Lorsque Goma et Bukavu sont tombées aux mains des rebelles du M23 en janvier et février 2025, la République démocratique du Congo (RDC) a fermé les banques dans ces deux villes, provoquant une crise de liquidités. Dans ce contexte, les transferts d’argent mobile sont devenus indispensables pour les transactions quotidiennes, exposant les usagers aux escroqueries par échange de cartes SIM.
La RDC n’est pas étrangère à cette forme de cybercriminalité. En 2022, l’organisation humanitaire GiveDirectly aurait perdu 1,2 million de dollars américains dans un scandale de substitution de carte SIM avec la complicité du personnel, privant plus de 1700 familles dans le besoin de l’aide qui leur était destinée.
L’échange ou détournement de carte SIM, se produit lorsque des fraudeurs usurpent l’identité d’un abonné et transfèrent son numéro vers une nouvelle carte SIM. Cette opération repose généralement sur la manipulation. En effet, la victime divulgue ses données personnelles à une personne se faisant passer pour un agent officiel, par le biais des réseaux sociaux, de violations de données, ou de techniques de phishing (hameçonnage). Ces informations sont alors utilisées par les fraudeurs pour tromper les employés des télécommunications et obtenir l’échange de carte SIM.
Accédant ainsi aux données de la victime : SMS, appels et codes d’authentification à deux facteurs, les fraudeurs peuvent accéder aux comptes bancaires, aux e-mails, aux profils sur les réseaux sociaux et aux portefeuilles de cryptomonnaies de la victime.
Les conséquences dépassent largement les pertes financières : usurpation d’identité, atteintes à la vie privée et détresse émotionnelle. Dans certains cas, l’échange des cartes facilite des crimes plus graves tels que le blanchiment d’argent ou l’espionnage industriel. Par conséquent, lorsque la ligne téléphonique est utilisée à des fins criminelles, et les victimes sont tenues pour responsables.
À l’échelle mondiale, la fraude par échange de carte SIM a connu une forte augmentation avec l’essor des services bancaires mobiles et des paiements numériques.
Avec plus de 56 millions d’abonnés mobiles pour une population d’environ 100 millions d’habitants, l’utilisation des téléphones portables en RDC a enregistré une croissance rapide ces 12 dernières années. Dans ce contexte économique difficile, les services de paiement mobile constituent une bouée de sauvetage pour des millions de personnes. Les fournisseurs tels que Vodacom, Airtel et Orange dominent les transactions quotidiennes, en particulier dans les centres urbains comme Goma, dans le Nord-Kivu. Cette dépendance a toutefois fait de l’échange de cartes SIM une forme majeure de fraude numérique et d’extorsion.
Des habitants de Goma ont déclaré à ENACT que des escrocs contactaient régulièrement des utilisateurs par appel ou message pour leur proposer diverses offres. L’une des plus courantes consiste à informer les personnes qu’elles ont gagné de l’argent. Le texte demande au destinataire de répondre au message par le mot « ok », ce qui permet ensuite aux fraudeurs d’accéder à leurs informations personnelles.
Ou alors, ils sont leurrés avec des offres d’emploi attrayantes qui ne nécessitent que des compétences de base, comme la maîtrise du français ou du swahili, langues couramment parlées dans le pays.
Une victime a raconté à ENACT que sa carte SIM Airtel avait été échangée deux fois en trois ans. « La première fois, l’escroc, se faisant passer pour un agent du service clientèle d’Airtel, m’a demandé de lui donner cinq numéros que je pourrais appeler gratuitement pendant le week-end. Il les a ensuite utilisés pour échanger ma carte et réclamer de l’argent à mes contacts, des sommes atteignant parfois 10 000 dollars. »
La deuxième fois, il a pensé à une panne du réseau mobile, avant de réaliser qu’il avait été piégé une fois de plus lorsque certains de ses contacts l’ont contacté pour vérifier que les demandes d’argent venaient bien de lui.
Ces pratiques persistent en raison de la défaillance dans la régulation des vendeurs de rue, qui commercialisent cartes SIM et autres services pour le compte des opérateurs de télécommunications.
Les criminels évitent les prestataires établis qui exigent que les clients présentent une pièce d’identité. Ils préfèrent passer par des vendeurs de rue à qui ils affirment que leur téléphone et leurs documents d’identité ont également été volés. Compatissants et motivés par le gain facile de 3 000 FC dans un contexte économique difficile, les vendeurs procèdent à l’échange.
Alors, les fraudeurs réenregistrent le numéro sur des plateformes de messagerie en ligne telles que WhatsApp et Telegram, et contactent les proches de la victime pour solliciter de l’argent. Une victime a déclaré : « Ils ont même contacté mes amis au Kenya, exigeant de l’argent pour régler mes trois mois de loyer impayés. Mon ami l’a échappé belle, car il n’avait pas d’argent sur son application de paiement mobile. »
Pour contrer cette menace, le gouvernement et les opérateurs de télécommunications ont pris des mesures décisives. Au niveau national, l’Autorité de régulation de la poste et des télécommunications du Congo a introduit des exigences plus strictes en matière d’enregistrement des cartes SIM, imposant une identification biométrique, telle que les empreintes digitales et les photographies, pour toute nouvelle activation ou remplacement de carte SIM.
À Goma, où le risque de fraude est accru en raison de la forte densité de la population et des activités transfrontalières. Les opérateurs de télécommunications locaux ont mis en place des méthodes d’authentification multifactorielles allant des codes PIN à la vérification d’identité en passant par les questions de vérification, afin de garantir que seuls les utilisateurs légitimes puissent autoriser les échanges de cartes SIM. Des entreprises telles que Vodacom ont déployé des systèmes de détection des fraudes qui surveillent les activités inhabituelles, tandis que des outils tels que le système d’itinérance anti-fraude « @first » contribuent à sécuriser les communications mobiles internationales et transfrontalières.
Afin de réduire la vulnérabilité des utilisateurs, des campagnes de sensibilisation ont été lancées via plusieurs canaux : émissions de radio, alertes SMS et sensibilisation de proximité, pour apprendre aux populations rurales et semi-urbaines à reconnaître les tentatives d’hameçonnage et autres formes d’ingénierie sociale.
Le personnel des télécommunications a été formé à la détection des comportements suspects et au suivi strict des procédures de vérification d’identité avant tout remplacement de carte SIM. Vodacom se distingue par ses mesures de sécurité particulièrement rigoureuses, rendant impossible l’enregistrement d’un utilisateur sans présentation d’une pièce d’identité.
Toutefois, d’importants défis subsistent. De nombreux centres de services à Goma manquent d’équipements biométriques essentiels, en raison de contraintes infrastructurelles. L’application des mesures reste faible, souvent entravée par la corruption et la collusion interne, ce qui compromet l’efficacité des protocoles de sécurité. Par ailleurs, l’analphabétisme numérique et la connectivité limitée dans les zones reculées empêchent également les utilisateurs de comprendre les cybermenaces et de s’en protéger.
Des campagnes de sensibilisation dans les langues locales telles que le swahili, le lingala et le kikongo, axées spécifiquement sur l’échange de cartes SIM, constitueraient une étape importante pour aider à combler le manque de connaissances sur ce type de cybercriminalité.
Elle permettraient aux consommateurs de mieux se protéger, par exemple en vérifiant systématiquement auprès d’un revendeur agréé les messages ou appels les informant de gains, ou en confirmant l’identité d’un ami avant de répondre aux demandes de prêt par téléphone.
Cependant, le gouvernement a également un rôle à jouer. La mise en place de mécanismes visant à garantir que tous les vendeurs de cartes SIM respectent la loi et appliquent les mesures de sécurité lors de l’enregistrement ou de l’échange de cartes SIM contribuerait à renforcer la réglementation.
La collecte de statistiques sur cette forme de cybercriminalité permettrait au gouvernement d’évaluer l’efficacité des interventions existantes et de déterminer si des approches plus ciblées en matière de réglementation, de responsabilité ou de justice pénale sont nécessaires.
Mugah Michael Sitawa, chercheur, Observatoire du crime organisé et de la violence en Afrique centrale, Institut d’études de sécurité, et Major Beautah Mwanza Suba, Forces de défense du Kenya, consultant en paix et sécurité
Image : Pexels/David Barber
