CAF, impôts, Webmails, fournisseurs d’accès Internet ou opérateurs téléphoniques… Les tentatives d’escroquerie par mail ne semblent épargner personne en ce moment. Vous avez peut-être reçu ce type de courrier électronique, vous incitant à cliquer sur un lien pour obtenir un remboursement de l’administration ou l’entreprise concernée.

Le phénomène a pris une ampleur jamais vue en l’espace de quelques jours, avec des dizaines de milliers de mails envoyés. Des internautes avaient d’abord été "hameçonnés" par un mail venant soi-disant de l’administration fiscale. Le ministère des Finances s’était alors feint d’un communiqué appelant les usagers à la prudence et rappelant quelques règles, à savoir ne jamais fournir ses coordonnées bancaires par mail. Mais les arnaques ne se sont pas arrêtées là. Un faux mail de la Caisse d’Allocations familiales a également circulé, invitant à se connecter à un site pour être remboursé de quelques centaines d’euros.

Conséquences difficiles à chiffrer
Enfin, ce sont les Webmails type Hotmail, Yahoo ou Gmail qui ont été piratés (quelques dizaines de milliers d’adresses), alors qu’étaient également signalés des tentatives d’arnaques avec des mails se faisant passer pour Orange et annonçant un remboursement suite à une erreur sur une facture.

Les conséquences de ce phishing massif sont encore difficiles à évaluer. Selon l’OCLCTIC, l’organisme qui lutte contre la cyber-délinquance, les pirates pourraient n’utiliser les coordonnées récoltées que dans plusieurs mois, pour éviter de se faire démasquer. A ce jour, aucun pirate ayant pratiqué le phishing n’a encore été condamné en France.

"Les attaques relèvent d’une criminalité organisée"

Interview de Christian Aghroum, Commissaire Divisionnaire, Chef de l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication. (OCLCTIC)

Les cas de phishing semblent s’être multipliés ces derniers temps. Assiste-t-on à un phénomène croissant ?
L’attaque semble en tout cas coordonnée et relève assurément d’une criminalité organisée. Pour réaliser une attaque de phishing, il faut en effet un minimum d’organisation : préparer le texte du mail, louer des robots pour envoyer les mails, récupérer des listings d’adresses…

Peut-on connaître l’ampleur de la tentative de fraude ?
Il est encore un peu tôt. Nous ne disposons pas encore de toutes les informations. Certaines victimes ont répondu au mail sans fournir leurs coordonnées. Et certaines personnes ayant rentré leurs coordonnées pourraient n’être victimes de retraits que dans quelques mois. C’est souvent la stratégie employée par les pirates : les gens oublient qu’ils ont donné leurs coordonnées et ne savent pas d’où viennent les sommes débitées. Cela complique encore davantage la tâche. Autre conséquence fâcheuse dans ce cas : ces attaques mettent à mal la confiance des internautes dans l’e-administration, l’e-commerce, alors même que la France a besoin de progresser dans ces domaines.

C’est la première fois que des administrations sont visées par du phishing ?
En France, oui, c’est une première. Il y a trois à quatre ans, de grosses attaques avaient ciblé les banques. Celles-ci avaient plutôt bien réagi, en mettant en place des dispositifs de réponse efficaces. C’est révélateur de la volonté de ces équipes d’avoir une action opportuniste. Les banques ayant trouvé la parade, ils cherchent ailleurs. Il faut rappeler au public qu’aucune administration ne demandera des coordonnées, encore moins un numéro de carte bancaire, par mail. Si l’on reçoit un mail de ce genre, la prudence doit être de mise.

Des plaintes ont-elles été déposées ?
Oui, le Ministère a porté plainte, nous avons été saisis. Souvent, les pirates évoluent depuis l’étranger, souvent l’Europe de l’Est, mais nous n’allons négliger aucune piste.

Des pirates ont-ils déjà été condamnés en France ?
Non. Suite aux attaques de phishing d’il y a trois ou quatre ans, nous avions réussi à identifier deux personnes qui se trouvaient en Russie. Un mandat d’arrêt a été lancé contre eux.