Un pirate vient de spoofer votre numéro personnel, « Non mais allô quoi ! »

Les pirates ne peuvent plus usurper le numéro de téléphone de votre banque ? Pas grave, ils vont spoofer les millions de téléphones restant !

Plusieurs lecteurs de ZATAZ rencontrés m’ont alertés du spoofing, l’usurpation de leur numéro à des fins criminelles. « Je fais face à un problème potentiel de sécurité avec mon numéro de téléphone portable. Une personne m’a contacté en me disant avoir reçu un appel de mon numéro, mais je n’ai aucun appel émis vers ce numéro dans mon journal d’appels« , me raconte l’un d’eux. Les pirates avaient affiché son numéro de téléphone dans des tentatives d’hameçonnage téléphonique.

« Mon opérateur a suggéré que cela pourrait être dû à des interférences satellites, mais je doute de cette explication« , s’amuse une seconde témoin de ZATAZ.

Une troisième personne, elle, a carrément porté plainte : son numéro a été utilisé dans une arnaque, et elle a reçu en une soirée près de 300 appels de victimes potentielles, toutes contactées par les fraudeurs. Le pirate — ou les pirates, plus probablement — n’ont pas chômé ! Les gens, en voyant son numéro s’afficher, ont rappelé… sans savoir qu’ils contactaient en réalité une victime, pas un escroc.

Le spoofing téléphonique : qu’est-ce que c’est ?

Le spoofing téléphonique est une technique de fraude qui consiste à falsifier l’identité de l’appelant en faisant apparaître un faux numéro sur l’écran de votre téléphone.
Concrètement, vous recevez un appel qui semble provenir d’une source fiable (banque, administration, opérateur téléphonique, voire un contact connu), alors qu’il s’agit en réalité d’un escroc. Le but ? Vous soutirer des informations personnelles, bancaires, ou vous inciter à rappeler un numéro surtaxé.

Sur le papier, le bla-bla cyber vous indique que, pour vous protéger contre le spoofing téléphonique, il ne faut pas partager votre numéro à la légère.
Évitez de le publier sur les réseaux sociaux, forums ou sites publics. Ne donnez votre numéro qu’à des sources fiables.
Activez l’authentification à deux facteurs (2FA). Associez votre numéro uniquement à des services sécurisés et protégez-les avec une authentification à deux étapes. Utilisez un service de protection d’identité ou un antivirus mobile.

En France, vous pouvez signaler un appel frauduleux sur la plateforme 33700 ou auprès de votre opérateur. Cela permet de lutter collectivement contre les campagnes malveillantes. Des conseils que l’on peut lire sur la moindre plaquette cyber. Sauf que… comment faire lorsqu’il s’agit d’un vrai numéro légitime créé via une liste ou tout simplement, aléatoirement ?

On met ici le doigt sur une vraie problématique du spoofing téléphonique : quand des numéros réels et légitimes sont usurpés, ce sont non seulement les personnes appelées qui sont victimes, mais aussi les détenteurs du numéro utilisé frauduleusement. Être inondé de rappels, de messages de colère ou de méfiance, car leur numéro apparaît comme l’émetteur d’appels qu’ils n’ont jamais passés. Cela peut avoir des conséquences très concrètes : réputation ternie, saturation de la ligne, voire suspension temporaire par précaution.

Service de Veille ZATAZ – 96% de satisfaction

Pourquoi est-ce possible ?

Le réseau téléphonique, contrairement à la messagerie électronique, ne dispose pas encore de système universel d’authentification de l’identité de l’appelant.
C’est cette faille que les cybercriminels exploitent. Le numéro affiché n’est pas vérifié automatiquement par les infrastructures de tous les opérateurs. Je vous en parlais déjà, en 2018 !

Malheureusement, il n’existe pas aujourd’hui de mécanisme simple pour empêcher que son numéro soit utilisé en spoofing. Mais voici quelques mesures de protection et de réaction possibles :

Contacter son opérateur téléphonique, qui peut fournir (dans des cas très précis) des logs ou bloquer temporairement l’émission d’appels depuis votre numéro s’il est exploité massivement.

Signaler l’usurpation au commissariat ou à la gendarmerie, avec un maximum de preuves (appels reçus, messages de personnes vous ayant rappelé, etc.).
« Un OPJ [Officier de Police Judiciaire] m’a indiqué qu’il y avait peu de chances d’aboutir à un résultat« , souligne un des témoins. Il ne faut cependant pas passer outre la plainte.

En dernier recours, demander un changement de numéro de téléphone. Si les désagréments deviennent ingérables, certains opérateurs acceptent de vous attribuer un nouveau numéro.

Vers une solution technique ?

Il existe des normes comme STIR/SHAKEN (déjà en déploiement aux États-Unis) qui permettent d’authentifier les appels et de bloquer les faux numéros.
En Europe, la mise en place est encore inégale, mais les discussions avancent.
Des normes internationales comme STIR/SHAKEN visent à authentifier l’identité des appelants sur les réseaux téléphoniques.
En France et en Europe, leur adoption reste en cours, mais elle représente une piste prometteuse pour limiter ce type de fraude à grande échelle.
La mise en place dans l’hexagone d’une solution pour empêcher l’usurpation des numéros de téléphone des banques semble porter ses fruits.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.