Alerte aux arnaques par téléphone : le point sur les nouvelles méthodes et comment s’en protéger | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Société
Attention aux arnaques par téléphone.
Attention aux arnaques par téléphone.
©Reuters

Phishing

Alerte aux arnaques par téléphone : le point sur les nouvelles méthodes et comment s’en protéger

Les faux appels d’EDF, de la CAF, de son opérateur téléphonique ou des impôts provenant d’individus qui se font passer pour des conseillers commerciaux sont en augmentation. Si la technique du phishing (ou hameçonnage) est bien connue sur Internet, cette méthode ayant pour but de récupérer les données bancaires se fait aussi par téléphone.

Fabrice Epelboin

Fabrice Epelboin

Fabrice Epelboin est enseignant à Sciences Po et cofondateur de Yogosha, une startup à la croisée de la sécurité informatique et de l'économie collaborative.

Voir la bio »

Atlantico : Alors que le phishing est une méthode bien connue sur Internet, pourquoi se développe-t-il désormais par téléphone aussi bien par appel que par sms ? Quelles sont les nouvelles pratiques en ce qui concerne cette tentative de récupérer des données bancaires ? Comment s’y prennent concrètement les adeptes de cette technique frauduleuse ?

Fabrice Epelboin : Vous découvrez là une technique de hacking bien connue (voir ici), l’ingénierie sociale, qui a fait l’objet de nombreux ouvrages, dont l’un a été rédigé par l’un des hackers les plus célèbres qui soit, Kevin Mitnick (voir ici)Il n’y a rien de bien nouveau là-dedans et dans les cas que vous énumérez il s’agit “d’exfiltrer” les informations bancaires de particuliers en se faisant passer pour une entité inspirant soit la confiance, soit la crainte, de façon à mettre la victime dans une disposition mentale qui l’amènera à vous révéler ces informations.L’une des techniques les plus usuelles pour obtenir le mot de passe d’un système informatique dans une entreprise consiste, aussi étonnant que cela puisse paraitre, à le demander tout simplement par téléphone…en se faisant passer pour le service informatique.

Récemment, un hacker franco-israélien connu sous le nom d’Ulcan a défrayé la chronique en harcelant des journalistes de Rue89 et en s’attaquant à leurs familles. Il s’est fait connaitre, avant cela, pour le harcèlement qu’il opérait auprès de rappeurs célèbres, dont il révélait les antécédents judiciaires. Son principal mode opératoire est celui de l’ingénierie sociale. C’est en se faisant passer pour un collègue d’un commissariat voisin qu’il a obtenu, au téléphone, le casier judiciaire de multiples personnalités. De très nombreux officiers des forces de l’ordre se sont ainsi fait manipuler. Il a également, à de nombreuses reprises, déclenché des opérations de police musclées en faisant croire à une urgence, et ce en utilisant là encore des techniques d’ingénierie sociale. A côté de cela, obtenir les données bancaires d’un allocataire de la CAF en se faisant passer pour un fonctionnaire pointilleux, menaçant de lui couper les vivres, semble relativement facile.

Alors que le paiement par téléphone doit uniquement intervenir lorsque le client est à l’initiative de l’appel, quels conseils peut-on donner afin de détecter ces arnaques au téléphone ?

Vous imaginez bien que si les forces de l’ordre françaises se font avoir par des hackers comme Ulcan, la réponse à cette question est loin d’être évidente. Ce type d’arnaque est ceci dit bien moins fréquent que le phishing par email, et pour cause : on peut “industrialiser” une arnaque par phishing et envoyer des millions de faux email en un clic, alors que par téléphone, cela reste de l’artisanat. Ce genre d’arnaque demande, qui plus est, des compétences d’acteur indéniables. A défaut d’être une solution, c’est déjà rassurant. Nous ne faisons pas face à une déferlante et il n’y en aura pas demain.

Qui sont les cibles du phishing par téléphone ?

Comme vous le voyez la technique ne date pas d’hier et le mode opératoire est souvent opportuniste. J’imagine assez facilement un scénario où, à partir d’un fichier en provenance des CAF que vous avez récupéré Dieu sait comment, vous montez l'arnaque, mais cela mériterait de plus amples investigations.

Comment protéger les personnes les plus vulnérables, notamment les personnes âgées ? Que faire quand on a été victime de ce genre d’arnaque ? Quels sont les recours ?

Protéger les personnes vulnérables alors que les forces de l’ordre ne savent pas se protéger elles-mêmes, c’est un peu une illusion. Ceci dit, les personnes défavorisées sont moins à mêmes de se faire voler leurs données bancaires car elles n’ont pas grand chose sur leur compte en banque. Cela fait déjà un paquet de personnes vulnérables à l’abri. Comme souvent en matière de sécurité informationnelle, c’est à travers l’éducation qu’on peut résoudre bien des problèmes. Cependant, la réponse serait ici paradoxale car enseigner à large échelle les techniques d’ingénierie sociale de façon à ce que la population ne se fasse pas avoir reviendrait aussi à l’enseigner à tout un tas de personnes mal intentionnées. Quant à la conduite à tenir si on a été victime d’une telle arnaque, cela commence par un dépôt de plainte au commissariat. Parlez-leur d’Ulcan, ils comprendront.

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !