Yahoo, Hotmail, Gmail, AOL, mais aussi la Caisse d'allocations familiales (CAF) et le fisc français: en quelques jours, les attaques par «phishing», ou hameçonnage, se sont multipliées. Des dizaines de milliers d’internautes ont reçu de faux emails les invitant à communiquer leurs identifiants de messagerie ou directement leurs numéros de compte bancaire. Le commissaire Fabien Lang, adjoint au chef de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC), revient sur cette vague de cyber-arnaque.
Les attaques de phishing se multiplient, observez-vous une connexion entre celles qui ont frappé les services de messagerie électronique et celle qui ont pris pour cible la CAF et le service des impôts ?
_ Ce type d'attaque a lieu tous les jours, dans le monde entier. Le phishing est phénomène quotidien, mais il est vrai qu'on observe une recrudescence des opérations de grande ampleur. Des enquêtes ont bien évidemment été ouvertes. Pour l'instant, rien ne permet de dire que ces attaques sont toutes liées entre elles. Celles qui ont visé la CAF et Bercy ont cependant été orchestré selon un mode opératoire très similaire qui laisse penser qu'elles ont les mêmes auteurs.
Est-ce la première fois que des institutions publiques sont visées ?
_ Des institutions publiques ont évidemment déjà été visées, mais jamais d'une manière aussi massive et coordonnée. En France, les premières grandes opérations de phishing ont d'abord frappé les banques, en 2005-2006. Elles ont rapidement réagi en renforçant les mesures de sécurité autour des opérations financières et en effectuant un travail de sensibilisation auprès de leurs clients. Les pirates se sont alors attaqués à des acteurs connexes, Paypal et les services de transfert d'argent comme Western Union. Ils se rabattent aujourd'hui sur les institutions et profitent de la confiance des contribuables envers les organismes publics.
Comment les pirates procèdent-t-ils ?
_ C'est de l’ingénierie sociale. Une arnaque qui intègre une dimension technologique sophistiquée. Dans les cas de la CAF et de Bercy, ils ont envoyé des emails en se faisant passer pour ces institutions publiques et en prétendant avoir un remboursement à effectuer. C'est à chaque fois une somme raisonnable, 325,54 euros. Les contribuables sont invités à cliquer sur un lien qui les amène sur un site copiant la charte graphique des institutions concernées. Les destinataires des mails sont alors invités à rentrer leurs informations bancaires pour être remboursés — en fait pour être détroussés.
Pouvez-vous déjà évaluer la hauteur du préjudice ?
_ C'est très difficile. Des dizaines de milliers d'emails ont été envoyés. Les numéros de cartes récupérés ne sont pas forcément utilisés le lendemain, mais peut-être six mois plus tard. Lorsque les victimes repèrent un mouvement suspect sur leur compte, ils ne font pas forcément le lien avec l'arnaque qui les a touchés quelques mois plus tôt. C'est plus facile d'évaluer le préjudice lorsque ce sont des identifiants de compte en ligne qui ont été dérobés. Les banques disposent alors de moyens pour agir.
Est-ce que l'attaque contre des institutions publiques montre un sentiment d'impunité des pirates ?
_ Je ne parlerais pas d'impunité, mais peut-être d'un sentiment de protection. C'est plus risqué aujourd'hui d'aller faire un braquage ou de voler une voiture. On risque d'être reconnu, de laisser des empreintes. Ici, les pirates ne laissent que des traces techniques qui peuvent, en plus, être anonymisées. Surtout, ils commettent des arnaques en France alors qu'ils peuvent être physiquement à l'autre bout du monde. Le faux site de la CAF a, par exemple, été localisé en Hongrie, mais rien ne dit que les pirates sont là-bas. Ils utilisent des «ordinateurs zombies», infectés par un virus, pour envoyer les faux emails, qui peuvent venir en même temps de partout dans le monde.
Les auteurs de telles attaques ont-ils déjà été condamnés en France ?
_ On possède les moyens humains et techniques pour lutter contre ces pirates. Le problème reste la coopération entre les Etats. On a par exemple identifié quelques pirates en Russie dans des précédentes affaires. Nous avons sollicité le déplacement d'un juge pour les auditionner, mais cette demande est restée sans réponse. Seuls quelques complices ont pu être arrêté en France.