Laurent Verdier "L'hameçonnage, c'est la menace numéro un pour le grand public"

Techniques de hameçonnage, comportements à adopter, nouvelles tendances... En préambule du webinaire dédié à la fraude bancaire le 24 janvier 2023, le Directeur du pôle Sensibilisation de Cybermalveillance.gouv.fr, Laurent Verdier, a répondu aux questions de Linternaute.com.

Laurent Verdier © Christian Adnin

Directeur du pôle Sensibilisation de cybermalveillance.gouv.fr Laurent Verdier bénéficie d'un solide bagage en matière de cybersécurité. En 2002, il décide de concilier son intérêt pour l'investigation et les nouvelles technologies en intégrant le service spécialisé en matière de piratage informatique de la Préfecture de Police. Procédurier, enquêteur, il a ensuite pris la tête du groupe d'assistance de la Brigade d'enquêtes sur les fraudes aux technologies de l'information (BEFTI) avant de rejoindre l'ex Direction de la surveillance du territoire. Par la suite, il devient officier de liaison entre le ministère de l'Intérieur et l'Agence nationale de la Sécurité des systèmes d'information, avant d'enchaîner avec trois années supplémentaires à la BEFTI comme chef état major. C'est en 2020 qu'il va intégrer le dispositif cybermalveillance.gouv.fr pour piloter le pôle de sensibilisation, "mis à disposition par le ministère de l'Intérieur en tant que membre du dispositif".

Avant le webinaire dédié à la fraude bancaire en ligne le 24 janvier 2023 à 18 heures, dont il sera l'un des intervenants, Laurent Verdier a accepté de répondre à nos questions. Vous pouvez dès à présent vous inscrire à l'évènement ci-dessous.

Inscrivez-vous au webinaire sur la fraude bancaire

Aujourd'hui, 21% de la population souffre d'illectronisme. Comment expliquer cette inquiétante tendance ?

L.V. : "En France, une partie de la population est en phase de décrochage ou d'anxiété face à la numérisation progressive de l'ensemble des services de l'État. Il y a un problème de fragilité et de manque de culture, qui rend ses personnes plus vulnérables lorsqu'elles sont ciblées par des cyberattaques. Depuis maintenant un an et demi, nous travaillons en étroite relation avec tous les acteurs de la médiation et de l'inclusion numérique, notamment depuis que l'ANCT (Agence nationale de la cohésion et des territoires, ndlr) a rejoint le dispositif cybermalveillance.gouv.fr en janvier 2022. Notre objectif principal est de participer à leur outillage en matière de sensibilisation au risque numérique afin d'aider les populations qu'ils accompagnent à être plus autonomes et vigilants vis-à-vis des cybermalveillances".

Comment y remédier ? Quelles actions sont mises en places chez Cybermalveillance.gouv.fr ?

L.V. : "La plateforme a été créée avec trois missions principales pour trois publics. Les particuliers, les TPE-PME et les collectivités territoriales. Sur la base d'un rapport de Marc Robert (Procureur Général à Riom, ndlr), en 2014, qui était chargé de piloter un groupe de travail destiné à faire un état des lieux sur la cybercriminalité en France et proposer des recommandations pour en améliorer le traitement, des éléments ont été repris dans la stratégie nationale pour la sécurité du numérique en France dès 2015. Nos autorités ont alors demandé la création d'un guichet unique destiné à apporter à ces trois publics une assistance immédiate si jamais elles sont victimes de cybermelvaillance. Pour pouvoir leur adresser des recommandations, voire la mise en relation avec un professionnel de l'informatique pour réparer leur système, d'abord. Concevoir et mettre à disposition gratuitement des contenus sur l'actualité des menaces, et des outils de sensibilisations avec des recommandations adaptées. Enfin, observer le risque numérique et pouvoir consolider ces éléments, les remonter à nos autorités pour mieux orienter les politiques publiques dans ce domaine".

"Les attaquants, notamment depuis le premier confinement, ont démultiplié le volume de leurs attaques."

Pouvez-vous dresser un profil type de l'arnaqué ?

L.V. : "Il n'y a pas de profil type. Les attaquants, notamment depuis le premier confinement, ont démultiplié le volume de leurs attaques. On aime dire qu'elles sont plus sophistiquées, je préfère dire qu'elles sont plus astucieuses. C'est surtout les éléments comportementaux et humains, sur lesquels tentent de jouer les attaquants. En collant de très près au contexte national, avec de faux sites de gel, de gants, d'attestations de déplacement, ou de primes covid inexistantes par exemple. Le but étant de faire sortir la cible de ses rails habituels de réaction, soit par le stress, soit par l'appât du gain, soit par la peur ou le doute. Aujourd'hui, on ne prend pas toujours des mesures de vigilance et d'attention nécessaires. Donc, on tombe trop facilement dans le piège."

Quels sont les recours quand on est victime de fraude bancaire ?

L.V. : "Il faut prendre le temps avant de répondre et d'agir quand on a un doute. Il ne faut surtout pas rester seul, en parler à un tiers de confiance, puis venir sur cybermalveillance.gouv.fr pour savoir si ce mode opératoire est déjà connu. Ce que nous recommandons aussi, pour permettre à la Gendarmerie ou à la Police de faire des rapprochements, d'enquêter et d'enclencher des poursuites contre les auteurs, c'est de déposer plainte. Nous proposons sur le parcours d'assistance de cybermalveillance.gouv.fr, un certain nombre de propositions et d'orientations vers la brigade de Gendarmerie la plus proche ou un commissariat. Voire vers la plateforme THESEE qui a été mise en place par le ministère de l'Intérieur et qui permet de déposer plainte en ligne pour un certain nombre d'infractions liées à la cybercriminalité.

Et si je me suis fait piraté mon compte en ligne, la première chose que je dois faire reste d'avertir mon banquier avec mes coordonnées habituelles, le conseiller bancaire que je connais et remonter ces éléments en indiquant que je suis victime d'un piratage et potentiellement de virements financiers frauduleux. Ensuite, vu que mon compte de messagerie s'est fait pirater, et que l'attaquant a potentiellement accès à tous mes contacts, je dois avertir mes contacts et les informer d'un risque d'usurpation d'identité, "ne tombez pas dans le panneau". Il ne faut pas rester dans la culpabilité et/ou la honte."

"Sur 10 personnes victimes de cybermalveillance, quatre à cinq maximum vont déposer plainte."

Quelle est la proportion de plaintes par rapport au nombre d'actes de cybermalveillance ?

L.V. : "Ce chiffre n'est pas connu, mais d'après mon expérience, je pense que sur 10 personnes victimes de cybermalveillance, quatre à cinq maximum vont déposer plainte. J'espère que la plateforme THESEE va inciter au dépôt de plainte car c'est une démarche juridique positive, qui va permettre d'être officiellement référencé comme victime, tout d'abord. Puis, permettre aux enquêteurs de faire des rapprochements si l'enquête concerne de nombreux cas similaires".

Quels sont les risques encourus pour les cyberharceleurs ?

L.V. : "La grande majorité des cybermalveillances a sa transposition en droit pénal. L'hameçonnage, ça va être la tentative d'escroquerie, ou l'escroquerie. Pour les attaques par rançongiciels, ces petits programmes malveillants qui vont chiffrer l'intégralité des données d'une entreprise ou d'une collectivité, on est dans un accès illégitime à un système de traitement automatisé de données, et on peut tomber dans la tentative d'extorsion. Si l'enquête permet de remonter sur l'origine de l'attaque, identifier des machines, des systèmes, et leurs utilisateurs respectifs, vous encourez les peines prévues par les infractions concernées. Par exemple, cinq ans de prison pour une escroquerie.

"Grâce au téléphone, nous sommes connectés de manière permanente au web, et toute opération de vérification est un peu plus compliquée [...]"

Une tendance d'arnaque semble-t-elle émerger pour 2023 ?

L.V. : "Le mouvement de fond, c'est l'hameçonnage. C'est la menace numéro un pour le grand public. Autrement dit, la capacité qu'ont les attaquants, par mail, par sms, par téléphone, d'usurper la qualité d'un émetteur, de tromper la cible, afin de lui faire communiquer un identifiant, un mot de passe, ou de le faire cliquer sur un lien. A partir de ce mouvement de fond, on observe une démultiplication des formes que prennent les campagnes d'hameçonnage. L'arnaque à la fausse livraison de colis, l'arnaque à la fausse mise à jour de la carte vitale, le faux conseiller financier… La peur, l'angoisse, ou l'attrait, permettent de se faire remettre quelque chose volontairement.

Aujourd'hui, c'est plutôt la forme que vont prendre les campagnes d'hameçonnage successives qui changent et qui collent à l'actualité. L'achat frauduleux proposé de la vignette Crit'Air par exemple. Grâce au téléphone, nous sommes connectés de manière permanente au web, et toute opération de vérification est un peu plus compliquée à réaliser, notamment car nous sommes souvent en déplacement. Cette transformation de nos habitudes implique un changement dans nos habitudes de vigilance. Nous avons noté un fort développement de ces campagnes d'hameçonnage par sms, et c'est le gros problème. Cela s'est vraiment développé au deuxième semestre 2021."