Tous les moyens sont-ils bons pour hameçonner de futures victimes? Cinq personnes viennent d’être mises en examen jeudi dernier à Paris dans une affaire inédite d’escroquerie en bande organisée, d’utilisation non autorisée de fréquences ou d’installations radioélectriques et de piratage informatique.
Comme l’a dévoilé Franceinfo, ces cinq mis en cause sont soupçonnés d’avoir envoyé plus de 420 000 SMS frauduleux renvoyant vers un faux site de l’Assurance-maladie. Une manœuvre frauduleuse relativement banale, destinée ici à recueillir des données personnelles, comme des numéros de sécurité sociale, mais aussi financières, comme des numéros de carte bancaire.
Services de renseignement
Mais au-delà de l’important volume de ce hameçonnage, le mode opératoire mis au jour par les cybergendarmes et la police judiciaire parisienne se distingue par l’emploi inattendu d’un Imsi-catcher. Un outil à l’emploi pourtant réservé aux services de renseignement ou aux enquêtes judiciaires les plus complexes.
Cet équipement est en effet particulièrement intrusif. Destiné à intercepter des communications sur les réseaux mobiles, il se substitue aux stations de base en imitant une antenne-relais, ce qui lui permet de capter des échanges entre les utilisateurs situés dans sa zone de proximité et les réseaux des opérateurs.
Comme le rappelle Le Journal du dimanche, l’enquête avait démarré fortuitement à la fin décembre. Des policiers avaient contrôlé lors d’une patrouille dans Paris une automobiliste transportant un drôle de caisson à l’arrière de sa voiture. Un engin ressemblant à une bombe qui s’était révélé être un Imsi-catcher, acheté environ 20 000 euros en mars 2021 à un intermédiaire selon les enquêteurs.
Nouveau “système de publicité”
Interrogée, la conductrice, une femme de 23 ans, expliquait alors avoir eu pour mission de circuler dans la capitale afin de collecter des numéros de téléphones à la volée. Selon l’enquête de police, ses commanditaires seraient deux gérants d’une société de Neuilly-sur-Seine spécialisés dans le marketing numérique qui se vantaient, sur leur site, de détenir une base de données de 20 millions de profils.
Au juge et aux enquêteurs, deux des mis en cause ont expliqué avoir utilisé l’Imsi-catcher pour “inventer un système d’envoi de publicité”, rapporte Le Parisien. Une argumentation étrange à rebours des règles les plus élémentaires encadrant la collecte des données personnelles.