Accueil Actu

Phishing: ces arnaques se multiplient, mais les auteurs sont-ils condamnés?

Une fausse aide Covid de 120€, ou encore une fausse convocation à se faire vacciner : les arnaques par phishing s'appuient sur le contexte sanitaire pour escroquer des victimes mal informées. Les auteurs, souvent à l'étranger, ont pour but de subtiliser les données bancaires de leurs victimes. Dans certains cas, celles-ci perdent des milliers d'euros, et se retrouvent bien démunies. Les auteurs, eux, semblent bénéficier d'une certaine impunité.

Patrick, un habitant de Nivelles, reçoit un étrange SMS un dimanche, alors qu'il est à son domicile. Un message en néerlandais l'invite à cliquer sur un lien pour recevoir une aide du gouvernement flamand : une compensation de 120€ liée à la crise Covid. Patrick n'est pas dupe : il flaire directement une arnaque, probablement une technique d'escroquerie par phishing. "C’est un peu plus subtil que ce que j’ai pu lire par le passé", commente le Nivellois, qui nous a contactés via le bouton orange Alertez-nous. "Puisque le gouvernement me fait allusion à une deuxième aide de 120€, comme si j’avais déjà reçu une première aide. Et on m’invite à cliquer sur un lien. Évidemment, je n’ai pas cliqué."

De nombreux signalements similaires parviennent à notre rédaction via le bouton orange Alertez-nous. De manière générale, chaque mois, nous recevons des messages de Belges qui ont été contactés par des escrocs. Pire : certains perdent de l'argent et se retrouvent démunis. 

Comment retrouver les auteurs ?

La technique du phishing, ou du "hameçonnage" par SMS, par mail, ou via des publicités frauduleuses en ligne, a pour but de voler des données personnelles, souvent bancaires, pour escroquer des victimes. Pour y parvenir, les escrocs utilisent de plus en plus souvent des arguments qui semblent réalistes, comme ici une aide gouvernementale en pleine crise sanitaire. "C’est clair que le gouvernement ne va pas m’accorder une aide de 120€", réagit Patrick, notre alerteur. "Et certainement pas par SMS. Il me semble que de semaine en semaine, il y a de plus en plus d’arnaques. Une fois c’est le tracing, une fois c’est le vaccin… Je me dis qu’à force de ratisser large, les escrocs trouveront des gens qui sont concernés et vont cliquer."

Ils bombardent des personnes de messages pour essayer de les faire réagir

Ce que décrit Patrick est exactement le mode opératoire des auteurs de ces arnaques, comme le confirme Olivier Bogaert, commissaire à la Federal Computer Crime Unit. "Le problème du phishing, c'est qu'on peut se retrouver avec des auteurs qui sont territorialement loin de la Belgique, et qui visent des personnes largement en espérant avoir un pourcentage de réactions. Ils ne se permettent pas de savoir qui est qui, ils bombardent des personnes de messages pour essayer de les faire réagir."

Dans le cadre de ses missions, la Federal Computer Crime Unit (FCCU) est amenée à analyser des appareils ou des données numériques, pour faire avancer une enquête. Mais ce sont des agents des polices locales qui mènent l'enquête, à partir du moment où une victime porte plainte à son commissariat. La procédure dure souvent plusieurs mois, voire plusieurs années, et les enquêteurs rencontrent plusieurs obstacles pour identifier les auteurs. 

Les escrocs vont acheter une carte SIM belge

Par exemple, le SMS reçu par Patrick provient d'un numéro belge. La FCCU peut retracer l'auteur du message grâce à ce numéro, mais dans les faits, ce n'est pas aussi simple. "Soit les escrocs vont acheter une carte SIM belge et dévier le numéro d'origine vers le numéro belge de cette carte", explique Olivier Bogaert. "Soit ils vont se faire passer pour une entreprise qui veut lancer un produit, et qui veut faire des appels marketing, par exemple. À ce moment-là, ils prennent contact avec des sociétés qui mettent à disposition des numéros temporaires, moyennant paiement. Et c’est ce numéro qui va apparaître sur le téléphone du destinataire."

Ces sociétés sont elles-mêmes victimes des escrocs, qui utilisent les données d'entreprises belges déjà existantes, pour ne pas éveiller les soupçons. Lorsque la police veut retracer le numéro utilisé par les auteurs, elle doit donc faire preuve d'ingéniosité pour contourner les obstacles. L'enquête devient alors un véritable jeu du chat et de la souris, d'autant que certains des auteurs sont mobiles, et changent régulièrement de pays, selon Olivier Bogaert. 

La police est-elle démunie face aux auteurs ?

Nous avons tenté de contacter plusieurs zones de police locales pour obtenir plus d'informations sur ces enquêtes. À chaque tentative, nous nous heurtons à une réponse similaire : la police ne souhaite pas donner davantage de détails sur les techniques utilisées pour débusquer les auteurs. En effet, communiquer publiquement à ce sujet, c'est risquer de donner trop d'informations dont les escrocs pourraient bénéficier. Certaines zones de police disposent d'une unité chargée d'enquêter sur les crimes en ligne, d'autres se retrouvent confrontées à un manque de moyen, mais il n'est pas pour autant correct d'affirmer que la police ne fait rien face au phishing.

En substance, selon nos informations, les enquêtes consistent en un long ping-pong procédurier entre les enquêteurs, la FCCU, les magistrats et tout collaborateur susceptible de donner des informations comme les opérateurs téléphoniques, les gestionnaires de messagerie en ligne, les réseaux sociaux, etc. "Le problème, c'est que si on dévoile les pratiques utilisées par la police, on hypothèque nos chances de réussite, et on risque de voir la criminalité évoluer", explique une source, qui refuse d'entrer dans les détails des enquêtes. 

Je me souviens avoir pu compter sur l'appui de collègues en Côte d'Ivoire

Certains dossiers dits "d'envergure" aboutissent : les auteurs sont appréhendés, et jugés dans leur pays. "Je me souviens d'avoir pu compter sur l'appui de collègues en Côte d'Ivoire, dans le cas d'un monsieur qui était dans un piège sentimental, qui s'était dévoilé, si vous voyez ce que je veux dire", raconte Olivier Bogaert, commissaire à la FCCU. "On avait pu dénoncé les faits à nos collègues, qui ont ouvert une procédure dans leur pays, et qui ont réussi à retrouver l'auteur. Il se trouve que celui-ci avait fait plusieurs victimes. Et il a été condamné là-bas."

Nous avons voulu nous procurer le nombre exact de dossiers d'escroquerie par phishing ouverts en Belgique, ainsi que ceux qui ont abouti, sans succès. Cependant, la police fédérale met à disposition des statistiques concernant les plaintes déposées. Pour l'instant, les chiffres disponibles pour l'année 2020 s'arrêtent au troisième trimestre, et font état de 5.201 plaintes. Ils sont déjà en nette augmentation, par rapport à l'année 2019, où 2.458 plaintes ont été enregistrées. De manière générale, le nombre de plaintes a fortement augmenté en 10 ans, d'abord parce que les arnaques se multiplient, les technologies évoluent, mais aussi parce qu'on parle de plus en plus du phishing dans le débat public. 

Les statistiques disponibles mettent également en avant que 271 suspects ont pu être identifiés sur les trois premiers trimestres de l'année 2020. Rien ne permet d'affirmer que ces suspects ont été appréhendés. 

Des auteurs dans l'impunité la plus totale ?

Comme dans le souvenir raconté par Olivier Bogaert, il arrive tout de même que des dossiers aboutissent. Ils ont en commun trois aspects : le nombre important de victimes, le montant total dérobé, et l'importance des attaques. Une bonne partie de l'enquête repose aussi sur la collaboration entre les pays : lorsqu'il s'agit de pays de l'Union européenne, les procédures sont quelque peu simplifiées, mais hors de l'Union européenne, la collaboration n'est pas toujours garantie. Il faut pour cela compter sur une Commission rogatoire internationale, pour s'assurer que l'enquête puisse se poursuivre à l'étranger, via les services de police locaux. 

Contacté, le Parquet fédéral belge nous expose un exemple récent, qui a nécessité une collaboration entre la France, la Belgique et Israël pendant deux ans. "Le mode opératoire, particulièrement efficace, consistait à proposer aux victimes, contactées par téléphone, de réaliser un premier investissement en bitcoins, diamants ou or sur de faux sites internet faisant rapidement apparaître les plus-values promises (entre 5 et 35%)", peut-on lire dans un communiqué de presse conjoint. "Pour les mettre en confiance, les malfaiteurs n’hésitaient pas à rembourser à certaines victimes leur mise de départ augmentée de pseudo-plus-values ou intérêts."

Quasiment du 100% d'absence d'indemnisation pour les victimes

En France et en Belgique, 85 victimes ont été recensées dans ce dossier, où le montant total des escroqueries est de 6 millions d'euros. La police israélienne a auditionné plusieurs suspects dans le cadre de cette enquête, qui est toujours en cours. Cela ne veut pas dire pour autant que les victimes, dont certaines ont perdu plusieurs centaines de milliers d'euros à elles seules, récupéreront leur argent. "En tant que victimes, on ne peut rien espérer du tout", réagit maître Pierre Chomé, avocat pénaliste. "Sauf dans des opérations gigantesques. Mais dans la plupart des cas, ce sont des attaques ciblées, avec des victimes qui veulent faire une bonne affaire, ou qui sont naïves, et qui se font malheureusement piéger. On arrive rarement jusqu'à l'auteur, mais même si on y arrive, ces gens ne sont pas solvables, ou n'ont pas de biens qu'on pourrait saisir. On peut dire que c'est quasiment du 100% d'absence d'indemnisation pour les victimes."

Selon cet avocat, la justice se retrouve souvent bloquée, face aux plus petites affaires. Encore une fois, il s'agit d'un manque de moyen, ou d'une priorité donnée à d'autres sujets. Il arrive tout de même, si les dossiers mêlent plusieurs crimes, comme de la pédopornographie, ou des fraudes répétées, que des moyens internationaux soient mobilisés. Malheureusement, pour une victime isolée, qui perd parfois la totalité de ses économies, il est très difficile, voire impossible, de récupérer l'argent dérobé. C'est pour cette raison que la solution la plus préconisée actuellement, c'est la prudence, et la prévention. 

À lire aussi

Sélectionné pour vous