Qu'est-ce que le spoofing, la technologie derrière les arnaques au faux conseiller bancaire?

C'est l'une des fraudes les plus difficiles à identifier. En recevant un appel d'un numéro connu, il n'est pas très intuitif de se dire que l'interlocuteur n'est pas forcément le bon. Ainsi, l'arnaque au faux conseiller bancaire a été qualifiée de "phénomène de 2023" par Cybermalveillance.gouv.fr dans son dernier rapport.

Cette escroquerie consiste à appeler une personne en modifiant son numéro de téléphone. L'objectif est de se faire passer pour un membre du personnel de la banque de la victime pour l'inciter à valider des virements frauduleux. Tout ce stratagème se base sur une technologie: le spoofing.

Une manœuvre légale

Le "spoofing", c'est une usurpation d'identité numérique. Cela peut concerner des adresses mails ou des adresses IP afin de se faire passer pour une autre personne. Mais ces dernières années, les escrocs s'attaquent aux numéros de téléphone. Un élément qui impacte directement la confiance qu'une potentielle victime va accorder à son interlocuteur.

Sauf que le "spoofing" est très simple à apprivoiser. Des logiciels - appelés IPBX - permettent de se passer du réseau téléphonique pour effectuer des appels. Avec eux, il est donc possible de paramétrer plusieurs facteurs, dont le numéro que son destinataire va voir s'afficher sur son appareil, en toute légalité.

La loi Naegelen, entrée en vigueur à l'été 2023, s'attaque au démarchage téléphonique. C'est notamment elle qui a circonscrit les appels à vocation commerciale à certaines plages horaires. Mais elle s'attaque également au "spoofing" en imposant un système d'authentification des numéros.

À l'automne, tous les opérateurs présents en France devront mettre en place ce dispositif commun. Une fois cette étape passée, les appels non authentifiés seront automatiquement coupés par les opérateurs.

Une solution peu efficace

Seul problème, cette technique ne fonctionne qu'avec des interlocuteurs français. Les opérateurs exerçant en France vérifient qu'un numéro affiché est bien celui à l'origine de l'appel. Or, les appels frauduleux sont souvent émis depuis l'étranger. La vérification est donc rendue impossible, par manque d'informations.

Malheureusement, la loi Naegelen ne se présente pas comme la solution miracle pour se prémunir du spoofing. C'est donc aux victimes elles-mêmes d'adopter des bons réflexes: en ne communiquant jamais ses identifiants par téléphone. Et ce, même après la réception d'un code de sécurité - une technique utilisée lors des fraudes.

Il est nécessaire de garder en tête qu'avant de cibler une personne, les escrocs ont bien souvent obtenu des informations sur leur victime. A travers des campagnes d'hameçonnage, les noms, prénoms, adresse et date de naissance sont déjà connus des interlocuteurs et ne constituent pas une preuve de l'identité d'un interlocuteur.

Si vous êtes victime d'un faux conseiller bancaire ou de toutes autres arnaques par appel ou SMS, il est impératif de réaliser un signalement sur la plateforme de lutte contre les spams vocaux et SMS: 33700.