Panorama forcément non exhaustif du fléau des arnaques en ligne en ce début 2025

Le magazine The Economist parle d’un fléau comparable à celui du trafic de drogues et, si l’on en juge par les chiffres, la réalité ne doit pas être bien loin : le marché mondial des drogues affiche un CA annuel estimé à une fourchette allant de 250 à 300 milliards USD chaque année (hors cigarettes et tabac) ; pour comparaison celui de la beauté est d’environ 300 milliards USD et celui de l’industrie cinématographique de 140 milliards USD. Le business des arnaques en ligne est florissant : selon Martin Purbrick, spécialiste britannique du crime organisé, il avoisinerait les 600 milliards USD annuels, soit deux fois plus que celui des cosmétiques !

Les escroqueries en ligne touchent tout le monde, tous les jours, partout. Dans les pays occidentaux, on estime qu’environ 1/10 de la population en serait victime chaque année, à des degrés divers.

Il y a le classique phénomène des « brouteurs » qui pratiquent l’arnaque sentimentale en ligne, dont un épisode récent a fait la une en France, avec en l’occurrence une femme arnaquée de plus de 800 000 euros par un faux Brad Pitt lui promettant mariage. Ces arnaques sentimentales touchent évidemment les pays riches sans exception et proviennent de contrées de même langue maternelle. La France n’est donc pas la seule touchée : les mafias japonaises, sud-américaines et chinoises ont rapidement compris que ce business était plus rentable et nettement moins risqué que le trafic de drogues – et surtout ne réclame quasiment aucune logistique. On voit même, à la frontière entre la Birmanie et la Thaïlande, des sortes de zones franches, véritables capitales mondiales de l’arnaque en ligne, avec des villes entières organisées autour de ce business, comprenant hôtels, hangars, groupes électrogènes, coiffeurs, salles de sport, etc. Pour « alimenter » ces zones en employés dociles, un réel trafic d’enlèvements a été mis sur pied, attirant les victimes par de fausses promesses d’emploi, de faux castings télévisés, etc. On estime qu’à peu près 1,5 million de personnes sur la planète vivent du business des arnaques en ligne ou y contribuent directement.

Piratage de compte informatique, usurpation d’identité, piratage de compte bancaire par compromission des identifiants, ces techniques appartiennent déjà au passé. Ce sont maintenant des mécanismes beaucoup plus sophistiqués qui sont à l’œuvre : arnaque au faux conseiller bancaire, arnaque au faux investissement, avec des sites qui imitent à la perfection les codes du genre, et si vous pensez mettre vos sous sur des placements sûrs, en fait vous êtes gentiment et sympathiquement en train de virer directement vos fonds sur le compte bancaire de l’arnaqueur.

Dans la sphère professionnelle, après les traditionnelles attaques en Supply Chain (compte VPN fournisseur dont le mot de passe a fuité) ou les intrusions classiques par des serveurs compromis en DMZ, le même mécanisme de glissement vers le mode « soft » s’opère, et l’on ne compte plus les tentatives d’arnaque au changement de RIB d’un salarié ou d’un fournisseur, pour lesquelles seul un processus de vérification formel est efficace.

Tous les pays sont touchés, y compris la Chine et la Russie – un comble. Vladimir Poutine a déclaré en mars, alors que les arnaques téléphoniques représentent près d’un tiers de l’ensemble des délits commis sur son territoire, que les fraudes de cette nature avaient pris des proportions inacceptables, tant et si bien que les députés de la Douma ont adopté plusieurs textes de loi dans la foulée.

La France, quant à elle, est la championne du monde des appels frauduleux. On a vu successivement apparaître l’appel depuis un numéro surtaxé (qui laisse juste un message invitant à rappeler), l’appel depuis des numéros étrangers, la prise de contact sur les réseaux sociaux (WhatsApp et Telegram en grande partie, la plupart menant vers des réseaux de blanchiment – avant de vous mener devant le juge), sans parler des sempiternels vendeurs de cuisines (old school) ou de panneaux solaires. Bloctel, le service d’opt-out mis en place par l’État, comporte tout de même 11 millions de numéros de téléphone. Après le spam, nous sommes tous collectivement asphyxiés par sa version téléphonique et, selon les experts du sujet, ce n’est pas près de s’arrêter, car les systèmes téléphoniques n’ont pas été nativement conçus pour faire face à ce genre de dérives.

L’enjeu pour l’individu semble être de ne pas tomber dans la paranoïa aiguë : partir du principe que le conseiller bancaire, le vendeur de voiture, le livreur en bas de chez vous, le type que vous rencontrez en ligne sur un réseau professionnel, la publicité sur les dernières assurances-vie, le fournisseur qui vous appelle parce que son compte VPN est bloqué, etc., peut ne pas être ce qu’il prétend, tout en gardant sa santé mentale. Tel est peut-être le défi de la prochaine décennie.

En octobre 2021, à la sortie d’une conférence donnée par Gérôme Billois (Wavestone), nous avons fait lui et moi un pari sur l’évolution de la cybercriminalité, Gérôme s’alignant sur la position de l’Anssi qui affirmait, à l’époque, que le sujet serait réglé dans les cinq prochaines années, et moi soulignant que les menaces de type asymétrique (l’attaquant ne risque quasiment rien à part gagner, le défenseur risquant tout et devant protéger un nombre toujours plus grand de points d’entrée) n’iraient qu’en empirant au bénéfice des attaquants, toujours. J’ai d’ailleurs évoqué ce pari à plusieurs reprises dans DSIH.

On va rester optimiste : il reste 17 mois à Gérôme Billois et à l’Anssi pour me donner tort.