Office fédé­ral de la cyber­sé­cu­rité, Les escro­que­ries par télé­phone dans le domaine cyber, 7 novembre 2024

Avez-vous égale­ment reçu récem­ment un appel avec une voix (auto­ma­tique ou non) venant de préten­du­ment de « la police fédé­rale de Berne » qui requiert que vous accep­tiez l’appel en raison d’une pour­suite pénale ? Nous sommes malheu­reu­se­ment de nombreuses personnes à rece­voir ce genre de coups de téléphone.

L’Office fédé­ral de la cyber­sé­cu­rité (OFCS) publie le 7 novembre 2024 son rapport semes­triel 2024/​I pour la période de janvier à juin de cette année. Dans son rapport, il fait état de la forte augmen­ta­tion de signa­le­ments au sujet des escro­que­ries par télé­phone (ces escro­que­ries ont fait l’objet de 23’104 cybe­rin­ci­dents signa­lés sur les 34’789 annon­cés à l’office durant le premier semestre de 2024). Compte tenu de l’importance de ce phéno­mène à l’heure actuelle, l’OFCS se penche plus en profon­deur sur ce type de fraude et publie un rapport séparé.

Le rapport de l’OFCS débute avec une clari­fi­ca­tion termi­no­lo­gique. L’escroquerie (art. 146 CP) est le terme juri­dique qui désigne le délit selon lequel une personne pour­sui­vant un dessein d’enrichissement illé­gi­time induit en erreur par une trom­pe­rie astu­cieuse une personne et la déter­mine à des actes préju­di­ciables à ses inté­rêts pécu­niaires (ou à ceux d’un tiers). La fraude est un terme plus géné­ral et l’arnaque est un terme simi­laire informel.

L’escroquerie par télé­phone est répan­due, l’oralité permet­tant la créa­tion d’une rela­tion de confiance ainsi que la mani­pu­la­tion immé­diate de la personne dupée. L’évolution des tech­no­lo­gies permet aux délin­quants de combi­ner l’oralité au domaine cyber, de peau­fi­ner leurs tech­niques et d’exploiter les données obte­nues pour en déga­ger du profit.

La combi­nai­son entre les nouvelles tech­no­lo­gies et les escro­que­ries par télé­phone ne sont pas nouvelles. La tech­no­lo­gie Voix sur IP (Voice over IP, VoIP) exis­tait déjà dans les années 2000 pour créer de faux numé­ros de télé­phone et masquer l’identité de l’appelant, afin de faire croire qu’un appel provient d’une entité légi­time. Ces tech­niques permettent d’automatiser des centaines d’appels frau­du­leux et d’entraver le retra­çage des numé­ros utilisés.

Depuis, de nombreuses possi­bi­li­tés sont offertes par les tech­no­lo­gies avant, pendant ou après les tenta­tives d’escroquerie. L’utilisation des tech­no­lo­gies peut servir pour diffé­rents types d’escroquerie :

• L’appel auto­ma­tisé (robo­call), par lequel les délin­quants diffusent massi­ve­ment des messages émanant préten­du­ment d’organisations légi­times, permet de limi­ter les ressources humaines néces­saires et de se concen­trer ensuite sur les personnes qui restent en ligne après avoir entendu l’appel auto­ma­tisé. Depuis l’été 2023, des escrocs appellent quoti­dien­ne­ment et de manière auto­ma­ti­sée (par des bots) des milliers de personnes en Suisse, se faisant passer pour une auto­rité de police qui accuse la victime d’un délit. La victime doit appuyer sur une touche pour obte­nir plus d’informations, après quoi les délin­quants tentent de sous­traire des données ou à instal­ler des logi­ciels sur leur smart­phone, ce qui leur permet d’accéder par exemple aux comptes bancaires en ligne.
• L’usurpation du numéro de télé­phone (spoo­fing) par laquelle les délin­quants falsi­fient l’identifiant de l’appelant pour affi­cher un numéro de télé­phone légi­time, ce qui peut inci­ter la dupe à répondre. De nombreux cas impli­quant l’usurpation de numé­ros de télé­phone de banques ou d’autorités de police ont été recen­sés par l’OFCS. Dans les cas de robo­call recen­sés par l’OFCS, les escrocs usurpent fréquem­ment des numé­ros de téléphone.
• L’incitation à l’appel, par les crimi­nels qui envoient un message audio enre­gis­tré, par exemple à diffé­rents employés d’une entre­prise. Ce message cherche à faire passer l’appelant pour une personne de confiance interne à l’organisation et contient souvent un message urgent en deman­dant de rappeler.

Les délin­quants utilisent désor­mais égale­ment des logi­ciels malveillants (logi­ciels d’hameçonnage vocal) qui implantent des messages vocaux préen­re­gis­trés, redi­rigent les appels du télé­phone infecté vers des centres d’appel d’escrocs et requiert, une fois les appli­ca­tions télé­char­gées, l’autorisation d’accéder aux contacts, à l’appareil photo, au micro­phone ou encore à la géolo­ca­li­sa­tion de l’appareil.

D’autres avan­cées tech­no­lo­giques sont exploi­tées, à l’instar de l’utilisation des eSIM (pour prendre le contrôle du numéro de télé­phone de leurs victimes et inter­cep­ter les codes de sécu­rité envoyés lors d’authentification multi­fac­to­rielle) ou de l’intelligence arti­fi­cielle (pour auto­ma­ti­ser les appels ou géné­rer des voix).

Le rapport de l’OFCS se pour­suit avec une analyse de la situa­tion du côté des four­nis­seurs de services de télé­com­mu­ni­ca­tion. À l’heure actuelle, ceux-ci ne peuvent pas (ni juri­di­que­ment ni tech­ni­que­ment) recon­naître les robo­calls recou­rant à l’intelligence arti­fi­cielle à partir du contenu, de la langue ou de la voix utili­sée. En exploi­tant des alertes auto­ma­ti­sées et respec­tueuses de la vie privée, ils pour­raient néan­moins prendre les contre-mesures appropriées.

Ils peuvent en revanche implé­men­ter des solu­tions de filtrage pour iden­ti­fier et bloquer les numé­ros suspec­tés d’être utili­sés pour des escro­que­ries (art. 45a LTC), recou­rir à la recon­nais­sance vocale pour authen­ti­fier les appe­lants (en parti­cu­lier pour les inter­ac­tions sensibles), détec­ter par des algo­rithmes des sché­mas d’appel inha­bi­tuels ou des compor­te­ments indi­quant des tenta­tives d’attaques, ou encore sensi­bi­li­ser la population.

Plus géné­ra­le­ment, les infrac­tions d’escroquerie (art. 146 CP) comme d’usurpation d’identité (art. 179^decies CP) peuvent en paral­lèle être invo­quées devant les auto­ri­tés de pour­suite pénale en fonc­tion des cas.

Actuellement, une initia­tive entre l’OFCOM et les four­nis­seurs existe pour trou­ver une solu­tion à l’échelle du secteur, permet­tant de lutter contre ce défi complexe que consti­tuent les appels frauduleux.

Finalement, le rapport de l’OFCS se conclut avec la recom­man­da­tion de mesures pour la popu­la­tion, dans la mesure où l’humain au bout du fil reste souvent le maillon faible dans ces attaques. Il rappelle à ce titre notam­ment de ne pas faire confiance à tous les appe­lants et de ne pas se lais­ser inti­mi­der par ceux-ci, ainsi que de ne jamais révé­ler d’informations profes­sion­nelles à des inconnus.