Cybersécurité – La fraude au SMS, un casse-tête pour les autorités et les opérateurs

Face à la hausse du "smishing", de nombreux pays ont instauré des plateformes de signalement, comme le 33700 en France ou le 7726 au Royaume-Uni, auxquelles il est possible de transférer les SMS suspicieux — à charge pour les autorités de bloquer ces numéros. (Photo STS)
Temps de lecture : 3 min.

La fraude au SMS, ou “smishing”, pullule dans de nombreux pays, portée par la hausse de l’usage des smartphones. Un défi pour les autorités mais aussi pour les opérateurs téléphoniques, réunis cette semaine au Salon du mobile (WMC) de Barcelone.

Qu’est-ce que le “smishing”?

Le smishing, contraction de “SMS” et de “phishing” (“hameçonnage” en anglais), est une cyberattaque qui cible les individus par le biais de textos ou de services de messagerie en usurpant l’identité d’organismes officiels, comme les banques, les plateformes de livraison ou les autorités douanières.

A l’instar du “phishing” traditionnel, réalisé par courriel, la victime est poussée à cliquer sur un lien ou à rappeler son interlocuteur pour un motif présenté comme urgent: résoudre un incident de paiement, confirmer la réception d’un colis ou régler une contravention.

L’objectif est d’“inciter les victimes à partager des informations personnelles, de cliquer sur des liens malveillants ou bien de télécharger des logiciels ou des applications nuisibles”, détaille auprès de l’AFP Stuart Jones, de l’entreprise américaine de cybersécurité Proofpoint.

Selon l’ITW Global Leaders’ Forum, réseau de dirigeants du secteur des télécommunications, ces arnaques par SMS — qui jouent sur le sentiment de peur ou de curiosité — touchent aussi bien les entreprises que les particuliers.

Quelle est l’ampleur du phénomène?

Le smishing s’est fortement développé ces dernières années, et notamment durant la pandémie de Covid-19, en raison de l’explosion de l’usage du téléphone portable pour les démarches administratives et les achats sur internet.

D’après une étude menée dans 10 pays par le Mobile Ecosystem Forum (MEF), autre association professionnelle du secteur des télécoms, 39% des consommateurs ont été confrontés à au moins une tentative d’arnaque par SMS l’an dernier.

“C’est devenu un problème très grave au niveau mondial”, a insisté Janet Lin, responsable du développement de la société de cybersécurité taïwanaise PINTrust, lors d’un débat consacré au sujet au MWC lundi.

En moyenne, 3 à 400.000 attaques par SMS auraient lieu chaque jour selon Proofpoint, qui fait notamment état d’une hausse exponentielle (+318% en 2023) des “attaques conversationnelles”, consistant à engager une discussion par messagerie avec sa victime.

Aux seuls États-Unis, le smishing aurait coûté 330 millions de dollars aux consommateurs en 2022, selon la Federal trade commission (FTC). C’est “plus du double des pertes signalées en 2021” et “près de cinq fois” celles de 2019, relève l’agence américaine.

Pourquoi inquiète-t-il?

Le “smishing” est jugé plus dangereux que le hameçonnage par courriel car il est plus difficile d’en identifier les auteurs et parce que les victimes ont tendance à penser que leur numéro ne peut être utilisé que par des personnes ou des organismes connus.

“Beaucoup de gens ont un niveau élevé de confiance dans la sécurité des communications mobiles”, rappelle Stuart Jones. Ainsi, “les taux de clics sur les liens envoyés par mobile sont jusqu’à huit fois supérieurs à ceux reçus par messagerie électronique”, ajoute-t-il.

Les autorités pointent par ailleurs du doigt la sophistication croissante des attaques, les fraudeurs n’hésitant par à recourir à des sociétés spécialisées dans la vente de données personnelles ou à des appareils réservés à l’armée ou à la police.

Ces derniers mois, plusieurs escrocs présumés ont ainsi été interpellés en possession d’Imsi-catchers, appareils de surveillance ultra-sophistiqués permettant d’intercepter les communications et les données de connexion sur un rayon de 500 mètres.

Comment est-il combattu?

Face à la hausse du “smishing”, de nombreux pays ont instauré des plateformes de signalement, comme le 33700 en France ou le 7726 au Royaume-Uni, auxquelles il est possible de transférer les SMS suspicieux — à charge pour les autorités de bloquer ces numéros.

Les opérateurs téléphoniques, soucieux de leur image, ont également mis en place des équipes capables de filtrer une partie des SMS frauduleux, aidés par les outils de signalement des systèmes d’exploitation, comme Androïd et iOS, et de messagerie, comme WhatsApp.

Cette tâche tourne cependant souvent au jeu du chat et de la souris, les fraudeurs changeant en permanence de numéro. Elle est en outre fragilisée par “l’asymétrie de réglementation” entre les différents pays dont profitent certains réseaux, rappelle l’ITW Global Leaders’ Forum.

Pour les experts, l’une des clés de la lutte “anti-smishing” réside donc dans la prévention, notamment auprès du grand public. “Les consommateurs doivent être très prudents” et “ne jamais cliquer sur des liens” intégrés aux SMS, “quel que soit leur réalisme”, insiste Stuart Jones.

AFP