Le code *#21# : entre protocole SS7 et fantasmes de cybersécurité
On lit tout et son contraire sur les réseaux sociaux, surtout depuis que des vidéos virales prétendent que ce code permet de savoir si l'on est sur écoute. Autant le dire clairement : c'est archifaux. Ce code fait partie de la famille des codes USSD (Unstructured Supplementary Service Data), un protocole qui date des prémisses du GSM dans les années 1990. Concrètement, le truc c'est que votre téléphone n'agit pas seul ; il envoie une requête courte au commutateur de votre opérateur pour lui demander l'état des lieux de vos services. Or, le détournement d'appel est une fonctionnalité légitime avant d'être une faille de sécurité. À l'origine, cela servait surtout aux cadres pressés qui voulaient basculer leurs appels de bureau vers leur mobile de fonction sans passer par un menu complexe.
Une architecture de réseau qui ne ment pas
Le fonctionnement repose sur la signalisation SS7 (Signaling System No. 7). Quand vous composez ces caractères, vous bypasser l'interface graphique de votre OS, que ce soit iOS 17 ou Android 14, pour parler "cash" au serveur de l'opérateur. C'est là que réside la force de la manipulation. Sauf que les gens confondent souvent redirection active et surveillance occulte. Si le résultat affiche "Non transféré" pour la voix et les données, vous êtes tranquille. Mais si un numéro inconnu apparaît, inutile de paniquer immédiatement : il s'agit parfois simplement du numéro de votre propre messagerie vocale. D'où l'importance de vérifier ce numéro avant de crier au loup. D'ailleurs, 85% des utilisateurs qui découvrent un transfert actif réalisent après coup qu'il s'agit de leur répondeur Orange, SFR ou Bouygues.
La manipulation technique étape par étape sur votre clavier de mobile
Pour lancer la requête, ouvrez l'interface de numérotation, celle-là même que vous utilisez pour appeler votre grand-mère ou commander une pizza. Tapez l'astérisque, le dièse, le chiffre deux, le chiffre un et terminez par le dièse. Appuyez sur la touche d'appel. Un message système, souvent grisâtre ou blanc selon votre modèle, devrait apparaître après deux ou trois secondes de réflexion. C'est ce qu'on appelle le "délai de réponse réseau". Reste que si le message "Erreur d'exécution" s'affiche, c'est souvent que votre carte SIM s'emmêle les pinceaux avec la 5G ou que votre forfait bloqué interdit ce genre de requêtes directes.
Différences notables entre iOS et Android
Sur un iPhone 15 Pro, par exemple, le menu est très sobre, listant "Réglage de l'interrogation de l'effacement : Transfert d'appel". Sur un Samsung Galaxy S24, l'interface peut sembler plus brute, affichant parfois des codes sibyllins pour chaque catégorie (Voix, Données, Fax, SMS). Mais le résultat reste identique. On n'y pense pas assez, mais certains opérateurs virtuels (MVNO) désactivent ces codes pour simplifier leur gestion client, ce qui peut rendre la manipulation totalement inopérante. Et là, on est loin du compte si vous espériez une réponse instantanée. Personnellement, je trouve cette disparité entre constructeurs agaçante, car elle entretient un flou artistique autour d'une fonction qui devrait être universelle.
Le cas particulier des données et des SMS
Le code *#21# ne se limite pas à la voix. Il interroge aussi le statut des transferts pour vos "Data". Si vous voyez une redirection sur les données, là, ça devient sérieux. Imaginez qu'un pirate ait réussi à configurer une redirection de vos paquets de données vers un serveur tiers ; c'est techniquement complexe mais pas impossible dans des scénarios d'attaques ciblées. Résultat : vos communications chiffrées pourraient être interceptées avant même d'arriver à destination. Mais rassurez-vous, dans 99,9% des cas, ces lignes restent désactivées par défaut.
Pourquoi votre opérateur affiche parfois un numéro inconnu ?
C'est là où ça coince souvent. Vous lancez le test et bim, un numéro s'affiche en face de "Voix". Panique à bord ? Pas forcément. Chaque opérateur utilise des numéros de passerelle pour ses services de messagerie. Par exemple, chez certains, vous verrez apparaître un numéro commençant par +33 6 09 ou +33 6 12. Ce n'est pas un hacker tapi dans l'ombre à l'autre bout du monde, c'est juste le serveur qui gère vos messages quand vous ne décrochez pas. (Pensez à vérifier ces préfixes sur le site officiel de votre fournisseur avant de réinitialiser tout votre téléphone). Une question se pose alors : pourquoi ne pas afficher clairement "Messagerie" plutôt qu'un numéro brut ? C'est le vieux monde des télécoms qui se cogne à l'ergonomie moderne.
Interpréter les résultats sans faire d'AVC
Si la ligne indique "Non transféré", tout va bien. Si elle indique "Transféré vers..." suivi d'un numéro, vérifiez si ce transfert concerne "Tous les appels" ou seulement si vous êtes injoignable. Le code *#21# interroge le transfert inconditionnel. C'est le plus critique. Car si ce dernier est activé, votre téléphone ne sonnera même pas ; l'appel partira directement ailleurs. C'est une méthode de "SIM swapping" ou de piratage social assez courante où l'attaquant appelle votre opérateur en se faisant passer pour vous afin d'activer ce transfert. À ceci près que vous le remarqueriez assez vite puisque votre activité téléphonique tomberait à zéro.
Comparaison avec les codes *#61#, *#62# et *#67#
Le code *#21# est souvent confondu avec ses cousins, mais ils ne jouent pas dans la même cour. Le *#61# sert à vérifier le transfert si vous ne répondez pas après un certain nombre de sonneries (généralement 20 ou 30 secondes). Le *#62#, lui, s'occupe du cas où vous n'avez plus de réseau ou que votre mobile est éteint. Enfin, le *#67# vérifie le transfert quand vous rejetez un appel ou que vous êtes déjà en ligne.
Tableau récapitulatif des nuances de redirections : *#21# : Transfert systématique et immédiat de tout le flux. *#61# : Transfert suite à une absence de réponse prolongée. *#62# : Transfert en cas de hors-forfait réseau ou mobile hors tension. *#67# : Transfert lorsque la ligne est occupée par une autre conversation.Choisir entre ces codes dépend de ce que vous cherchez précisément à diagnostiquer. Mais le *#21# reste la porte d'entrée pour savoir si quelqu'un a pris le contrôle total de votre flux entrant. C'est le "master switch". Sauf que, et c'est là ma prise de position tranchée, se contenter de ces codes en 2026 est une illusion de sécurité. Les malwares modernes n'utilisent plus de redirections d'appels classiques pour vous espionner ; ils préfèrent aspirer vos messages WhatsApp ou enregistrer votre micro à votre insu. Bref, le code USSD est un outil de maintenance, pas un bouclier contre le hacking de haut vol.
Les limites inhérentes à la technologie USSD
Le truc, c'est que ces codes ne voient que ce que le réseau voit. Si un espion a installé un logiciel de type Pegasus sur votre appareil, le réseau de l'opérateur, lui, ne verra aucun transfert d'appel. L'espionnage se fait en local, sur la mémoire vive du téléphone. D'où la nécessité de ne pas se reposer uniquement sur cette manipulation. Mais alors, pourquoi continue-t-on à en parler autant ? Sans doute parce que c'est simple, gratuit, et que cela donne une impression de pouvoir sur une technologie qui nous échappe de plus en plus. Pourtant, honnêtement, c'est flou pour la majorité des gens qui ne font pas la différence entre un "renvoi d'appel" et une "interception de ligne".
Les légendes urbaines et cafouillages techniques autour de l'astuce *#21#
Le web regorge de fantasmes numériques où le code *#21# est souvent dépeint comme une baguette magique pour débusquer les espions de la NSA cachés dans votre grille-pain. Le problème, c'est que la confusion entre une redirection d'appel légitime et un piratage malveillant reste totale pour la majorité des utilisateurs. On lit partout que si un numéro inconnu s'affiche après avoir tapé cette séquence, votre vie privée est en lambeaux. C'est faux.
L'amalgame entre renvoi d'appel et espionnage
Beaucoup de gens paniquent en voyant un numéro étranger s'afficher dans l'onglet Données ou Voix. Mais il s'agit presque systématiquement du numéro de la passerelle de messagerie vocale de votre opérateur. Par exemple, chez Orange, SFR ou Bouygues, le réseau doit bien savoir vers où basculer l'appel si vous ne décrochez pas après 20 secondes. (C'est d'ailleurs cette configuration technique que le code interroge simplement). Or, les forums de sécurité s'enflamment pour rien, transformant une fonction réseau de base datant de 1991 en un complot de cybersécurité mondiale. Est-ce vraiment si sorcier de comprendre qu'un téléphone doit rediriger un flux ?
Le code miracle qui ne désactive rien
Une autre erreur colossale consiste à croire que taper le code *#21# permet de stopper une interception. Ce caractère informatif est purement passif. Il interroge la base de données du HLR (Home Location Register) de votre opérateur mais n'a aucun pouvoir d'action sur les réglages. Si vous voulez supprimer une redirection, c'est le code ##21# qu'il faut viser, à ceci près que certains smartphones modernes bloquent désormais ces commandes USSD pour forcer l'usage des menus Android ou iOS. Autant le dire, votre clavier numérique n'est pas un terminal de hacker professionnel, malgré ce que racontent les vidéos virales sur les réseaux sociaux.
La confusion entre le transfert et l'écoute
Reste que la distinction entre un transfert d'appel (Call Forwarding) et une interception de type IMSI-catcher est abyssale. Le code *#21# ne verra jamais un dispositif policier ou un logiciel espion comme Pegasus, car ces derniers agissent à un niveau bien plus profond du système d'exploitation ou du hardware. Les chiffres sont têtus : 98% des détections via ce code révèlent juste un service de messagerie vocale visuelle mal configuré. Résultat : l'utilisateur moyen s'inquiète pour un numéro de serveur technique alors que ses véritables failles de sécurité se trouvent dans ses mots de passe réutilisés.
Le secret des techniciens : au-delà de la simple interrogation visuelle
Si vous voulez vraiment jouer dans la cour des grands, il faut comprendre que le code *#21# n'est qu'une porte d'entrée vers des diagnostics plus fins, souvent ignorés du grand public. On oublie souvent que ce code peut varier selon que vous soyez en itinérance internationale ou sur votre réseau domestique. Un expert ne se contentera pas de regarder l'écran principal, il scrutera si le renvoi concerne uniquement la voix ou s'il s'étend aux données paquets (PAD) et aux SMS. Car c'est là que réside le vrai danger : le détournement des codes de double authentification reçus par message texte.
L'analyse des services asynchrones
Peu d'utilisateurs savent que les réseaux mobiles gèrent sept types de flux différents de manière indépendante. En tapant cette séquence, votre téléphone interroge le statut "Tous les services", mais il arrive que certains sous-services soient activés à votre insu. Et si un attaquant avait configuré une redirection sélective uniquement pour les SMS afin de vider votre compte bancaire ? Mais le protocole SS7, sur lequel reposent ces codes, est vieux de plusieurs décennies et montre ses limites face aux attaques modernes. La sécurité absolue n'existe pas, surtout quand on s'appuie sur des technologies conçues à l'époque du bipeur.
Questions fréquentes sur l'usage des codes USSD
Est-ce que le code *#21# fonctionne sur tous les réseaux mondiaux ?
La compatibilité atteint environ 94% des réseaux GSM et LTE à travers le globe, car ces commandes font partie du standard international 3GPP. Toutefois, certains opérateurs de réseaux virtuels (MVNO) aux États-Unis ou en Asie ont désactivé ces requêtes pour limiter la charge sur leurs serveurs de signalisation. Dans environ 6% des cas, vous recevrez un message d'erreur type "Problème de connexion ou code MMI non valide". Cela ne signifie pas que vous êtes piraté, mais simplement que la passerelle de votre opérateur refuse l'accès direct aux registres de service par cette méthode archaïque.
Le code peut-il détecter un logiciel espion installé sur l'appareil ?
Absolument pas, et c'est là que le bât blesse dans le discours sécuritaire ambiant. Un logiciel espion de type cheval de Troie agit localement sur le noyau du téléphone pour enregistrer l'écran ou le micro, sans jamais avoir besoin de rediriger l'appel via le réseau de l'opérateur. Le code *#21# interroge les réglages du commutateur de l'opérateur, pas l'intégrité de votre système de fichiers Android ou iPhone. Pour une détection sérieuse, il vaut mieux surveiller la consommation de batterie inhabituelle ou les pics de transfert de données en arrière-plan, qui sont des indicateurs bien plus fiables qu'une simple ligne de commande réseau.
Pourquoi mon téléphone affiche "Non transféré" pour chaque catégorie ?
C'est l'état idéal qui signifie qu'aucun renvoi d'appel n'est actif, pas même vers votre messagerie vocale. Cela arrive fréquemment si vous avez désactivé manuellement votre répondeur ou si vous utilisez un service de voix sur IP (VoIP) qui court-circuite la gestion classique des appels GSM. Si vous voyez ce message, cela garantit que chaque appel entrant doit aboutir sur votre terminal ou nulle part ailleurs. C'est un réglage de plus en plus prisé par les utilisateurs soucieux de leur souveraineté numérique, évitant ainsi que des messages vocaux sensibles ne soient stockés sur les serveurs d'un tiers sans protection chiffrée de bout en bout.
Synthèse engagée sur la sécurité mobile par USSD
Il est temps d'arrêter de sacraliser ces combinaisons de touches comme s'il s'agissait de l'ultime rempart contre la cybercriminalité. La réalité technique est brutale : le code *#21# est un fossile technologique, utile pour vérifier sa boîte vocale, mais dérisoire face aux menaces contemporaines. Se focaliser sur ces séquences, c'est comme vérifier la serrure de sa boîte aux lettres alors que la porte d'entrée de la maison est grande ouverte. Je soutiens que la véritable protection réside dans le chiffrement des communications et l'abandon progressif des protocoles SMS/GSM au profit de solutions de transport de données sécurisées. Cessez de taper des codes magiques et commencez par auditer vos autorisations d'applications, c'est là que se joue le véritable combat pour votre vie privée. La paranoïa doit laisser place à une hygiène numérique rigoureuse et factuelle.