Aller au contenu principal
Retour aux blog
Usurpation de numero de telephone : le spoofing explique
BlogDanger moyen

Usurpation de numero de telephone : le spoofing explique

Comment les escrocs affichent le numero de votre banque sur votre telephone. Comprendre le spoofing telephonique.

Partager

Le spoofing telephonique : l'arme invisible des escrocs

Votre telephone sonne. L'ecran affiche le numero de votre banque -- celui que vous avez enregistre dans vos contacts. Vous decrochez en toute confiance. Pourtant, la personne a l'autre bout du fil n'est pas votre conseiller bancaire. C'est un escroc qui a usurpe le numero. Cette technique s'appelle le "spoofing" telephonique et elle rend les arnaques par telephone redoutablement efficaces.

Le spoofing detruit le dernier rempart de confiance des utilisateurs : l'identification de l'appelant. Quand le numero affiche sur votre ecran peut etre n'importe lequel, comment faire confiance a un appel ?

Statistiques clés

Comment fonctionne le spoofing

Le principe technique

Le spoofing exploite une faille dans le fonctionnement des reseaux telephoniques. Quand un appel est emis, le numero d'appelant affiche (le "Caller ID") est une information fournie par l'appelant lui-meme. Les reseaux telephoniques historiques n'ont pas ete concus pour verifier l'authenticite de cette information.

Concretement, les escrocs utilisent des services de telephonie sur internet (VoIP) qui permettent de configurer librement le numero affiche. Il suffit de quelques clics pour qu'un appel provenant d'un serveur situe n'importe ou dans le monde affiche le numero de votre banque, de votre prefecture ou de n'importe quel organisme.

Les outils utilises par les escrocs

| Outil | Principe | Difficulte d'acces | |-------|----------|-------------------| | Services VoIP | Configuration du Caller ID | Tres facile, legal | | SIP trunks | Protocole telephonique modifiable | Facile, usage professionnel | | Passerelles GSM | Emission depuis des cartes SIM locales | Moyen, materiel necessaire | | Logiciels specialises | Automatisation des appels et spoofing | Facile, disponible en ligne |

Ce que l'escroc peut faire

  • Afficher le numero exact de votre banque : votre telephone affiche le nom enregistre dans vos contacts
  • Afficher un numero local : pour paraitre geographiquement proche de vous
  • Afficher un numero court : comme ceux utilises par les administrations
  • Afficher un numero masque : en pretendant appeler d'un "service securise"
  • Integrer le faux SMS dans la conversation : le spoofing fonctionne aussi pour les SMS, le faux message apparait dans le fil de discussion des vrais messages

Le numero affiche sur votre telephone ne garantit en aucun cas l'identite de l'appelant. Un escroc peut afficher n'importe quel numero, y compris celui de votre banque, de la police ou de n'importe quel organisme officiel. Ne faites jamais confiance a un appel sur la seule base du numero affiche.

Les scenarios d'arnaque bases sur le spoofing

Scenario 1 : Le faux conseiller bancaire

L'escroc affiche le numero du service client de votre banque. Votre telephone indique "Credit Agricole" ou "BNP Paribas" car vous avez enregistre ce numero. L'escroc se presente comme un agent du service fraude et vous alerte d'une operation suspecte. La confiance est immmediate car le numero correspond.

Pourquoi c'est particulierement dangereux :

  • Le numero s'affiche dans votre historique d'appels comme un vrai appel de votre banque
  • Sur certains telephones, le faux SMS peut apparaitre dans le meme fil que les vrais messages de votre banque
  • La victime n'a aucun moyen technique simple de distinguer le vrai du faux

Scenario 2 : Le faux agent des impots

L'escroc affiche le numero des services fiscaux ou un numero en 01 (Paris) pour paraitre officiel. Il vous informe d'un remboursement ou d'une regularisation necessaire et vous demande vos coordonnees bancaires pour "proceder au virement".

Scenario 3 : Le faux livreur

L'escroc affiche un numero local ou celui d'un transporteur. Il vous informe d'un colis en attente et vous demande des frais de livraison ou vos coordonnees pour "reprogrammer". Ce scenario est souvent precede d'un faux SMS de livraison.

Scenario 4 : L'arnaque sentimentale ou familiale

Variante plus rare mais percutante : l'escroc affiche le numero d'un proche (recupere sur les reseaux sociaux) et pretend appeler depuis le telephone de cette personne. "C'est l'hopital, votre fils a eu un accident, nous avons besoin de..."

Pourquoi le spoofing est difficile a combattre

Le reseau telephonique mondial repose sur des protocoles concus dans les annees 1970-1980 qui n'ont pas ete prevus pour verifier l'identite de l'appelant. Le Caller ID est une simple information declarative, pas un mecanisme d'authentification. De plus, les appels de spoofing proviennent souvent de serveurs a l'etranger, ce qui rend la cooperation entre operateurs et forces de l'ordre complexe. Enfin, modifier le numero d'appelant n'est pas illegal en soi : des entreprises le font legitimement au quotidien. Seul l'usage frauduleux est sanctionne.

Les protections existantes et en cours de deploiement

Le mecanisme d'authentification des numeros (MAN)

La France deploie progressivement le MAN, un systeme base sur les protocoles STIR/SHAKEN. Ce mecanisme permet de verifier que le numero affiche correspond bien a l'operateur qui emet l'appel. L'operateur d'origine signe numeriquement l'appel et l'operateur de destination verifie la signature. Si la verification echoue, l'appel est marque comme potentiellement usurpe.

Les filtres et applications

Les operateurs francais (Orange, SFR, Bouygues, Free) deploient des solutions de filtrage des appels suspects. En complement, des applications comme Truecaller ou Orange Telephone utilisent des bases communautaires pour signaler les numeros frauduleux. Ces outils reduisent le risque mais ne l'eliminent pas.

Les solutions techniques actuelles (MAN, filtrage operateur, applications) reduisent le probleme mais ne l'eliminent pas. La vigilance humaine reste la meilleure protection. Aucune technologie ne peut garantir a 100 % l'authenticite d'un appel entrant.

Comment se proteger du spoofing

Les reflexes essentiels

  1. Ne faites jamais confiance au numero affiche : considerez que tout numero peut etre usurpe
  2. Raccrochez et rappelez : si quelqu'un pretend appeler de votre banque, raccrochez et composez le numero officiel vous-meme
  3. Attendez avant de rappeler : certains escrocs maintiennent la ligne ouverte pendant quelques minutes. Attendez au moins 5 minutes ou utilisez un autre telephone
  4. Ne donnez jamais d'informations sensibles : meme si le numero semble legitime, ne communiquez jamais de codes, mots de passe ou informations bancaires par telephone
  5. Utilisez un autre canal de verification : en cas de doute, rendez-vous en agence ou connectez-vous a votre espace en ligne

Les mesures techniques

  • Activez le filtrage d'appels de votre operateur
  • Installez une application de detection de numeros frauduleux
  • Ne rappelez pas les numeros inconnus qui vous ont appele
  • Inscrivez-vous sur Bloctel pour limiter le demarchage telephonique
  • Mettez a jour votre telephone : les versions recentes d'Android et iOS integrent des protections anti-spoofing

Proteger les personnes vulnerables

| Action | Detail | |--------|--------| | Sensibiliser | Expliquer que le numero affiche peut etre faux | | Simplifier | Creer une regle simple : "Ne donne jamais rien par telephone" | | Soutenir | Etre disponible pour verifier en cas de doute | | Equiper | Installer une application de filtrage sur leur telephone | | Repertoire | Coller pres du telephone les vrais numeros a appeler |

Les SMS spoofes : un danger meconnu

Le spoofing ne se limite pas aux appels. Les SMS peuvent egalement etre envoyes avec un faux expediteur. C'est d'autant plus dangereux que le faux SMS s'integre dans la conversation existante.

Exemple concret : Vous avez deja recu de vrais SMS de votre banque (codes de validation). Un escroc envoie un faux SMS avec le meme identifiant d'expediteur. Votre telephone affiche le faux SMS dans le meme fil de conversation que les vrais. Il devient presque impossible de distinguer le faux du vrai.

Comment detecter un SMS spoofe

  • Le SMS contient un lien cliquable (les vrais SMS bancaires n'en contiennent pas)
  • Le SMS demande une action urgente
  • Le SMS demande des informations personnelles ou bancaires
  • Le ton du message est different des SMS habituels de cet expediteur

Le cadre legal en France

Les sanctions prevues

L'usurpation d'identite par voie de communication electronique est punie par l'article 226-4-1 du Code penal : jusqu'a 1 an d'emprisonnement et 15 000 euros d'amende. Quand cette usurpation est utilisee pour commettre une escroquerie, les peines sont alourdies.

Les obligations des operateurs

La loi Naegelen de 2020 impose aux operateurs telephoniques de mettre en place des mecanismes de verification des numeros et de bloquer les appels dont le numero est manifestement usurpe. Le deploiement est progressif et la mise en conformite se poursuit.

Signaler le spoofing

  • 33700 : pour signaler un SMS ou appel frauduleux
  • signal-spam.fr : signalement en ligne
  • cybermalveillance.gouv.fr : assistance et signalement
  • Pre-plainte en ligne : si vous etes victime d'une arnaque

Que faire si vous etes victime

Vous avez fait confiance a un appel spoofe et communique des informations

  1. Identifiez les informations communiquees : codes bancaires, mots de passe, donnees personnelles
  2. Contactez votre banque immediatement si des donnees bancaires sont concernees
  3. Changez tous les mots de passe potentiellement compromis depuis un appareil sur
  4. Deposez plainte au commissariat en precisant que le numero etait usurpe
  5. Signalez l'arnaque sur cybermalveillance.gouv.fr

Vous avez effectue un virement suite a un appel spoofe

  1. Appelez votre banque en urgence pour demander un rappel de fonds
  2. Le temps est critique : agissez dans l'heure si possible
  3. Deposez plainte immediatement
  4. Contestez l'operation par ecrit aupres de votre banque
  5. Conservez l'historique d'appels et toute preuve de l'arnaque

Votre numero est usurpe par des escrocs

Il arrive que les escrocs utilisent votre numero comme faux expediteur. Vous recevez alors des appels ou SMS de victimes qui pensent que vous les avez contactees.

  1. Ne paniquez pas : vous n'etes pas responsable de cette usurpation
  2. Signalez la situation a votre operateur
  3. Deposez une main courante au commissariat
  4. Prevenez votre entourage que votre numero est usurpe
  5. Patientez : les campagnes de spoofing changent regulierement de numero

Si votre propre numero est usurpe par des escrocs, vous n'etes pas legalement responsable des arnaques commises avec votre numero. Signalez la situation a votre operateur qui peut mettre en place des mesures de protection.

En resume

Le spoofing telephonique est une realite technique contre laquelle les protections se deploient progressivement. La seule protection fiable reste de ne jamais faire confiance au numero affiche sur votre telephone. Si quelqu'un pretend appeler de votre banque ou de tout autre organisme, raccrochez et rappelez le numero officiel vous-meme. Ce simple reflexe dejoue la quasi-totalite des tentatives de vishing basees sur le spoofing.

Articles similaires

Arnaque WhatsApp : quand un proche vous demande de l'argent

Les arnaques sur WhatsApp explosent. Usurpation d'identite, faux proches en detresse, vol de code : comment se proteger.

Lire

Vishing : tout savoir sur les arnaques par telephone et comment se proteger

Le vishing (voice phishing) fait des ravages. Techniques des escrocs, exemples concrets et conseils de protection.

Lire

Arnaque au faux conseiller bancaire : comment la reconnaître

Appel de votre 'banque' signalant une fraude ? C'est probablement une arnaque. Découvrez comment fonctionne l'arnaque au faux conseiller et comment vous protéger.

Lire