La fin des arnaques au faux conseiller bancaire au 1er octobre? Pourquoi c'est loin d'être évident

C'est un fléau qui peut coûter des fortunes aux victimes concernées: les arnaques au faux conseiller bancaire. Le scénario est souvent le même. Un escroc appelle une victime potentielle, en se faisant passer pour son conseiller bancaire, pour l'inviter à valider des opérations financières à distance. Pour crédibiliser leur discours, les escrocs utilisent des informations personnelles sur la victime, glanées sur internet, mais également une technique redoutable: le spoofing.

Derrière ce nom barbare se cache une technique aussi simple que méconnue de nombreux Français: la possibilité d'usurper le numéro de téléphone d'un tiers - notamment une entreprise, grâce à des logiciels spécialisés. Ainsi, bien que l'appel puisse provenir d'un escroc basé à l'autre bout du monde, c'est bien le numéro de téléphone de sa banque qui s'affiche sur le smartphone de la victime.

Avec à la clef un préjudice qui atteint 380 millions d'euros au niveau national, selon l'Observatoire de la sécurité des moyens de paiement de la Banque de France.

Mécanisme d’authentification des numéros

Pour tenter de mettre un terme à cette usurpation de numéro de téléphone, le gouvernement a fait adopter une loi en 2020, qui, après plusieurs reports, doit entrer en application au 1er octobre 2024.

Concrètement, les opérateurs téléphoniques seront alors - en théorie - dans l'obligation d'authentifier tous les numéros dont les premiers chiffres correspondent à ceux de numéros de professionnels.

Pour rendre cette authentification possible, les professionnels devront alors renseigner l'ensemble des numéros qu'ils utilisent, dans une base de données partagée avec les opérateurs. L'outil est baptisé Mécanisme d’authentification des numéros (MAN).

Techniquement, le Mécanisme d’authentification des numéros pourrait effectivement permettre de bloquer tous les numéros non authentifiés, et donc les numéros des escrocs. Mais dans les faits, la mise en place de cet outil le 1er octobre sera bien loin de mettre un terme aux arnaques au faux conseiller bancaire.

"La date du 1er octobre a été actée par l'ensemble des opérateurs, mais il faut avoir conscience que ce n'est que le début de la mise en place d'un nouvel outil" précise Romain Bonenfant, directeur général de la Fédération français des télécoms (FFT), à Tech&Co.

Et pour cause, le processus d'authentification ne fonctionne pour l'heure qu'avec de la voix sur IP. Autrement dit, les appels qui passent par internet. L'outil ne pourra donc pas être fonctionnel sur les appels vers une ligne téléphonique classique (cuivre).

Difficultés sur le mobile

"On pourra avoir des difficultés sur le mobile, même si les appels téléphoniques utilisent des technologies IP (passant par internet, ndlr), en raison des protocoles d’interconnexion entre opérateurs, qui ne sont pas actuellement compatibles avec l’authentification des numéros" ajoute Romain Bonenfant.

Autre cas complexe: les entreprises qui délèguent l'utilisation de leur numéro de téléphone à un sous-traitant, parfois basé à l'étranger. Pour l'heure, impossible pour les opérateurs de procéder à une quelconque authentification si le véritable numéro d'une banque est utilisé par un sous-traitant.

Afin de ne pas amputer les banques ou assurances de leur service client, les opérateurs seront contraints de "laisser passer" les appels, sans utiliser le MAN, concède la FFT.

A partir du mois d'octobre, l'outil d'authentification pourra donc se montrer surtout efficace lors de tentatives d'escroquerie visant des lignes fixes fonctionnant grâce à des box internet.

Par ailleurs, les opérateurs sont désormais loin d'être les seuls intermédiaires d'appels téléphoniques. Avec la multitude d'applications de messagerie disponibles, les portes d'entrées sont nombreuses, cette fois sans que cette authentification ne soit appliquée.

"Rien n'oblige Whatsapp, qui opère depuis l'étranger, à procéder à une telle authentification. On peut donc imaginer un report des appels frauduleux" anticipe ainsi Alexandre Archambault, avocat spécialisé en droit du numérique, à Tech&Co.

Même avec l'application de la loi, des escrocs pourraient continuer à usurper le numéro de téléphone de votre banque, tout en vous appelant par le biais de Whatsapp. Au risque, pour certains utilisateurs peu familiarisés avec les différentes interfaces des applications d'appel sur leur mobile, de continuer à se faire avoir.