L’augmentation des cyberattaques est systémique. Les cybercriminels usent d’ailleurs de toujours plus de stratagèmes pour rendre les subterfuges les plus crédibles possible, et faire baisser sensiblement la vigilance des utilisateurs. En 2020, personne n’est à l’abri du danger car tout le monde est connecté. L’année dernière, 26 millions de Français ont été victimes d’une cyberattaque. Plus inquiétant encore, 73% des personnes sont touchées par le phishing, technique visant à obtenir des renseignements personnels pour usurper des identités via un email[1].
Au vu de la multiplicité des attaques et des techniques de plus en plus pointues, les cybercriminels mettent au point de nouvelles méthodes pour piéger plus efficacement leurs victimes. Dernière tendance en la matière, le SMishing, technique de fraude par SMS. Bien que la technique ne soit pas nouvelle puisque l’on estime son apparition en même temps que les offres commerciales mobiles des télécoms à destination du grand public, son utilisation se répand de plus en plus, piégeant ainsi de nombreux utilisateurs avec pour objectif de les extorquer.
Typologie du SMishing
La technique du SMishing est proche de celle de phishing. Elle renvoie directement les utilisateurs vers un faux site web via un lien reçu dans un SMS, et est relativement facile à repérer. Un lien Bitly par exemple peut éveiller les doutes, tout comme les incitations à livrer des données personnelles sur un site web avec une URL non sécurisée de type « HTTP ». La réception d’un message non attendu et/ou envoyé d’un expéditeur non connu est bien sûr à même de représenter une fraude.
Le Phishing (hameçonnage en français) utilisait l’e-mailing pour tromper les utilisateurs avec pour objectif d’usurper leur identité et récolter le plus d’informations personnelles pour procéder à des extorsions de fonds : le SMishing trompe les destinataires dans un but similaire. Ce n’est pas sans rappeler le Vishing, technique à la finalité identique, mais effectuée par téléphone.
Difficile cependant d’estimer précisément l’apparition du SMishing. La démocratisation des abonnements et des offres à forfaits avec SMS illimités pour le grand public dans les années 2000 a incité les fraudeurs à développer dès cet instant une nouvelle forme d’attaque qui toucherait le maximum de consommateurs.
La raison pour laquelle nous en entendons davantage parler aujourd’hui va de pair avec la volonté des marques de se rapprocher de leurs clients. Pour ce faire, elles n’hésitent pas à proposer par SMS des offres ciblées et des remises promotionnelles en les redirigeant directement vers leur site web pour profiter de ces bonnes affaires. Pour passer inaperçu, les fraudeurs utilisent donc les mêmes techniques en trompant la vigilance des consommateurs qui ne s’attendent pas à recevoir un message dangereux. C’est assez logique puisque les utilisateurs ont appris à reconnaître les arnaques et pratiques douteuses ; en théorie seulement… Car les hackeurs continuent de leur côté à développer de nouvelles ruses toujours plus fines.
Reconnaitre une tentative de SMishing est relativement simple. Tout d’abord, le numéro qui s’affiche ressemble souvent à celui d’un numéro non répertorié par les utilisateurs. Le message n’est (très souvent) pas attendu, tout comme l’expéditeur du message est inconnu de l’utilisateur. Ensuite, le message redirige vers un lien incitant à renseigner des données personnelles ou à télécharger une application ou programme malveillant. En cliquant sur le lien, il est facile de reconnaître la supercherie qui, pourtant, induit de nombreuses personnes en erreur.
Se prémunir face à ces nouvelles menaces
Bien évidemment, les entreprises ont une part de responsabilité pour protéger leurs clients et les aider à adopter des bonnes pratiques. En communicant davantage sur les fraudes les concernant et dont elles ont connaissance, les entreprises peuvent créer plus de proximité avec leurs clients et les sensibiliser quant aux bonnes pratiques à adopter face à ces pratiques.
Dans le même temps, il est important de réaliser que ces mêmes entreprises sont aussi victimes de ces attaques puisque les fraudeurs utilisent leurs noms pour piéger les utilisateurs. Pour combattre ces pratiques, il faut encourager une collaboration plus poussée entre les agrégateurs, les opérateurs et les entreprises concernées.
Un autre moyen d’éviter ces fraudes est de commencer à adopter de nouveaux canaux de communication plus sûres. Les technologies utilisées dans le commerce conversationnel offrent l’assurance d’échanges plus sûrs puisque cette pratique apporte une couche de sécurité supplémentaire, tant pour les consommateurs que pour les entreprises. Le contrôle accru des identités des entreprises qui utilisent ces services est assuré. Les communications sont sécurisées car seuls les utilisateurs peuvent initialement contacter une entreprise, et non le contraire. Cela réduit drastiquement la probabilité de recevoir des messages frauduleux.
En effet, les chances sont minces pour les fraudeurs, mêmes professionnels, de contourner les sécurités mises en place par les acteurs du commerce conversationnel. Ils devraient pour cela réussir à déjouer les règles de sécurité des agrégateurs, de l’opérateur et de l’entreprise concernée et également entrer en contact avec des clients sans éveiller leurs soupçons. La mission semble compliquée car le Spam est proscrit des règles régies par le commerce conversationnel.
De plus, les clients finaux ont la possibilité de signaler tout message suspicieux comme « indésirable ou suspect », laissant peu de chances aux fraudeurs d’interférer dans les communications.
La récente annonce de WhatsApp qui a franchi la barre des 2 milliards d’utilisateurs dans le monde laisse penser que le commerce conversationnel a un bel avenir, avec des marques toujours friandes de se rapprocher de leurs clients. Cela fera sans aucun doute mouche auprès des fraudeurs qui vont, eux aussi, chercher de nouveaux moyens de piéger les consommateurs via ces canaux de communication. « L’art de la fraude » a toujours su contourner les règles de sécurité les plus pointues. Il faut donc intensifier la pédagogie auprès des consommateurs, et continuer à les placer au centre des décisions stratégiques lorsque sont établies des règles de sécurité visant à les protéger. La cyberdéfense doit donc s’adapter avec son temps. Les cybercriminels sont très bien équipés et ont même souvent un temps d’avance. Si des techniques comme le « hacking éthique » font leur preuve, le commerce conversationnel aussi.
[1] Chiffres provenant du livre « Cyber crimes, un flic 2.0 raconte » sorti en janvier 2020 et écrit par Pierre Pénalba, commandant de police judiciaire.