Comment La Poste lutte contre l'épidémie d'arnaques au colis

Les malfrats usurpent de plus en plus l'identité de La Poste : ils font croire à leurs victimes qu'il faut remplir des formulaires et payer pour faire aboutir la livraison d'un colis. Leur objectif : dérober des données personnelles et bancaires de leurs cibles. Pour contrer la croissance effrayante de ce phénomène, +372% entre 2020 et 2021, le groupe La Poste s'adapte. S'il fait au mieux avec les outils existants, ces derniers s'avèrent limités face à une cybercriminalité toujours plus active et facile d'accès.
François Manens

9 mn

(Crédits : DR)

Qui n'a jamais reçu un faux message de livraison de colis ? Envoyés par email ou SMS, ils prétendent qu'il faut régler un « affranchissement », des « frais de douane » ou encore des « frais de reprogrammation », le plus souvent d'un montant de 2 euros. Votre colis serait « retenu à l'entrepôt », et il risquerait d'être « réexpédié » si vous ne sortez pas rapidement votre carte bancaire. Sauf que le colis n'existe pas, que vous n'avez donc aucun frais à payer, et que votre interlocuteur n'est pas l'entreprise qu'il prétend être. Dans le jargon, on qualifie ce genre de messages frauduleux de phishing.

Toutes les sociétés de livraison sont imitées tour à tour : UPS, Fedex, et surtout Colissimo et Chronopost, deux des services du groupe La Poste. Cliquez sur le lien contenu dans un de ces phishings, et vous serez redirigés vers un site plus ou moins bien copié sur le site officiel de l'entreprise, laposte.fr. L'objectif des malfrats : pousser les victimes à remplir des formulaires avec leurs données personnelles (nom, prénom, email, téléphone), et leurs informations de carte bancaire, en leur faisant croire qu'elles règlent simplement des frais de livraison.

Les délinquants pourront ensuite exploiter ces données à leurs propres fins ou les revendre sur des marchés noirs. D'autres phishings - plus rares mais plus dangereux - mènent les victimes à télécharger un malware (logiciel malveillant), capable de manipuler l'appareil infecté.

Plusieurs centaines de phishings par semaine

Si vous avez reçu une de ces arnaques au colis, vous ne faites pas partie d'une minorité, loin de là. Les équipes de Gabriel de Brosses, directeur de la cybersécurité du groupe La Poste, ont observé une effroyable croissance du phénomène.

« Entre mars 2020 et aujourd'hui, nous avons détecté une augmentation de 372% du nombre d'arnaques au colis », estime le dirigeant, interrogé par la Tribune.

Cette tendance suit celle des usages : entre les restrictions sanitaires et l'explosion du télétravail, les Français se sont tournés vers le commerce en ligne, et reçoivent un nombre grandissant de colis.

Plus généralement, entre son activité historique de livraison et sa branche bancaire, La Poste fait partie des entreprises de plus en plus imitées par les cybercriminels.

« On fermait une cinquantaine de sites de phishing par semaine il y a deux ans. On est passé à une centaine en 2020. En 2021, nous avons eu un pic à plus de 3.000 sites fermés dans le mois. »

Résultat, Gabriel de Brosses prévoit que fin 2021, le groupe aura fait fermer plus de 15 000 sites.

Comment ? Aujourd'hui, les entreprises n'ont pas d'outil pour empêcher l'envoi des messages frauduleux qui les imitent, et elles ne contrôlent pas non plus leur réception. En revanche, elles peuvent, une fois la campagne frauduleuse lancée, faire désactiver les sites sur lesquels repose le phishing. Il leur suffit de signaler les sites malveillants aux entreprises qui les hébergent, par le biais d'un mécanisme dédié. Les hébergeurs ont des équipes en charge de ce genre de modération, qui couperont le contrat avec le site malveillant, qui passera alors hors ligne. « 95% des sites qu'on détecte sont fermés dans la semaine », avance l'expert. Bien que très rapide, ce délai laisse tout de même aux cybercriminels le temps de convaincre certaines victimes.

Une fois actée, la fermeture du site a pour effet de désamorcer le phishing : si une victime clique sur le lien contenu dans le message, elle sera dirigé vers une page qui lui indiquera que le site n'existe pas. Dès lors, aucun risque que le malfrat récupère ses informations.

La Poste contrainte de passer Internet au radar

Les arnaques au colis entrent dans une case étrange pour La Poste : elles visent ses clients, mais elles ne ciblent pas l'infrastructure informatique du groupe. Autrement dit, elles se déroulent hors des systèmes d'information de l'entreprise, et ne passent pas dans les radars destinés à sa protection.

Ainsi, en cas de phishing réussi, La Poste n'accuserait aucun dommage matériel ou financier direct. En revanche, son image de marque finit par être abîmée par les vagues répétées de messages malveillants.

« Les phishings nous éloignent de nos objectifs de confiance numérique, pour lesquels nous investissons par ailleurs beaucoup d'effort », regrette Gabriel de Brosses.

Beaucoup de cibles de phishing pensent encore qu'un message frauduleux est synonyme d'une faille de sécurité de l'entreprise imitée - ce qui n'est pas le cas, dans l'écrasante majorité des cas.

« Si un faux site contrefait une de nos marques, nous ne le verrons pas apparaître sur nos systèmes d'information. Pour le voir, nous sommes obligés d'observer tout ce qu'il se passe sur le web », développe le dirigeant.

Par mesure de sécurité, le dirigeant s'abstient de préciser ses méthodes, mais il se félicite d'une capacité de détection continuellement améliorée qui explique en partie la croissance des chiffres. Non seulement le nombre de sites malveillants explose, mais en plus, la Poste a aiguisé ses outils pour les détecter. Des détections qui mènent directement à des suppressions.

« Aujourd'hui, la procédure de signalement est automatisée : une fois le site frauduleux identifié, c'est un bot [un programme informatique, ndlr] qui se charge de contacter les hébergeurs », précise notre interlocuteur. Cette automatisation, plus efficace, est avant tout nécessaire pour tenir la cadence. L'opérateur humain seul serait dépassé par les vagues d'attaque, elles-mêmes automatisées.

La prévention en amont, utile mais insuffisante

Si La Poste ne peut stopper le phishing qu'une fois qu'il est lancé, elle peut tout de même préparer ses clients par des campagnes de prévention. L'entreprise leur présente une page dédiée au phishing, affiche des exemples concrets de messages frauduleux, ou encore, fait tourner un clip de prévention vidéo dans ses bureaux de poste. Ces mesures de préventions viennent en renfort de mesures techniques destinées à authentifier ses canaux de communication officiels.

Face aux phishings envoyés par email, le groupe a certifié ses adresses officielles de trois standards (DKIM, DMARC, et SPF). Concrètement, soit le malfaiteur imite une adresse officielle de La Poste et les messageries l'identifieront comme suspecte, soit il sera contraint d'utiliser une adresse de son invention, qui pourrait permettre aux cibles de découvrir la supercherie.

Face aux phishings par SMS (les plus courants dans le cas de l'arnaque au colis), les problèmes sont différents, puisque contrairement aux messageries email, il n'existe pas de filtre antispam. Mais d'autres solution existent : « Aujourd'hui tous les messages qui arrivent de La Poste sont identifiés par une marque [c'est-à-dire un nom au lieu d'un numéro, ndlr], qui dépend d'une authentification forte validée auprès des opérateurs », précise Gabriel de Brosses. La marque peut être imitée (avec une orthographe proche par exemple), mais elle compliquera dans tous les cas la tâche des malfrats. Les clients avertis sauront que si un numéro de téléphone s'affiche comme expéditeur, alors le message n'est pas envoyé par La Poste.

Malgré toutes les précautions prises par l'entreprise, le directeur de la cybersécurité conseille aux utilisateurs la méthode la plus sûre en cas de doute sur la légitimité d'un message : se connecter au site officiel de La Poste via un moteur de recherche et entrer le numéro du colis pour vérifier. Prendre son temps, douter et vérifier.

Pour autant, le dirigeant, réaliste, connaît les limites de ces mesures de prévention : « le niveau d'éducation numérique de la population ne croit pas à la même vitesse que l'attaque. Et le plus souvent, nous n'avons pas le niveau de patience numérique suffisant. »

En face, un phishing trop facile à lancer et trop rentable

Si la situation devient toujours plus complexe pour les défenseurs, c'est aussi parce qu'en face, le travail des malfaiteurs en face est devenu d'une facilité déconcertante. N'importe qui peut acheter un « kit de phishing », qui contiendra des modèles d'emails et de sites à reproduire en quelques clics : les malfrats n'auront plus qu'à acheter un nom de domaine (le nom du site) et à faire héberger leur site. Les moins compétents peuvent même payer un abonnement à des cybercriminels professionnels pour qu'ils lancent le phishing à leur place.

Pour ce qui est de trouver des cibles, c'est encore une fois simple comme bonjour. Les marchés en ligne de vente de données - sans même parler de « dark web » - regorgent de listes de milliers de numéros de téléphones ou d'adresses email issues de fuites de données ou d'autres incidents. Et bon nombre d'entre elles sont récupérables gratuitement ou contre l'équivalent de quelques euros.

En outre, imiter La Poste présente un grand avantage pour les cybercriminels : n'importe qui est susceptible de recevoir un colis par Colissimo ou Chronopost à tout moment. En conséquence, les malfrats n'ont pas à se soucier du ciblage de leur email : leur phishing concernera n'importe qui, à l'instar de phishings imitant les impôts.

Pour finir, les opérateurs de l'arnaque n'ont même pas besoin de faire dans la précision, il leur suffit de pêcher au filet. Concrètement, ils lancent leur arnaque à des milliers de cibles, en sachant que seule une petite partie - environ 2% - tombera dans le piège. « Le ressort psychologique, la fatigue, l'isolement, fait qu'on aura toujours des personnes qui cliqueront sur le phishing », rappelle le responsable de la sécurité de La Poste. Et cette poignée de victimes suffit à rentabiliser l'activité criminelle. « Le retour sur investissement pour les pirates est colossal. On estime leur ROI [ratio entre le montant gagné et celui investit, ndlr] à plus de 600% sur la dernière année », continue l'expert.

Résultat, les cybercriminels attirés par un gain facile sont toujours plus nombreux, et ils alimentent la croissance des attaques. Une augmentation inquiétante, que les défenseurs peinent à suivre :

 « Cette tendance des phishings s'inscrit dans un contexte général d'explosion de la menace. La charge insupportable pour nous en année « n » devient la norme en « n + 1 », l'année suivante » conclut Gabriel de Brosses.

François Manens

9 mn

Sujets les + lus

|

Sujets les + commentés

Commentaires 5
à écrit le 06/10/2021 à 6:25
Signaler
Bonjour, Le titre de l'article "Comment La Poste (...)" annonce un contenu qu'on ne trouve pas dans l'article, qui ne fait que décrire un phénomène très connu mais ne donne pas les solutions de La Poste. Ou alors je n'ai pas trouvé le lien pour lir...

à écrit le 04/10/2021 à 20:55
Signaler
Les arnaques perdurent au vu et au su des autorités un peu comme les paradis fiscaux ..

à écrit le 04/10/2021 à 20:04
Signaler
j'en reçois tous les jours en double et des dizaines, il en a marre d'être obligé d'annuler tous les jours ces arnaques autant sur mon portable. j'en ai plus que ras le bol. je subis comme beaucoup d'autres

à écrit le 04/10/2021 à 14:34
Signaler
arnaque vielle comme le monde d'internet... tellement connue donc !! Comment peut on encore se faire avoir, surtout si l'on n'attends pas de colis, et qu'il faut payer !!

à écrit le 04/10/2021 à 8:17
Signaler
Ouais enfin il faut être gogo quand même hein pour se faire avoir... mais bon le consommateur est un gogo par définition c'est vrai également.

Votre email ne sera pas affiché publiquement.
Tous les champs sont obligatoires.

-

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.