La cybermalveillance, une délinquance "en quête de renouvellement et de perfectionnement"
C'est un fléau qui touche de nombreux Français chaque année. Au cours de l'année écoulée, plus d'une personne sur deux a été victime d'au moins un acte de cybermalveillance. Faux SMS de colis ou de carte vitale, faux appel de conseiller bancaire, piratage de compte... Les procédés sont nombreux et beaucoup continuent encore à tomber dans le piège. Au point de perdre parfois plusieurs centaines ou milliers d'euros.
Ces problèmes ne cessent de se développer avec le 100% numérique. Une véritable menace difficile à combattre tant elle se regénère en permanence, sous diverses formes. Jean-Jacques Latour, directeur expertise cybersécurité au sein de Cybermalveillance.gouv.fr, une organisation gouvernementale de lutte contre les actes de cybermalveillance, suit ce phénomène de près. Dans le cadre du Cybermoi/s, il nous explique les arnaques qui sévissent actuellement et alerte sur la nécessité d'information du public vis-à-vis de ce fléau.
Quels sont les principaux chiffres à connaître sur les actes de cybermalveillance ?
Selon une enquête Ipsos menée auprès de 3100 Français, 61% des personnes interrogées ont déclaré avoir été victimes d'au moins un acte de cybermalveillance au cours de l'année, c'est-à-dire un piratage de compte, un achat sur un site frauduleux… Cela exclut les tentatives qui n'ont pas abouties et reste donc un chiffre conséquent.
Ensuite, 73% des Français ont été victimes d'hameçonnage, c'est-à-dire qu'ils ont reçu un SMS ou e-mail frauduleux, ou, par exemple, un appel d'un faux conseiller bancaire au cours de l'année. C'est l'arnaque numéro une.
Concernant cybermalveillance.gouv.fr, nous avons eu 3,5 millions de visiteurs sur notre site en 2023, dont 85% de personnes qui cherchent à se renseigner, même si on ne peut pas savoir s'ils elles ont vraiment été victimes ou pas d'un acte malveillant.
Quant à notre service d'assistance en ligne, nous avons eu, l'an dernier, 280 000 personnes qui sont venues poser des questions et chercher des conseils. Ce chiffre est très en deçà de la vérité, mais il permet de donner une typologie de la population qui est victime de ces actes. A 93%, il s'agit de particuliers.
Estimez-vous que les Français sont plus alertes qu'il y a quelques années en matière d'arnaques en ligne ?
C'est difficile à dire. Nous les aidons du mieux que nous pouvons. L'an dernier, notre article sur les hameçonnages aux faux SMS d'amendes, ce sont 280 000 consultations. Toutes les personnes qui étaient dans la levée de doutes sont tombées sur cet article. Donc à ce niveau-là, on va les aider. Par ailleurs, le nombre d'appels que nous recevons est croissant car notre dispositif est jeune. Cette année, nous allons encore largement dépassé tous nos chiffres.
L'augmentation de la vigilance sur la cybermalveillance est-elle une bonne ou une mauvaise nouvelle ?
C'est une bonne car cela permet de montrer que nous développons notre notoriété, mais c'est le signe que les actes de cybermalveillance ne diminuent pas car les cybermalveillants sont en quête de renouvellement et de perfectionnement.
Quelle est l'arnaque en ligne la plus répandue aujourd'hui ?
L'hameçonnage (faux message visant à récupérer vos données personnelles, ndlr), de loin. Ça touche tous les publics ! C'est la première menace pour les particuliers. En 2023, 38% des actes de cybermalveillance étaient de l'hameçonnage. Ce sera pareil pour 2024.
Parmi ces arnaques, la première concerne les amendes. On voit également ressurgir celle au renouvellement de carte vitale : la carte vitale ne se périme pas, ne doit pas être renouvelée et est gratuite !
Aussi, l'arnaque au colis qui n'a pas été livré ou qui ne rentre pas dans la boîte aux lettres est en vogue, tout comme les faux messages bancaires qui demandent de cliquer sur un faux lien pour se connecter à son compte afin de récupérer votre identifiant et votre mot de passe.
Quelles sont les autres arnaques qui sévissent actuellement ?
Le piratage de compte. Les comptes d'e-mails et les réseaux sociaux sont un véritable objet de prédation. C'est la deuxième menace principale avec 17% d'actes malveillants de ce type. Dans votre messagerie, il y a toute une quantité de trésors : des copies de carte d'identité, de bulletins de salaires ou autres car, à un moment donné, vous avez dû envoyer ces documents à une personne.
Par ailleurs, votre adresse de messagerie est le pivot de tous vos comptes. Si j'ai accès à la messagerie, je peux réinitialiser le mot de passe de tous vos comptes, notamment sur les réseaux sociaux (Facebook, Instagram, TikTok…) et en prendre le contrôle.
"Les deepfakes, il y en a toujours eu. Tous les soirs, sur TF1, vous avez l'émission "C'est Canteloup" par exemple… (rires)."
Parlez-nous de l'arnaque au conseiller bancaire : de plus en plus d'histoires de ce type sont rapportées dans les médias…
Elle a explosé en 2023 et la tendance est en encore à la hausse en 2024 puisque nous avons, pour l'heure, recensé 15% de plus d'actes de ce type par rapport à l'an dernier, à la même époque. Entre 2022 et 2023, la hausse était déjà de 80% !
On voit avec cette escroquerie quelle utilisation peut être faite du hameçonnage : j'ai récupéré votre mot de passe bancaire, je vous appelle en faisant état de fausses transactions et je vous demande un code de validation pour bloquer l'opération… qui sert en fait à vider les comptes.
C'est un phénomène capté par une petite délinquance car ça ne réclame pas de compétence technique. Cela demande juste du baratin. Il y a une équipe fait un faux site de banque, copie-conforme de la vôtre, une équipe fait l'hameçonnage, une équipe chargée d'appeler la personne, de se faire passer comme un conseiller du service anti-fraude pour obtenir un code validant une opération. Les gens tombent dans le panneau car la personne a accès à vos comptes, donc il en connaît par cœur l'état, et c'est une personne différente de votre conseiller puisqu'elle travaille pour un service différent.
Quid de l'intelligence artificielle ?
Les cybercriminels n'ont pas attendu l'intelligence artificielle (IA) pour faire des messages sans fautes, ni faire des faux sites. Qu'est-ce qui change avec l'IA ? Jusqu'à présent, rien. Nous n'avons pas vu apparaître de nouvelle menace. L'IA est regardée par les cybercriminels comme un outil qui peut leur permettre de faire mieux, plus vite, donc à moindre coût. Bien entendu, ils vont l'utiliser. Mais, aujourd'hui, on ne voit pas arriver de nouvelles menaces.
Les deepfakes, il y en a toujours eu. Tous les soirs, sur TF1, vous avez l'émission "C'est Canteloup" par exemple… (rires). Ce qui est nouveau, c'est que ça vient aux cybercriminels plus facilement. Dernièrement, il y a eu une fausse vidéo d'Alain Delon qui a tournée : c'est beaucoup plus mal fait que dans l'émission.
Pour les citoyens, il devient de plus en plus difficile de faire la différence entre le vrai et le faux. L'IA ne va rien arranger à cela. On s'attend à une accélération qui va permettre aux cybercriminels de développer de nouvelles technologies.
"Les 18-34 sont plus sujets à être victimes que leurs ainés."
Quels sont les profils les plus à même d'être victimes d'une arnaque en ligne ? Qui tombe dans le piège ?
Il n'y a pas vraiment de profil type. Ce qu'il ressort de notre étude, c'est qu'il n'y a pas de différence notable sur les victimes entre les gens qui vivent dans les villes et ceux dans les campagnes. Autre idée préconçue : ce ne sont pas du tout les personnes âgées qui se font avoir. Les 18-34 sont plus sujets à être victimes que leurs ainés. L'une des explications, c'est qu'il s'agit d'une population plus connectée qui va être moins méfiante, tout comme les CSP +, davantage touchées. Et les garçons se font plus avoir que les filles. Globalement, plus on est connecté, plus on est à risque.
Est-ce que recevoir un faux SMS ou e-mail d'hameçonnage signifie qu'à un moment donné, j'ai forcément fait une erreur pour que les malfaiteurs aient mes coordonnées ?
Non. Une campagne d'hameçonnage ne sert pas qu'une fois. La personne qui récolté les données, elle va les revendre. Par ailleurs, les cybercriminels arrivent aussi à se procurer des fichiers marketings, car cela s'achète. Donc soit vous avez été victimes d'un hameçonnage préalable, soit vous avez renseigné votre téléphone et/ou votre e-mail sur un fichier que s'est procuré un malfaiteur. Quand des données sont dans la nature, elles sont dans la nature.
Quel est, selon vous, le meilleur moyen de se prémunir contre les actes de cybermalveillance ?
Il y a des bonnes règles à respecter. Mais est-ce que c'est suffisant parce que je fais tout bien ? Le meilleur moyen d'éviter ça, c'est de s'informer, de savoir que les arnaques aux faux colis, aux amendes, aux faux livreurs, aux faux conseillers bancaires, ça existe. A partir du moment où vous savez que le risque existe, vous saurez réagir.