in , ,

Comment fonctionnera le filtre anti-arnaque contre le phishing mail et SMS ?

fraud prevention, scam, corruption

Particulièrement depuis le confinement, le nombre de faux SMS pour vous soutirer de l’argent ou des information confidentielles a explosé. Qui n’a pas reçu de messages sur smartphone lui demandant de payer une amende, des frais de douanes ou d’utiliser d’urgence son crédit CPF cette année ? Quant aux faux mails provenant soit disant de l’état, de Netflix, de votre banque ou d’Amazon, ils sont de plus en plus difficiles à distinguer des vrais.

Pour une fois, une mesure proposée par notre président de la République ne fera pas débat, puisqu’il a déclaré vouloir mettre en pace un filtre anti-arnaque. Ce système aidera les français à mieux détecter ce type de phishing, et permettra également de retrouver et de punir sévèrement les arnaqueurs. Faisons le point sur les grandes lignes de ce projet de loi.

Mettre en place un filtre anti-arnaque, c'est un engagement que j'ai pris. Il sera tenu. Les liens frauduleux renverront vers un avertissement. pic.twitter.com/lvoYdfskFL

— Emmanuel Macron (@EmmanuelMacron) May 10, 2023

Le mécanisme retenu ressemble assez à celui des navigateurs qui vous informent déjà qu’un site présente des problèmes de sécurité (souvent lié à de simples problèmes de connexion HTTPS).

Concrètement lorsque vous naviguerez sur internet via votre téléphone, votre tablette ou votre ordinateur, ce filtre vous préviendra que vous tentez d’accéder à un site douteux et vous demandera si vous souhaitez poursuivre votre navigation.

Si un opérateur mobile parvient à détecter un lien vers un de ces sites douteux au moment où il vous délivre un SMS, il vous préviendra également d’un potentiel risque, probablement via un deuxième SMS.

Ce mécanisme devrait réduire significativement le nombre de personnes qui se font avoir par des méthodes de phishing (hameçonnage en français) de plus en plus élaborées, comme les messages relatifs à votre compte CPF, votre carte Vitale qui aurait périmé ou le renouvellement urgent de votre vignette Crit’Air…

Comment sera mis en œuvre le filtre anti-arnaques ?

Vous vous demandez certainement comment un tel filtre peut etre techniquement mis en œuvre simplement.

Interrogée à ce sujet, la CNIL a expliqué que les modalités techniques de ce système de filtre « doivent être encore précisées », mais que selon eux « le filtrage des sites malveillants doit être réalisé au sein du navigateur internet sous la responsabilité de l’internaute sans empiéter sur sa liberté de communication ».

S’il est très compliqué de tenir à jour une liste d’emails, numéros de téléphone, Whatsapp, compte sociaux envoyant des messages frauduleux, il est beaucoup plus facile d’identifier des sites internet frauduleux lorsque vous vous y connectez.

Or quand vous accédez à un site web :

  • soit vous passez par un réseau mobile, géré par un opérateur télécom (Orange, SFR, Bouygues, Free), meme si vous payez un abonnement à un MVNO (comme Prixtel)
  • lorsque vous naviguez sur internet en wifi ou depuis un ordinateur, c’est la meme chose : les données transitent via un opérateur télécom, et sont distribuées par le FAI auquel vous êtes abonné (Free, SFR, etc.)

Il est parfaitement possible pour les opérateurs télécom et les FAI de bloquer purement et simplement l’accès à certains sites (si vous n’utilisez évidemment pas un VPN qui vous localise à l’étranger) ou d’intégrer un message de mise en garde avant de vous permettre d’y accéder.

Comment fonctionnera le filtre anti-arnaque contre le phishing mail et SMS ? #2

Bien évidemment ce dispositif est loin d’etre simple à mettre en œuvre et ne sera jamais fiable à 100%, mais s’il permet de sensibiliser les utilisateurs, cela devrait déjà réduire les arnaques de moitié !

Les arnaqueurs ne sont pas les seuls visés par la loi

Si pour la mise en œuvre des mesures de protection plusieurs points sont encore à préciser, le projet de loi est quant à lui assez précis sur ce qui attend les arnaqueurs.

Un site sera mis sur liste rouge quand il est identifié comme source de :

  • harcèlement sexuel, conjugal, moral, en groupe et scolaire
  • diffusion d’images violentes
  • répression de l’orientation sexuelle ou d’identité de genre
  • proxénétisme
  • pédopornographie
  • apologie du terrorisme
  • apologie des crimes de guerre contre l’humanité ou de l’esclavage
  • incitation à la haine en raison de l’origine, de la religion, du sexe, du handicap d’une personne
  • négationnisme

Un nombre significatif de signalements déclenchera la mise du site sur liste rouge et une enquête sera lancée pour tenter d’identifier les auteurs de la tentative d’arnaque ou de tout autre délit remonté.

Une première sanction consistera à bannir les comptes des arnaqueurs sur la plateforme sur laquelle le crime a été commis (hébergement web, réseau social, etc.). A cette interdiction valable six mois (ou un an si elle est répétée) s’ajouteront d’éventuelles peines d’emprisonnement et amendes prononcées par le tribunal pour les arnaques et autres délits commis au terme de l’enquête d’identification du cyber criminel, si bien évidemment on parvient à les retrouver et qu’ils sont sur le territoire français.

Pour éviter que les prévenus ne se créent tout simplement de nouveaux comptes pour contourner les sanctions, le gouvernement travaille sur un mécanisme pour les empêcher d’en créer de nouveaux (un peu comme les filtres de modération anti-spammeur dans les groupes Facebook). On ignore comment l’Etat compte s’y prendre, mais cela passera nécessairement par une collaboration avec les plateformes les plus populaires (Facebook, Twitter, Snapchat, TikTok, Gmail, les hébergeurs web, etc.)

Ce projet de loi prévoit également de donner plus de pouvoir à l’ARCOM, notamment en lui permettant de bloquer directement certains sites sans passer par un tribunal. L’ARCOM est depuis quelques années en campagne pour contre les sites pornographiques qui ne restreignent pas leur accès aux mineurs, mais pour le moment elle ne parvient pas, faute de pouvoirs juridiques suffisants, à les faire fermer ni à en restreindre l’accès.

On salue toutes ces idées, mais on a tout de meme quelques doutes sur les possibilités de lutter efficacement contre cette plaie du phishing sans tomber dans des excès dignes de ce que fait la Chine. Affaire à suivre…