Connaissez-vous le « spoofing » ? Nommé d'après le verbe anglais « to spoof », parodier, ce mode de fraude prend de l'ampleur en France. Il est similaire dans son principe à la fameuse « arnaque au président », une escroquerie fondée sur l'usurpation de l'identité d'un dirigeant d'entreprise pour convaincre un salarié d'effectuer un faux ordre de virement. Ce procédé a fait des milliers de victimes, pour des montants de plusieurs dizaines de millions d'euros. Le « spoofing », qui s'appuie également sur la manipulation, s'attaque pour sa part à des particuliers.

Lire aussiFraude : les saisies de faux billets de 20 et 50 euros en forte hausse, note la BCE

Tout commence par une collecte d'informations au moyen de différents outils - e-mails, SMS, pièces jointes piégées -, complétées par des données personnelles glanées sur les réseaux sociaux (vacances, achats, déplacements...). Un SMS frauduleux sur le renouvellement de la carte Vitale a ainsi beaucoup circulé il y a quelques mois. Grâce aux précisions récoltées, le fraudeur dispose d'éléments concrets, comme le nom de la banque du client.

Il prend alors contact directement avec sa cible par téléphone. Objectif ? Crédibiliser sa démarche d'emblée, en fournissant à son interlocuteur plusieurs indications apparemment fiables, dont en premier lieu son identité. Mais la clé souvent déterminante de la mise en confiance repose sur le numéro d'appel qui s'affiche : ce dernier est en effet l'un des numéros publics de l'établissement bancaire concerné, voire celui de l'agence de la victime. D'où le terme de « spoofing », puisque ce numéro a été détourné par l'escroc.

Un remboursement complexe

En alertant sa cible sur l'existence de malversations fictives (achats par carte bancaire ou mouvements supposément suspects, par exemple), « le fraudeur amène la victime à donner elle-même d'autres informations sur son numéro de carte ou de compte », explique Julien Lasalle, secrétaire de l'Observatoire de la sécurité des moyens de paiement et directeur adjoint des études et de la surveillance des paiements à la Banque de France. Trompée par un faisceau d'alarmes erronées, la cible en vient parfois à communiquer ses identifiants - pour des paiements sur Internet - ou à autoriser un virement au « spoofeur » au moyen d'un ajout de bénéficiaire, en accédant pendant la conversation à son compte en ligne.

« La proportion des transactions frauduleuses sur Internet a baissé grâce aux systèmes d'identification forte mis en place par les banques », relève Julien Lasalle. Mais cette sécurisation croissante sur le Web a favorisé l'essor du « spoofing » : en 2022, la fraude par manipulation s'est élevée à 300 millions d'euros, un montant « relativement stable en proportion », selon la Banque de France. La fraude sur le virement instantané progresse néanmoins en valeur et représente aujourd'hui 5,2 % de la valeur totale des transactions frauduleuses, selon l'institution. Facteur aggravant, si le client cède au piège en donnant ses identifiants ou en effectuant lui-même un virement, le remboursement des sommes détournées est bien plus complexe qu'en cas de fraude classique à la carte bancaire.