Les escrocs ne s'arrêtent jamais, pas même pendant le creux de janvier. La nouvelle année à peine entamée, les Suisses sont harcelés par des messages de phishing. Dans cette opération de smishing (hameçonnage par SMS), les messages sont prétendument envoyés au nom de La Poste. Ils ressemblent à ça:
Nous avons demandé à un expert, à l'Office fédéral de la cybersécurité (OFCS), à la police cantonale de Zurich, à La Poste ainsi qu'à Swisscom, de nous éclairer à propos de cette vague massive de smishing.
«En raison d'une adresse incomplète, l'envoi ne pourra pas être distribué. Merci d'actualiser les informations», dit le faux message soi-disant envoyé par La Poste. Le lien mène à une copie très réussie du site internet du géant jaune. On nous y demande d'actualiser nos coordonnées, adresse e-mail et numéro de téléphone y compris. Des frais de service de 27 centimes seront facturés pour la nouvelle distribution. Ils peuvent être payés en ligne par carte de crédit.
Les criminels visent les données personnelles ainsi que celles des cartes de crédit pour gagner de l'argent illégalement.
«C'est un groupe criminel asiatique connu sous le nom de Roaming Mantis qui se cache derrière tout ça. Outre les pays asiatiques, il cible toujours plus de pays européens depuis 2019», explique l'expert en sécurité Daniel Stirnimann de la fondation Switch, responsable de l'exploitation et de la sécurité des adresses internet suisses.
La bande a déjà frappé en Suisse en juin 2019 au nom de La Poste. Elle avait usurpé les identifiants des utilisateurs Apple, principalement pour acheter des bons iTunes aux frais des victimes.
Swisscom a introduit un filtre pour les SMS en mars 2022, ce qui a beaucoup aidé. Sunrise et Salt ont suivi.
Depuis août 2023 environ, le groupe est redevenu actif sous nos latitudes, surtout avec le phishing de cartes de crédit. Les criminels ont trouvé un moyen de contourner ce filtre (lire aux points 6 et 7).
Non.
Non, l'ouverture de la page de phishing n'est pas dangereuse en elle-même. Selon Switch et les spécialistes informatiques de La Poste, rien n'indique que les criminels tentent, en plus du phishing d'adresses et de cartes de crédit, d'infecter les appareils des personnes visées avec logiciel malveillant.
Bien entendu, il ne faut malgré tout jamais cliquer sur des liens suspects et surtout ne pas installer d'applications envoyées via des liens dans des messages de chat. En 2019 déjà, les mêmes criminels avaient tenté d'inciter les utilisateurs d'Android à installer une application malveillante. S'ils y parvenaient, les données de contact étaient volées et les appareils mobiles utilisés abusivement pour envoyer d'autres SMS.
Le porte-parole de La Poste, Tobias Lang, répond à nos questions:
Dans cet exemple, le message provient probablement du smartphone infecté d'une autre victime des Roaming Mantis, suppose Stirnimann. Cette personne ignore sûrement qu'on utilise son téléphone pour des escroqueries.
Mais les escrocs ne nous facilitent pas toujours autant la tâche: dans le cas des SMS de phishing, le nom de l'expéditeur peut être falsifié à l'aide d'outils informatiques – les messages paraissent donc plus crédibles.
On reconnaît souvent les tentatives d'escroquerie au fait que leurs auteurs mettent les victimes sous pression avec un délai court. Il faut par exemple agir dans les 12 heures, sinon le colis sera renvoyé.
Swisscom, Sunrise et Salt utilisent des filtres SMS pour lutter contre ce phénomène.
Les SMS contenant des liens indésirables sont ensuite bloqués. Cela semble «bien fonctionner», selon l'expert en sécurité Stirnimann. Sinon, beaucoup plus de ces SMS arriveraient sur nos portables.
Ces messages plus modernes et promus à large échelle par Apple et Google ne sont pas filtrés par les opérateurs. Les criminels se sont donc tournés vers iMessage et RCS, «parce qu'ils ont réalisé que la Suisse les soutenait grandement, et surtout qu'il n'existait pas de filtre anti-spam pour cela», explique Stirnimann.
Le filtre SMS des opérateurs de téléphonie mobile ne peut rien contre la vague actuelle de phishing. Swisscom ne peut filtrer «ni RCS ni iMessage, ni d'ailleurs WhatsApp et les autres apps de messagerie. Seuls les fournisseurs de services respectifs peuvent s'en charger», explique le plus grand opérateur de Suisse. Il renvoie donc la balle à Google, Apple et Meta. Contrairement aux anciens messages SMS non cryptés, les opérateurs ne voient pas les contenus cryptés échangés via WhatsApp ou iMessage et ne peuvent donc pas les bloquer. Pour détecter le phishing, seules les applications concernées peuvent mener une analyse sur les téléphones des utilisateurs.
Google essaie donc de bloquer les messages frauduleux directement sur les smartphones. Cela fonctionne d'autant mieux que les messages sont signalés rapidement par les personnes concernées.
Google et Apple ne sont donc pas impuissants contre le phishing, même avec des messages cryptés. Il est important que les applications de chat développent et intègrent une protection contre les spams.
Pour les messages RCS, le chiffrage de bout en bout est en outre «inactif par défaut», explique l'expert en sécurité. «Je pense qu'Apple, Google et les fournisseurs de téléphonie mobile peuvent faire quelque chose», c'est-à-dire intercepter les messages RCS avant qu'ils n'arrivent sur le téléphone portable. Swisscom affirme toutefois ne plus prendre en charge les RCS:
«Il faut en premier lieu bien vérifier si le numéro de téléphone de l'expéditeur a un sens, si la langue est correcte et si le nom de l'expéditeur est valide», répond La Poste. Et surtout: «Vérifier impérativement les liens avant de cliquer dessus».
Si l'on veut jouer la carte de la sécurité, il convient d'appeler directement La Poste ou le service de colis concerné pour demander le suivi de l'envoi et vérifier ainsi le statut du colis.
Il est également possible de tester un lien envoyé avec le site CheckShortURL. Celui-ci indique vers quel site on serait redirigé si l'on cliquait sur un lien court. La tentative d'escroquerie se reconnaît au fait que le lien ne mène pas à post.ch, mais à des pages comme chpost24.top/ch.
Au moindre soupçon, la règle est la suivante: «Les destinataires de ces SMS ne devraient pas cliquer sur le lien qui y est indiqué et ne jamais donner suite aux invitations à installer un logiciel de télémaintenance», écrit l'Office fédéral de la cybersécurité (OFCS).
Si un message semble suspect, La Poste conseille de s'adresser à son service à la clientèle (via la centrale de contact 0848 888 888) ou de s'informer sur son site internet.
En outre, un signalement au Centre national de cybersécurité (reports@antiphishing.ch) permet d'accélérer le retrait du réseau des sites de phishing.
«En règle générale, les numéros sont choisis au hasard, le cas échéant, ils proviennent aussi de fuites de données», explique-t-on à la police cantonale de Zurich. La Poste part également du principe que les criminels recherchent les numéros de portable dans les annuaires téléphoniques en ligne ou les achètent à bas prix sur le darknet. Il se peut aussi que les numéros proviennent de campagnes de maliciels antérieures, «qui avaient volé des carnets d'adresses sur des appareils Android infectés», suppose Stirnimann.
Toutefois, les criminels ne doivent pas nécessairement voler ou acheter les données. Une simple formule Excel permet de créer autant de numéros de téléphone portable potentiels que l'on veut, par exemple pour les clients de Swisscom.
Les vagues de phishing sont en grande partie automatisées. Selon la police cantonale de Zurich, «des centaines de personnes sont contactées simultanément afin d'augmenter le taux de réussite».
De plus, si les criminels envoient les SMS via des smartphones déjà infectés, ils n'ont rien à payer.
«En outre, les pirates profitent de l'explosion du nombre de commandes en ligne depuis la pandémie. Il est devenu relativement probable que l'une ou l'autre personne recevant un SMS attende effectivement une livraison», explique encore l'OFCS.
Si le site de phishing est bien fait, comme c'est le cas avec l'attaque actuelle, «les chances pour les pirates de flouer les victimes augmentent».
«On utilise ce que l'on appelle des passerelles SMS (logiciel ou matériel)», explique la police cantonale de Zurich. Celles-ci permettent, via des applications web, d'envoyer des messages de phishing à grande échelle depuis l'étranger.
Les escrocs se créent donc un compte auprès des fournisseurs de services. Ils peuvent ensuite avoir accès facilement et sans trop de frais à des milliers de numéros de portables suisses grâce à ce que l'on appelle des «Large Accounts». Les fournisseurs de SMS Gateway demandent actuellement sur le Darknet 0,004 franc par envoi.
«Dans ce cas, le filtre SMS constitue un instrument efficace pour protéger la clientèle», écrit Swisscom. Comme expliqué aux points 6 et 7, le filtre n'est toutefois utile que si les fraudeurs envoient des SMS, et non des messages RCS, iMessage, WhatsApp, etc.
La lutte contre le phishing est un jeu du chat et de la souris et la police et les autorités ont toujours un temps de retard sur les criminels. «En cas de signalement sur cybercrimepolice.ch, nous demandons aux hébergeurs et fournisseurs d'accès étrangers de bloquer le domaine frauduleux derrière le lien», explique la police zurichoise. Mais à peine un site bloqué, les auteurs en mettent un nouveau en ligne dans la foulée.
Aussi, «Swisscom bloque régulièrement les sites web frauduleux dont elle a connaissance et travaille en étroite collaboration avec les autorités», indique l'entreprise.
Même à l'époque de WhatsApp, iMessage et des messages RCS, le filtre SMS reste «très important dans la lutte contre le spam et le phishing, car le SMS fonctionne indépendamment du terminal et il est donc beaucoup plus facile pour les spammeurs et les fraudeurs d'atteindre de nombreux utilisateurs». Mais on constate que «lorsque nous fermons une porte, les pirates en cherchent une autre et adaptent constamment leur mode opératoire».
Dans une certaine mesure, oui. «En plus des tentatives d'escroquerie connues par e-mail (par exemple le phishing), nous constatons une augmentation des SMS frauduleux depuis environ deux ans – cela semble être une tendance mondiale», relève Swisscom.
Plusieurs raisons à ça: le smishing est bon marché et facile à pratiquer (voir point 9). Parallèlement, les escrocs peuvent contourner les filtres actuels des SMS avec WhatsApp, iMessage ou les messages RCS. Et grâce à l'intelligence artificielle, ils peuvent créer rapidement et sans erreur n'importe quelle variation de messages et de fausses pages web dans diverses langues.
Les statistiques de l'Office fédéral de la cybersécurité le confirment. En 2023, il a reçu 9359 signalements pour du phishing, soit une moyenne hebdomadaire de 180 cas. La tendance est à la hausse.
Adaptation française: Valentine Zenker
