Le dernier rapport annuel de l’Observatoire de la Sécurité des Moyens de Paiement révèle qu’un tiers des fraudes aux moyens de paiement de 2023 sont dues à des manipulations, représentant 379 millions d’euros. Une tendance en hausse, alimentée par des techniques de plus en plus sophistiquées. En réaction, des mesures commencent à être déployées pour contrer ce phénomène.
- Qu’est-ce que la fraude par spoofing ?
Le terme “spoofing” est utilisé dans le domaine numérique pour désigner une cyberattaque par usurpation d’identité numérique. Il peut prendre différentes formes :
- L’imitation d’un e-mail ou du nom d’expéditeur. Il s’agit de modifications légères, misant sur un manque de vigilance de la victime. Par exemple, remplacer un “l” par un “i” majuscule, ou un “g” par un “q” : « @qouv.fr » qui donne l’illusion de recevoir un mail de l’Etat.
- De manière plus technique, il pourra s’agir d’usurper un nom de domaine et son adresse IP pour rediriger les victimes vers un faux site, un Bluetooth pour injecter un code malveillant dans un appareil, etc.
Parmi toutes les formes de spoofing, l’usurpation d’identité par appel téléphonique est devenue particulièrement courante pour mener un hameçonnage. L’objectif des attaquants est de se faire passer pour une personne de confiance, tel qu’un conseiller bancaire, afin d’obtenir des informations confidentielles ou de faire effectuer des opérations spécifiques. Pour renforcer leur crédibilité, les attaquants peuvent s’appuyer sur des techniques affichant sur l’écran de la victime le numéro de la personne qu’ils prétendent être (“Caller ID Spoofing”), voire de reproduire leur voix (“vishing”).
Il devient de plus en plus difficile pour les victimes de détecter les signes d’une fraude. La Cour de cassation y est d’ailleurs attentive.
- Clémence de la Cour de cassation envers les victimes de faux conseillers bancaires
Le 23 octobre 2024, la Cour de cassation s’est prononcée en la matière. Était en cause un client de BNP Paribas qui avait perdu 54 500 euros à la suite d’une fraude téléphonique.
Les banques ont l’obligation de rembourser leurs clients des sommes soustraites par escroquerie (art. L133-18 du Code monétaire et financier). Or, la banque a tenté de se décharger de sa responsabilité en invoquant l’article suivant dudit Code, qui permet de lever l’obligation en cas de négligence grave du client. Toutefois, c’est à la banque de prouver celle-ci. La question était alors de savoir si le rôle actif de la victime, obéissant au fraudeur, caractérisait une négligence grave, le privant de la protection légale.
La Cour de cassation vient ici trancher en faveur des victimes en raison de la complexité d’une telle attaque. En effet, la mise en confiance par ingénierie sociale était de surcroît accompagnée d’une vraisemblabilité technique : le véritable numéro de téléphone du conseiller y était affiché et les nouveaux bénéficiaires de virements étaient connus de la victime. En outre, la Cour reconnaît qu’un appel téléphonique, du fait de son immédiateté, n’offre qu’un temps d’analyse limité. La victime pouvait ainsi légitimement croire être en relation avec sa banque, ne commettant donc pas de négligence grave en obéissant.
Par cette solution, l’individu trompé est davantage perçu comme une victime d’une manipulation habile, plutôt que comme un acteur naïf et imprudent.
Confronté à des cyberattaques complexes, le législateur s’empare de la question et cherche à renforcer la sécurité des échanges.
- Le Mécanisme d’Authentification des Numéros (MAN) : une réponse technique
Depuis le 1er octobre, un nouveau dispositif de sécurité, le MAN, est déployé en France. Initiée par la loi du 24 juillet 2020, cette mesure vise à protéger les utilisateurs des fraudes téléphoniques. Le MAN repose sur des certificats numériques : il permet d’authentifier les appels vocaux passant par Internet en vérifiant la signature cryptographique à chaque étape de l’acheminement de l’appel. Si l’origine de l’appel paraît suspecte, celui-ci peut être bloqué avant d’atteindre le destinataire.
Il est toutefois à noter qu’en réalité cette avancée reste limitée. En effet, ce mécanisme ne s’applique qu’aux numéros fixes fonctionnant avec une box Internet, alors même que ceux-ci sont de plus en plus délaissés par les Français. Sont alors exclus les téléphones mobiles et les appels via applications de messagerie.
Romain Bonenfant, directeur général de la Fédération française des télécoms, disait à ce sujet que “c’est un peu les fondations du système, la première brique”. Et, il est vrai que ce dispositif a pour perspective d’être élargi.
Pour le moment, et face aux risques persistants, une sensibilisation est de mise. Les grandes entreprises en sont conscientes, des pop-up ou courriels alertant de ces pratiques se font de plus en plus nombreux. En cas d’appel suspect, il est conseillé de raccrocher et de rappeler son conseiller via le numéro officiel de la banque. L’usurpation de numéro (Caller ID Spoofing) ne fonctionne que dans un sens, elle ne permet pas à l’attaquant de rediriger les communications de l’usurpé vers son appareil. Aussi, des applications mobiles permettent de signaler et de bloquer automatiquement ces appels indésirables.
Finalement, cet arrêt, couplé aux efforts législatifs, montre que des mesures concrètes se mettent progressivement en place pour mieux encadrer ces pratiques mais aussi davantage responsabiliser les banques et les opérateurs télécoms face à une problématique croissante de sécurité numérique. L’arsenal juridique et technologique doit continuer de s’affiner pour anticiper les menaces de demain.
Laeticia ESCHLIMANN
M2 Cyberjustice – Promotion 2024/2025
Sources :
Décision de la Cour de cassation
Alao – Spoofing et faux appels : de quoi s’agit-il et comment m’en défendre ?
Loi visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux
Image de Jcomp sur Freepik
