Lorsqu'on parle cybersécurité, on pense aux ordinateurs et aux smartphones, mais moins aux appels téléphoniques. Ils constituent pourtant aujourd'hui un vrai talon d'Achille exploité par les criminels pour subtiliser de précieuses données et même faire des virements facilement, à vos dépends.
Rien qu'aux Etats-Unis, on estime que la fraude aux appels téléphoniques représente 20 milliards de dollars par an (quelque 17 milliards d'euros) et si les chiffres manquent à l'appel en France, les sommes détournées peuvent être importantes, selon Pindrop, société spécialisée dans la lutte contre ce type de fraudes.
«Un criminel a besoin en moyenne de 26 appels seulement auprès de différents organismes pour monter son coup et récupérer les infos nécessaires pour usurper votre identité avant de faire un virement. Et lorsqu'on sait qu'un appel sur mille est frauduleux dans les banques, les cas sont bien plus fréquents qu'on ne peut l'imaginer», explique à CNEWS Dominique Ango, directeur général de la région Europe Sud de Pindrop.
Dans les faits, les fraudeurs utilisant ce type de technique «ne sont pas des génies du code avec un bac +5, on parle de gens normaux avec peu de moyens qui, avec un ordinateur et au moins un numéro de téléphone, deviennent de vrais professionnels pour récupérer vos données, car les outils qu'ils utilisent sont simples d'accès», poursuit le spécialiste.
Un mode opératoire consistant à jouer la comédie
Et le mode opératoire est souvent le même, car le canal téléphonique est peu sécurisé chez certains organismes. «C'est un vrai métier et les fraudeurs savent s'y prendre en jouant la comédie au bout du fil. Il y a plusieurs profils que nous avons identifiés comme celui de la vieille dame qui se fait passer pour une personne âgée en détresse et se met à pleurer pour gagner la sympathie du conseiller qui va alors lui donner toute une série d’informations. Il y a également ceux qui se font passer pour un couple ou qui jouent sur la famille avec un père malade en Ephad. Il y a aussi le gendre idéal, poli et qui jette des fleurs au conseiller pour l'amadouer, et même le fou râleur qui insulte tout le monde et demande à parler au responsable... Tout ça implique l'idée de faire diversion et vous seriez étonné avec qu’elle simplicité ces gens récupèrent des informations très personnelles avec rien», décrit Dominique Ango.
Reste qu'à ce stade il n’y a pas encore de fraude, mais seulement des collectes d'informations. Certains vont d'ailleurs récupérer ces données pour les revendre sur le dark web, quand d'autres s'en servent directement pour monter leur coup. D'autant que les centres d'appels peuvent être rappelés régulièrement par les mêmes fraudeurs qui utilisent alors différentes identités pour collecter des données.
«Les centres d'appels ne sont pas là pour faire de l'investigation, souligne Dominique Ango, surtout qu'il est très facile d'utiliser des logiciels qui vont permettre de générer différents numéros de téléphone français pour passer des appels sans avoir besoin de carte SIM, tandis que des applis mobiles permettent d'appliquer un bruit de fond spécial, en faisant croire qu’on est dans un aéroport par exemple et qu'on a des difficultés à échanger».
60 % des fraudes en ligne passent d'abord par le téléphone
Sur toutes ces fraudes en ligne constatées, 60% passent d'abord par le terminal téléphonique, précise Pindrop. «Il est le moins bien sécurisé et on n'y laisse quasiment aucune trace. C'est un eldorado pour les fraudeurs qui peuvent également compléter votre profil avec les infos qu'ils trouvent sur le Web et les réseaux sociaux. Une fois qu’ils ont tout sur vous, ils vont sur Internet pour prendre un compte à distance. Ils appellent au préalable votre centre opérateur pour dire qu’ils ont changé de numéro afin de rendre celui de leur victime obsolète. Enfin, ils passent par la banque de leur victime pour faire un virement et le certifie avec un code reçu sur leur smartphone avec le nouveau numéro. C'est d'une simplicité déconcertante», prévient Dominique Ango. Si certains vont récupérer des fonds parfois importants, d'autres peuvent aller jusqu'à contracter un emprunt à la consommation de 20.000 euros par exemple.
Des logiciels pour détecter les fraudeurs
Avec le boom de ces procédés frauduleux, la société Pindrop est aujourd'hui la seule au monde à avoir mis au point un système de détection en identifiant «les signaux faibles de l’appelant». Dans les faits, un système basé sur l'intelligence artificielle va détecter en quelques secondes 1.300 points (quel est l’appareil utilisé ? quelles sont les fréquences ?...). Des signatures qui ne sont pas personnelles, l'idée étant de faire un profilage basé sur des caractéristiques techniques.
Le logiciel va ensuite analyser le comportement de l'appelant : appelle-t-il beaucoup ? Ses appels se font-ils de jour ou en soirée ? A quelle vitesse et comment tapent-il sur les touches utilisées pour laisser son identifiant. «Cette étape permet de distinguer un bot d’un humain, car les hackers utilisent souvent des robots pour passer les appels et utilisent des scripts pour en passer plusieurs en même temps», commente Dominique Ango.
Parallèlement, le logiciel va également s'intéresser au réseau télécom utilisé. L'appelant qui passe par un opérateur historique (Orange, Free, Bouygues, SFR…) est souvent moins enclin à la fraude que celui utilisant une carte prépayée par exemple. «90 % des fraudes passent par des opérateurs alternatifs, voire des systèmes étrangers pour avoir un numéro français pour passer un appel depuis son ordinateur portable», ajoute-il.
Enfin, si elle n'est pas encore vraiment utilisée en France (en raison des règles fixées par la Cnil et le RGPD), la biométrie vocale permet d'identifier l'appelant. Le logiciel diffuse surtout un score de risque qui prévient l’agent au téléphone de la probabilité d'un appel frauduleux.