Ce qui se cache derrière les arnaques téléphoniques

La Belgique subit une vague d’attaques téléphoniques sans précédent. Zoom sur l’industrie florissante - et pourtant souvent légale - des cartes SIM pirates.

illustration pour les arnaques téléphoniques
Les pirates peuvent usurper les numéros de la police ou de votre banque… © Unsplash

À la mi-février, je reçois un coup de fil d’un 0475 qui s’affiche sur mon smartphone, explique Pierre-Yves, un ­quinquagénaire wallon. C’était un message automatique qui m’invitait à taper “1” pour obtenir plus d’informations. Ce que j’ai fait. J’ai alors été mis en communication avec une dame s’exprimant en anglais et qui s’est ­présentée comme faisant partie du “Police department”. Il y avait pas mal de bruits de fond, j’avais l’impression qu’elle se trouvait dans un genre de call center. Cette dame m’a prétendu que mon identité avait été frauduleusement utilisée et qu’il fallait par conséquent effectuer quelques vérifications. Au début, je n’ai pas tiqué car je parle anglais toute la journée au boulot.

Mais ce père de famille finit par se dire que la police belge ne s’adresse certainement pas aux citoyens dans la langue de Shakespeare et il abrège la communication. Ouf. Ce témoignage vient allonger la ­longue liste des personnes ciblées par ces mystérieux coups de fil. Pour optimiser la pression sur leurs victimes, et donc leurs chances de réussite, certains malfaiteurs poussent le bouchon encore plus loin et prétendent, notamment par SMS, que la personne appelée est convoquée par la police belge dans le cadre d’une affaire… de pédophilie. Des centaines de milliers d’appels téléphoniques frauduleux ont ainsi été enregistrés en Belgique, indiquent l’Institut belge des télécommunications (IBPT) et le Centre pour la cybersécurité en Belgique (CCB). Des appels qui ont pour but, bien entendu, de nous ­subtiliser des données personnelles sensibles. “J’ai rappelé ce numéro de téléphone et je suis alors tombé sur une dame qui travaille au groupe hospitalier Chirec et qui ne comprenait pas du tout comment son portable avait pu être usurpé”, poursuit Pierre-Yves. Mais comment diable des personnes malintentionnées, a priori étrangères, peuvent-elles détourner un numéro de téléphone mobile belge?

Tapez 2 pour trafiquer votre voix

Ces arnaqueurs utilisent en réalité la technique du “spoofing” (“usurpation d’identité”). Concrètement? Sur le dark Web et les messageries chiffrées Telegram ou Wickr, des criminels commercialisent des cartes SIM pirates prépayées. Dans le jargon, on les appelle “SIM russes”, “SIM cryptées” ou “SIM blanches”. Et leurs fonctions sont hallucinantes. Après avoir inséré ce type de carte dans un téléphone, même un GSM basique, le pirate modifie le nom du point d’accès ou “APN” (les paramètres utilisés par un téléphone pour établir une connexion entre le réseau cellulaire de l’opérateur et l’Internet), tape une série de chiffres, un astérisque, le numéro qu’il souhaite usurper – celui de votre banque ou de la police, par exemple – et termine par le symbole dièse. Rien de très sorcier. Le numéro usurpé s’affichera alors sur le téléphone de la cible. Certaines ­cartes permettent également de modifier la voix du pirate avec une tessiture de baryton ou un voile strident, par exemple. D’autres proposent d’utiliser des voix préenregistrées d’hommes, de femmes et même d’enfants pour mieux piéger leurs victimes. Comptez une centaine d’euros pour l’achat d’une de ces cartes cryptées. À régler en bitcoins, cela va de soi.

illustration d'une arnaque téléphonique

© Adobe Stock

Que des pirates aient créé ces SIM cryptées n’est pas très étonnant. Sauf que ces cartes sont également vendues… légalement. À l’image des modèles commercialisés par la firme britannique Secure Sims. “Notre carte ne peut pas être tracée, même par la police qui est connue pour utiliser des dispositifs tels qu’un capteur IMSI (un système de surveillance utilisé pour intercepter les communications mobiles – NDLR) pour vous localiser et vous suivre. Sécurité totale et anonymat garanti.” Basée à l’est de Londres, cette société propose des cartes SIM sur abonnement de 3 ou 6 mois au prix, respectivement, de 600 livres (720 euros) et de 1.000 livres (1.200 euros). Des cartes réputées impossibles à tracer et qui offrent un roaming illimité dans tous les pays et une fonction intégrée de travestissement de la voix.

Devine de qui je t’appelle

Encore plus troublant? “Des sociétés de marketing proposent également ces solutions pour pouvoir toucher plus facilement des clients, déclare Olivier Bogaert, commissaire de la Federal Computer Crime Unit (FCCU). Une de ces firmes en Belgique est déjà tombée dans le piège et a accordé cette solution à des personnes malintentionnées.” En effet, ces sociétés de démarchage utilisent des logiciels et des réseaux virtuels qui leur permettent de changer l’identifiant d’appelant. Le but est d’augmenter le “taux de décrochés”. Un numéro local ou commençant par 0477, par ­exemple, suscite davantage de confiance et incite à répondre plus facilement. On peut ainsi induire en erreur le destinataire sur l’identité de l’émetteur ou contourner les filtres et autres dispositifs de lutte contre le spam vocal. De bonne guerre, vraiment?

Sans compter que les opérateurs téléphoniques, eux aussi, proposent des options de spoofing. Comme le système de numéros temporaires de Proximus. Ce service, à destination des entreprises mais également des particuliers, permet ainsi à deux interlocuteurs de se contacter en utilisant des numéros générés uniquement à cet effet. “Le numéro de téléphone temporaire permet de protéger la vie privée de vos clients et de vos collaborateurs de façon simple et flexible, vante l’opérateur. Cela permet à un professionnel et un client ou bien à deux particuliers passant par une plateforme de transaction en ligne (2ememain, Immoweb…) de se contacter en utilisant des numéros non identifiables créés pour un usage précis. Ceux-ci seront supprimés dès que vous jugerez qu’ils ont rempli leur mission.

Si cette démarche est sans doute louable, certaines agences marketing se font berner et offrent donc des solutions de spoofing à des personnes malintentionnées. Ne serait-il pas temps d’interdire tout affichage d’un numéro tiers en Belgique? En France, en tout cas, de plus en plus de voix s’élèvent pour critiquer ce flou juridique, lequel, comme chez nous, entraîne la punition sévère de l’usurpation d’identité d’un côté et autorise de l’autre certains acteurs ­commerciaux à pratiquer légalement du spoofing.

Sur le même sujet
Plus d'actualité