: Enquête franceinfo Carte vitale, vignette Crit'air, livraison de colis... Derrière les arnaques par SMS, des escroqueries en kit montées par des voleurs parfois adolescents
Céline s'en veut encore de s'être fait avoir "comme une boomeuse". Quand cette mère de famille a reçu le SMS qui l'a piégée, elle venait d'acheter une voiture d'occasion. Elle ne s'est pas méfiée. Pour récupérer sa nouvelle vignette Crit'Air, promise dans le texto, elle a cliqué sur le lien, consulté le site orné de logos officiels et renseigné ses coordonnées bancaires pour payer les frais de livraison. Là, elle a reçu un appel téléphonique. Un faux conseiller lui a demandé les informations nécessaires pour contourner la sécurité de sa banque. Céline n'a constaté que trop tard les multiples transactions passées depuis son compte et les plus de 3 000 euros envolés. Après cette arnaque par SMS, elle a porté plainte.
>> Arnaques par SMS : cinq questions pour savoir quoi faire en cas de texto suspect
Franceinfo a découvert la mésaventure de Céline dans une vidéo postée par un escroc dans un groupe Telegram. Grâce à un complice qui lui a transmis les codes de Céline, "Karl M..."* a pu pénétrer le compte bancaire de la mère de famille. On voit le voleur effectuer sur son téléphone un virement de 1 000 euros depuis le compte en banque de sa victime. "Karl M..."* a publié la séquence pour exhiber son capital et attester du sérieux de son complice. C'est la coutume dans ces groupes d'arnaqueurs qui se multiplient sur les réseaux sociaux et les messageries sécurisées. Sur Telegram, mais aussi Instagram, Snapchat ou Discord.
Un marché qui ne se cache pas
Des groupes comme celui où officie "Karl M..."*, on en trouve à profusion. Ils sont en général créés par un seul arnaqueur et portent son nom. Ils comptent parfois jusqu'à 2 000 ou 3 000 membres ; le plus souvent quelques centaines seulement. On y vend aussi bien des "likes" sur Instagram que des fausses ordonnances, ou encore des faux papiers. Seuls sont vrais les paiements entre acheteurs et vendeurs, principalement effectués en cryptomonnaies.
Au rayon "hameçonnage par SMS" (aussi appelé "phishing", "smishing", "carding" ou "scamma"), on trouve de tout, et en kit. Pour 15 euros, un faux site imitant à la perfection n'importe quel service grand public. Pour une poignée d'euros aussi, une liste de 1 000 numéros de téléphones portables à inonder de messages. Le logiciel permettant de les envoyer coûte entre 12 et 20 euros. Et si vous êtes débutant, on vous proposera même une formation : entre 100 et 250 euros, selon les prestations. "Elle dure 40 minutes environ. Je vous apprends de A à Z pour être indépendant et le suivi de la formation durera jusqu'à votre premier spam", assure un membre très actif sur ces canaux Telegram, qui fait l'article à franceinfo. "Ils ont industrialisé le mécanisme", observe Thomas Damonneville, expert en sécurité informatique et fondateur de Stalkphish, qui étudie le phénomène.
Pour que le "hameçonnage" fonctionne, il faut un faux site qui soit crédible, incarnant le sujet de l'arnaque. A chaque saison, son escroquerie : une fausse page des impôts au mois de mai, un faux site de livraisons de colis en période de fêtes, des SMS pour la vignette Crit'Air depuis les annonces sur la création des zones à faibles émissions (ZFE)... "Cibler un service public permet d'atteindre un gisement de plusieurs millions de personnes, explique Stéphanie Blanchet, chercheuse au Lab CTI de Nameshield, société de sécurité informatique. C'est aussi très efficace, car l'hameçonneur peut jouer sur une corde extrêmement sensible : la crainte de perdre ses droits ou de subir une sanction". En janvier, la spécialiste a publié une étude détaillée (PDF) sur l'escroquerie à la carte Vitale. D'après les données qu'elle a compilées, l'arnaque au paiement des infractions est désormais en vogue.
Afin d'attirer leurs victimes sur leur site, les arnaqueurs lancent une campagne massive d'envois de SMS. D'un seul clic, ils arrosent des milliers de téléphones. Dans le lot, si 1% seulement des destinataires répondent, l'opération est une réussite. Les résultats constatés par franceinfo sur différents canaux varient entre cinq et 25 victimes qui "mordent" pour 1 000 hameçons envoyés. Bien souvent, l'objectif des escrocs est la carte bleue. Soit pour l'utiliser rapidement, soit pour la revendre. Sur ce marché noir, les cartes Gold, au plafond de retrait plus élevé, valent plus cher.
Une "multitude de réseaux" entremêlés
Dans d'autres cas, les cyberdélinquants revendent les identifiants et codes d'accès des victimes, susceptibles d'être utilisés pour usurper une identité dans le cadre d'une démarche administrative ou d'une souscription de crédit. Parfois encore, le but de l'arnaque est d'installer un logiciel malveillant sur l'appareil de la victime (sous couvert d'un "merci de mettre à jour la version de Chrome"), pour s'en servir pour d'autres attaques.
"C'est une multitude de réseaux, explique Vincent Kozierow, responsable de la Brigade des fraudes aux moyens de paiement au sein de la police judiciaire de Paris. Certains sont spécialisés dans l'envoi de SMS, d'autres plus précisément dans l'arnaque au 'allo' [le fait d'appeler la victime et de se faire passer pour les services de sécurité d'une banque], et encore d'autres, dans la phase de blanchiment de l'argent obtenu."
"Avec une carte Gold, je peux sortir plus de 1 000 euros"
A lire les messages postés par certains membres de ces groupes, leurs "scamma" seraient très rentables. "Avec une carte Gold, je peux sortir plus de 1 000 euros. Avec une traditionnelle, plus de 500." Et combien par mois ? "On va dire 10 000", se vante un escroc, quand franceinfo fait mine d'être intéressé par sa formation. De l'argent facile qui attire les adolescents. "Coucou, je cherche quelqu'un pour m'apprendre à faire de la thune", lance une voix fluette dans un message audio laissé sur un groupe. "En général, ce sont des ados qui n'ont pas d'argent et qui ne veulent pas dealer", explique à franceinfo un adolescent de 17 ans, qui affirme s'être repenti. "La plupart se déscolarisent, car les revenus sont effectivement intéressants", estime un autre membre, plus expérimenté. Ces groupes Telegram paraissent en effet surtout peuplés de jeunes hommes, parfois encore adolescents.
Sur les photos de profils alternent liasses de billets et références à des personnages de mangas. Même s'ils se cachent derrière des pseudonymes, franceinfo a pu identifier quelques-uns de ces cyberdélinquants, grâce aux traces qu'ils ont laissées sur internet par mégarde. Comme Kilian*, qui, d'après différents indices, est lycéen à Marseille et qui s'est intéressé au phishing par SMS en janvier 2022. Pas moins de 17 faux sites ont été enregistrés avec son adresse mail, mais lui affirme à franceinfo l'avoir fait pour le compte d'un autre arnaqueur, qui le rémunérait en cartes bancaires prépayées. Vingt-quatre heures après cet échange d'e-mails avec franceinfo, il avait supprimé son groupe Telegram.
Timeo*, lui, a passé son brevet en 2022 dans la région de Clermont-Ferrand (Puy-de-Dôme). Dans son groupe Telegram où il vend des listes de numéros ou demande des conseils auprès de ses 150 abonnés, il envoie aussi des photos et vidéos de sa salle de classe. Fan de jeux vidéo, il a quelques bases de programmation informatique. Lorsque franceinfo le contacte, il prévient ses comparses, change de pseudonyme… puis reprend son commerce habituel.
Un autre membre de ces groupes Telegram, se disant à l'origine de plusieurs outils utilisés dans le phishing par SMS, pointe lui-même le grand nombre de jeunes "qui ne font que lancer des programmes qu'ils ne comprennent pas". "Mais d'un autre côté, ils savent que s'ils ne brassent pas des millions, ils n'auront pas trop de problèmes avec la police", lâche-t-il. L'escroquerie est pourtant passible de 5 ans de prison et 375 000 euros d'amende selon le Code pénal. Voire de 10 ans de prison et 1 million d'euros d'amende si elle est commise en bande organisée.
Un sentiment d'impunité et "pas vraiment de solutions"
"Attention, c'est un keuf", alerte dans un groupe Telegram un participant à propos d'un autre compte. A part cette vigilance toute relative, un sentiment d'impunité transpire de ces groupes totalement publics. "A l'époque, il était possible pour la police de démanteler des réseaux de 10 ou 20 personnes, car ces personnes se connaissaient souvent physiquement, reprend notre connaisseur anonyme. Maintenant, c'est complètement mort." "Il est très difficile de remonter un numéro, confirme le colonel Barnabé Watin-Augouard, chef de la division proximité numérique du commandement de la gendarmerie dans le cyberespace. C'est un système de poupées russes, une protection par couches." Les outils utilisés pour automatiser l'envoi de SMS depuis des cartes SIM virtuelles sont de plus en plus sophistiqués et ont parfois recours à des robots qui ne permettent pas de remonter jusqu'aux commanditaires.
Quelques enquêtes portant spécifiquement sur ce genre d'escroqueries sont en cours, mais les autorités évitent de communiquer dessus en détail. Bien souvent, les enquêteurs ne travaillent sur le "smishing" que lorsqu'une plainte a été déposée pour usage frauduleux des coordonnées bancaires d'une victime. Le colonel Watin-Augouard ne se fait pas d'illusions : "Il n'y a pas vraiment de solutions, il y aura toujours des personnes pour se faire avoir. Le gros du travail, c'est la prévention."
Les opérateurs de téléphonie, eux aussi, disent mener une guerre contre ces messages douteux, via la plateforme de signalement 33700. Interrogé par franceinfo, le service de messagerie instantanée Telegram affirme "modérer activement" les contenus sur sa plateforme, notamment en cas de divulgation d'informations privées, et dit travailler à renforcer cette modération.
Du côté de la police judiciaire, Vincent Kozierow anticipe même : "L'escroc cherche à s'adapter. Lorsque les gens seront plus alertes sur les SMS, on aura certainement une évolution vers d'autres systèmes." En attendant, la communauté des arnaqueurs prospère sur Telegram, de nuit comme de jour. "J'vous laisse, j'vais en cours", lâche "Insomniac"*.
*Les prénoms et pseudonymes ont été modifiés.
Commentaires
Connectez-vous à votre compte franceinfo pour participer à la conversation.