans mon cas, il s’agissait de Lyca Mobile. Il faut donc réussir à contacter le nouvel opérateur en question par tous les moyens, certainement par mail. Lyca Mobile étant « low cost » comme « SFR RED », il était quasi impossible de les joindre par téléphone. La seule fois où j’ai pu joindre un conseiller, celui-ci s’est énervé contre moi en disant qu’il était « impossible d’obtenir le RIO sans mon accord », et m’a raccroché à la gueule. J’ai réussi à le rappeler, il m’a insulté et raccroché à nouveau. J’ai vu que le siège de Lyca Mobile était au Royaume-Uni, j’ai donc appelé directement là bas (je parle anglais). J’ai expliqué la situation à quelqu’un de bien meilleur que leur « conseiller » francophone. Ils m’ont dit qu’ils ne pouvaient pas m’aider car il s’agissait de la France, MAIS ils ont pu me communiquer l’adresse mail de leur service client français (si votre ligne a été porté vers Lyca Mobile, la voici : cs@lycamobile.fr - attention, Lyca Mobile n’y est pour rien ! A part le conseiller horrible, tout ceci n’est pas de leur faute, j’expliquerai ça plus bas). Quand vous avez cette adresse mail, écrivez un mail URGENT à ce nouvel opérateur, expliquant que votre ligne a été volée et portée chez eux à votre insu, que vous êtes victime d’une usurpation d’identité. Vous pouvez joindre la copie de votre carte d’identité et les captures d’écran des SMS que vous avez reçu de leur part. Si vous voulez, vous pouvez aussi, entre-temps, aller déposer plainte, et joindre le récépissé de cette plainte dans le mail.

2. D’abord Lyca Mobile m’a dit qu’ils allaient bloquer le transfert. Si ça s’arrête là pour vous, tant mieux. Mais finalement, ils m’ont répondu à nouveau disant qu’ils ne pouvaient plus le faire, MAIS ils m’ont communiqué mon fameux code RIO (que je n’avais jamais vu auparavant) par mail. S’ils ne le font pas, vous pouvez l’exiger. Dites que vous êtes le titulaire et propriétaire de cette ligne, qu’elle vous appartient, et qu’ils doivent soit bloquer le transfert, soit vous communiquer votre RIO. Soyez sympas avec eux, car tout dépend d’eux à ce moment.

3. Si vous avez reçu le RIO de votre ligne volée, allez maintenant sur FREE et ouvrez une nouvelle ligne en choisissant le forfait à 2 euros (ou 0 euros si vous êtes déjà client chez FREE). Cliquez ensuite sur « portabilité de numéro » et renseignez votre numéro volé + le code RIO qui va avec, qui vous a été communiqué par l’autre opérateur. Normalement, vous allez pouvoir « voler » votre propre ligne en retour et recevoir une carte SIM de FREE. Si vous avez reçu la carte SIM, voilà, vous avez récupéré votre ligne! (Cela peut quand même mettre 2 ou 3 jours après ça pour marcher). Vous pouvez simplement la garder pour la contrôler, faire les démarches qui n’auraient pas marché précédemment, etc. MAIS, ne vous en servez surtout pas ! Oubliez ce numéro, il est foutu !

J’ai pu voir que récupérer le code RIO depuis l’opérateur utilisé par le fraudeur a été plutôt facile. Une fois qu’ils ont établi mon identité, ils me l’ont communiqué par mail, DONC les opérateurs ont un accès direct à cette information. J’ai ensuite vu que le renseigner auprès d’un nouvel opérateur et demander la portabilité était également très facile. Il suffit de rentrer le code RIO et le numéro et… ben c’est tout. Donc c’est une faille de sécurité majeure et complètement incroyable qui existe en téléphonie mobile.

Comment le fraudeur a obtenu mon code RIO ? Je ne le sais pas, je ne l’ai jamais demandé, je n’ai jamais appelé le 3179, je n’ai pas été victime d’une arnaque à la Coriolis. Mais je n’y vois que trois possibilités :

1. Un complice du fraudeur travaille chez SFR RED et communique les numéros + leur RIO pour vol, ainsi que certainement d’autres informations personnelles. Je répète : je n’ai JAMAIS communiqué mon RIO, ni composé le 3179, je ne savais même pas ce que c’était.

2. Quelqu’un s’est fait passer pour moi auprès du service client de SFR et a demandé de recevoir le RIO.

3. SFR a été victime d’une fuite de base de données avec numéros de téléphone + codes RIO + adresses mail + noms et prénoms de leurs clients. D’après moi c’est la théorie la plus probable.

   Dans TOUS LES CAS, SFR a été entièrement responsable. Quelle que soit la manière dont mon code RIO a été obtenu, ça a forcément dû passer par eux à un moment donné comme expliqué dans les 3 scénarios ci-dessus. Mais en plus de ça, SFR est doublement responsable quand la fameuse « Nambinina » m’a assuré que je n’avais strictement rien à craindre, que je devais ignorer ces messages car il ne s’agissait pas de ma ligne. Quand j’y pense, le scénario du « fraudeur au sein de l’équipe RED by SFR » est aussi probable vu le fait qu’ils m’ont assuré que c’était un bug. J’imagine qu’ils pouvaient parfaitement voir qu’une demande de portabilité avait été demandée pour ma ligne, et ils ne me l’ont pas dit, ils ont fait exprès de me le cacher. Et la suite de la discussion avec eux a été ridicule, ils ne prenaient pas mon problème au sérieux. Je leur avais demandé de regarder si des appels ont été passés à leur service client demandant mon code RIO et se faisant passer pour moi dans les dernières semaines, ce à quoi ils m’ont répondu « Nous n’avons pas l’historique des appels ou conversations des 2 dernières semaines ». Je leur ai alors dit de me donner ceux d’il y a une semaine, ils m’ont à nouveau retoqué « Nous n’avons pas accès à ces informations ». Je dois donc croire qu’ils ne gardent AUCUN HISTORIQUE de la communication avec leurs clients ? Quelque chose est très louche dans cette histoire et au sein de l’équipe de « RED by SFR ».

   Dans tous les cas, votre ancienne ligne est « compromise » car son code RIO a fuité. Il ne sert à rien de continuer à l'utiliser car un autre fraudeur, ou le même, peut à nouveau tenter de la voler via un autre opérateur. C'est complètement stupide mais c'est comme ça. Donc gardez-là avec le forfait pas cher de FREE juste au cas où, mais ne l'utilisez plus.

1. Services Publics (FR) : Particuliers - arnaques sur Internet (THESEE, Pharos...)

2. cnil.fr (FR) : Ma sécurité numérique

3. Gouvernement français - FranceConnect (FR) : accédez à plus de 1400 services en utilisant un compte et un mot de passe que vous possédez déjà.

4. cnil.fr (FR) : deux guides (PDF, 2 pages chacun) sur les cybermenaces pour les familles et les seniors

5. cybermalveillance.gouv.fr (FR) : Les 10 mesures essentielles pour assurer votre cybersécurité

6. interieur.gouv.fr (Ministère de l'Intérieur - FR) : THESEE (Traitement harmonisé des enquêtes et signalements pour les e-escroqueries) suit les arnaques sur internet à la trace

7. service-public.fr (FR) : En quoi consiste un délit d’escroquerie ; Que peut/dois faire la victime d'une escroquerie ; Peines prévues pour l'auteur d'une escroquerie