Des escrocs circulaient dans Paris à bord de voitures équipées de dispositifs capables d'envoyer des SMS frauduleux à des millions de personnes.

Alors que les arnaques par SMS continuent de proliférer, selon l'Arcep, une affaire récente jugée à Paris illustre un tournant dans les méthodes employées par les cybercriminels.

Loin des techniques traditionnelles, certains groupes exploitent désormais des technologies habituellement réservées aux forces de l'ordre. Cette évolution soulève des questions quant à l'accessibilité de ce matériel sensible et à la capacité des autorités à en contrôler l'utilisation…

Intercepteurs IMSI utilisés pour le phishing de masse

Au cœur de cette affaire se trouvent des dispositifs appelés intercepteurs IMSI, normalement utilisés par les services de renseignement pour intercepter les communications mobiles.

Ces dispositifs fonctionnent comme de fausses antennes-relais, capables d'usurper l'identité du réseau d'un opérateur afin d'intercepter les téléphones à proximité. Entre septembre 2022 et février 2023, Le Monde a révélé que plusieurs individus exploitaient ces machines dans les rues de Paris. Installés dans des voitures roulant à faible vitesse, ces dispositifs diffusaient des SMS frauduleux directement vers les smartphones à proximité, contournant ainsi les réseaux des opérateurs traditionnels. On estime qu'environ 3,7 millions de téléphones ont été ciblés par l'un de ces appareils, recevant des messages d'hameçonnage visant à voler des données personnelles. Selon l'AFP, l'alerte a été donnée par Orange, qui était au courant du problème des appels frauduleux et avait détecté des anomalies dans le comportement radio de son réseau dès la fin de 2022. Le tribunal de Paris a condamné sept personnes dans cette affaire. Les deux principaux responsables, à la tête d'une société ayant acquis le matériel auprès d'un fournisseur chinois, ont été condamnés à cinq ans de prison avec sursis. Le fournisseur, arrêté en Suisse, a quant à lui été condamné à quatre ans de prison. Les autres membres du réseau ont été condamnés à des peines allant de quelques mois avec sursis à deux ans d'emprisonnement ferme, et un prévenu a été acquitté.

Des attaques toujours plus graves?

Au-delà des peines, cette décision souligne la gravité des dommages. Les autorités, notamment l'Agence nationale des fréquences, ont obtenu une indemnisation symbolique, tandis qu'Orange a été indemnisée pour les perturbations causées à son réseau.

Cela étant dit, cette affaire illustre une tendance fondamentale: la sophistication croissante de la fraude mobile se généralise. En détournant ces technologies de pointe, les cybercriminels franchissent un nouveau cap, complexifiant la détection et renforçant la nécessité d'une vigilance accrue de la part des opérateurs et des utilisateurs.