Europol a lancé un appel à l’action contre l’usurpation d’identité de l’appelant, avertissant que cette technique est de plus en plus utilisée par les fraudeurs pour faciliter la criminalité financière et les attaques d’ingénierie sociale. L’agence affirme que les fraudeurs manipulent le numéro affiché pour appeler les destinataires afin que l’appel semble provenir d’une institution de confiance, d’un organisme gouvernemental ou d’un contact familier. Cette fausse identité permet aux criminels d’inciter les victimes à révéler des informations personnelles, à autoriser des paiements ou à transmettre des données sensibles.
Dans son rapport, Europol notes affirme que les appels usurpés représentent environ 64 % des cas signalés de communications téléphoniques frauduleuses dans le monde, et que les pertes dues à ces types d’attaques sont estimées à environ 850 millions d’euros par an.
La menace ne se limite pas à un seul pays ou à une seule région, car la nature transfrontalière de ces attaques complique les enquêtes des forces de l’ordre, car les attaquants sont souvent à l’origine d’appels en dehors du pays de la victime, ce qui réduit la traçabilité.
L’usurpation de l’identité de l’appelant n’est pas simplement une nuisance. Il s’agit d’un facteur clé dans les fraudes plus graves. L’analyse d’Europol montre que les appels usurpés aident les criminels à se faire passer pour des organisations légitimes, ce qui rend les victimes beaucoup plus susceptibles de se conformer aux demandes. Par exemple, les criminels peuvent se faire passer pour une banque, une autorité fiscale ou un fournisseur de services publics, puis convaincre une personne de transférer de l’argent ou de révéler ses informations d’identification.
Cette technique prend également en charge les escroqueries dites de « support technique », dans lesquelles les appelants prétendent provenir d’une entreprise bien connue et demandent aux victimes d’installer un logiciel d’accès à distance. Une fois le contrôle de l’appareil accordé, les criminels peuvent extraire des données, installer des logiciels malveillants ou détourner des fonds. Dans les cas extrêmes, le groupe met en évidence des incidents de « swatting » où un appel usurpé déclenche une intervention des services d’urgence à l’adresse du domicile de la victime, créant ainsi un risque pour la vie et les biens.
Europol met en garde contre le fait que l’usurpation d’identité est souvent proposée en tant que « service » par les groupes criminels. Ils fournissent des outils, une infrastructure ou des plateformes qui permettent à d’autres personnes de passer des appels usurpés sans connaissances techniques approfondies. L’existence de tels services abaisse la barrière à l’entrée pour la fraude, permettant même aux petits acteurs d’utiliser des tactiques de tromperie puissantes.
Pourquoi l’Europe est-elle confrontée à des défis particuliers ?
Les services répressifs européens reconnaissent plusieurs défis structurels dans la lutte contre l’usurpation d’identité. Les réseaux et les réglementations de télécommunications de nombreux pays n’ont pas été conçus pour que la prévention de la fraude ou la vérification de l’identité de l’appelant soient au cœur des préoccupations. Par conséquent, les numéros usurpés peuvent être acheminés via divers réseaux, y compris les canaux de voix sur protocole Internet, ce qui complique le traçage de l’origine et rend l’application plus difficile.
Une enquête menée par Europol dans 23 pays a révélé que les forces de l’ordre manquent souvent de mécanismes de collaboration avec les opérateurs de télécommunications, ont un accès limité aux données techniques sur les appels usurpés et sont confrontées à des législations incohérentes d’un pays à l’autre. Par exemple, lorsqu’un numéro usurpé semble provenir d’un pays, mais que l’appelant se trouve en fait à l’extérieur de celui-ci, les cadres juridiques d’enquête et d’entraide deviennent tendus et lents.
De plus, de nombreux réseaux n’authentifient pas l’identification de la ligne de l’appelant (CLI) lors de l’établissement des appels. Sans vérification du numéro affiché, les utilisateurs peuvent être facilement induits en erreur et les fournisseurs ne peuvent pas retracer de manière fiable la véritable source de l’appel. Selon Europol, la mise en œuvre fragmentée des normes techniques entre les États membres est l’une des causes profondes de la vulnérabilité.
Impact financier et coût humain de l’usurpation d’identité
Bien qu’il soit difficile d’établir des chiffres mondiaux précis, l’estimation d’Europol selon laquelle les pertes s’élèvent à environ 850 millions d’euros par an donne une indication claire de l’ampleur. Le fait que 64 % des appels frauduleux dans le monde impliquent l’usurpation de l’identité de l’appelant souligne son rôle central dans la fraude moderne.
Les personnes ciblées par des appels usurpés peuvent subir non seulement des pertes financières, mais aussi des dommages émotionnels et psychologiques. Les victimes se sentent souvent violées, embarrassées ou honteuses, ce qui peut retarder le signalement et le rétablissement. Financièrement, ils peuvent perdre des économies, recevoir des prêts frauduleux ou subir un vol d’identité qui a des conséquences à long terme. Les organisations peuvent également être confrontées à une atteinte à leur réputation lorsque leur nom ou leur numéro est usurpé dans de grandes campagnes.
Parce que la technique s’appuie sur la confiance, en utilisant un numéro familier ou de confiance, les victimes sont plus susceptibles de se conformer aux demandes. Par exemple, un appel usurpant l’identité d’une banque ou d’un organisme de réglementation peut conduire à une conformité immédiate en vertu de l’autorité perçue, réduisant ainsi le temps dont dispose une victime pour poser des questions ou réfléchir à la demande.
Quelles sont les réponses techniques et réglementaires nécessaires ?
Europol définit une stratégie à multiples facettes pour lutter contre l’usurpation d’identité de l’appelant. L’une des mesures techniques consiste à mettre en place des systèmes de traçabilité robustes qui permettent de suivre les appels téléphoniques saut par saut jusqu’à ce que l’expéditeur soit identifié. Sans ces outils, les opérateurs pourraient ne pas identifier la véritable source du trafic usurpé.
Une autre priorité est la mise en œuvre de l’authentification des numéros d’origine. Par exemple, les réseaux doivent vérifier qu’un numéro utilisé comme identification de l’appelant appartient bien au compte d’abonné de l’appelant, et que les appels acheminés vers un pays depuis l’étranger doivent comporter des informations vérifiant l’origine. Il est crucial d’établir des normes mondiales pour l’authentification CLI.
Sur le plan réglementaire, Europol demande des cadres harmonisés à l’échelle de l’Europe afin que les opérateurs et les forces de l’ordre travaillent selon des règles cohérentes. Cela inclut des mandats juridiques clairs pour les opérateurs de télécommunications de partager les enregistrements des détails des appels, de coopérer rapidement aux enquêtes et de bloquer les bases de données de numéros usurpés connus.
Rôle des opérateurs télécoms et des parties prenantes
Les fournisseurs de télécommunications jouent un rôle clé dans la prévention. Ils sont chargés de mettre en œuvre la validation des numéros, de filtrer les appels suspects, de partager les données de télémétrie avec les forces de l’ordre et d’identifier l’utilisation abusive des numéros légitimes. Europol souligne que de nombreux transporteurs opèrent encore sans surveillance interne suffisante du trafic usurpé ou sans intégration avec les canaux répressifs.
Les organismes de l’industrie et les organismes de réglementation doivent également intervenir. Par exemple, les régulateurs des télécommunications peuvent obliger les opérateurs à adopter l’authentification par identification de la ligne appelante ou des cadres similaires, à émettre des exigences de conformité pour l’acheminement des appels internationaux et à imposer des pénalités aux opérateurs qui autorisent le trafic usurpé. La coordination entre les régulateurs nationaux, les opérateurs et les forces de l’ordre est essentielle, car les campagnes d’usurpation d’identité sautent souvent d’une juridiction à l’autre.
La sensibilisation des consommateurs est un autre facteur. Même les meilleures défenses techniques échoueront si les individus continuent à faire aveuglément confiance à un chiffre. Les utilisateurs finaux doivent être formés pour répondre aux questions relatives aux appels inattendus, vérifier les canaux de contact officiels de manière indépendante et éviter de fournir des informations sensibles simplement parce qu’un numéro de confiance apparaît à l’écran.
Ce que vous pouvez faire pour vous protéger contre l’usurpation d’identité
D’un point de vue personnel ou professionnel, plusieurs pratiques peuvent réduire le risque posé par l’usurpation d’identité. Tout d’abord, lorsque vous recevez des appels demandant des transferts, une authentification à deux facteurs ou des identifiants de connexion, traitez l’appelant comme suspect à moins qu’il ne soit vérifié de manière indépendante. Les entreprises doivent également former les employés à poser des questions sur les appels inattendus, même s’ils affichent des identifiants d’appelant de confiance.
Deuxièmement, le maintien d’une politique de « vérification » aide. Raccrochez, trouvez le numéro officiel de l’organisation et rappelez-la plutôt que d’utiliser le numéro entrant. Cela garantit que vous n’interagissez pas avec un numéro usurpé. Les entreprises doivent appliquer cette règle aux services financiers, aux équipes RH ou à toute personne ayant accès à des données sensibles ou à des paiements.
Troisièmement, adoptez le filtrage des appels, les listes de blocage et la surveillance des numéros suspects au niveau de l’organisation. Si votre entreprise implique des transactions importantes, demander des enregistrements détaillés d’appels auprès des opérateurs pour les appels entrants suspects peut aider les forces de l’ordre à retracer le trafic usurpé.
Enfin, les individus doivent rester vigilants. Soyez particulièrement prudent si un numéro de confiance appelle et demande un paiement, des données personnelles ou l’installation d’un logiciel sans vérifier la demande. Le signalement des appels suspects aux organismes de réglementation ou aux assureurs permet d’obtenir des renseignements qui peuvent empêcher les fraudeurs d’avoir l’ampleur dont ils ont besoin.