BlogOstraca solution
Sécurité & conformité
Numéro de téléphone portable en liberté : Menaces pour votre sécurité
Nicolas Verlhiac
05 avril, 2021
7 min

Que cela soit pour un profil de compte, ou un formulaire d’inscription en ligne (boutique en ligne, dossiers hospitaliers ou médias sociaux), nous fournissons des informations personnelles sous forme numérique sans hésitation ni égard pour les implications.

Si vous êtes comme la plupart des gens, vous êtes devenu plus prudent sur la façon dont vous utilisez l’Internet. Vous connaissez les risques liés au partage d’informations personnelles en ligne, vous utilisez les médias sociaux de manière plus intelligente et vous faites attention aux arnaques par courrier électronique potentiellement dangereuses. Mais il y a une chose pour laquelle vous n’êtes peut-être pas aussi prudent que vous le devriez : le partage de votre numéro de téléphone.

Il suffit de donner son numéro pour s’exposer à un risque d’usurpation d’identité. Car de nos jours, il peut révéler plus d’informations personnelles que vous ne le pensez.

Pourquoi ne devriez-vous pas communiquer votre numéro de téléphone publiquement?


Si quelqu’un possède votre numéro de téléphone, il est probable qu’il possède également d’autres éléments d’identité, alors, ne soyez pas surpris

Votre numéro de téléphone est lié à presque tous les aspects de votre vie. Il ne s’agit plus seulement d’un numéro relié à une ligne fixe dans un bâtiment - votre numéro de téléphone mobile vous suit partout. Vous utilisez votre numéro de téléphone pour déverrouiller vos comptes via la double authentification, communiquer avec vos proches, légitimer votre identité auprès des SAV qui vous ont dans leurs fichiers, ect. Mais vous utilisez aussi votre téléphone portable pour communiquer avec votre banque et prendre des photos de vos enfants. Alors quand ce numéro tombe entre de mauvaises mains, il peut causer des problèmes.

Nombres des informations qui sont liées à votre numéro de téléphone portable peuvent sembler innocentes, mais entre de mauvaises mains, elles peuvent vous exposer à des activités criminelles. Et dans un monde où nos identités numériques et hors ligne sont en symbiose, je vous propose de découvrir ce qu’il peut se passer lorsque votre numéro est compromis. Une liste non exhaustive des escroqueries les plus fréquentes, ainsi que des méthodes pour s’en protéger.

#1 - L’extraction d’identités


En ayant accès à une information personnelle, les fraudeurs peuvent extraire d’autres données pour reconstituer une identité. Avec la quantité d’informations que nous partageons en ligne - dates de naissance, membres de la famille, état civil, employeurs - nous leur facilitons la tâche.

Une recherche rapide d’un numéro de téléphone peut conduire à son fournisseur de services mobiles. Un appel téléphonique à cet opérateur peut révéler des détails sur le compte si les bonnes questions sont posées. Puis, un détail de compte peut mener à un compte de réseau social. Dès lors, les fraudeurs peuvent utiliser les données qu’ils recueillent auprès de plusieurs personnes et combiner ces informations pour créer des personnes virtuelles.

Il peut s’agir d’un numéro de téléphone. Cela peut être une photo. Il peut s’agir d’une adresse personnelle, d’un profil de média social. Chacun de ces éléments d’identité peut donner lieu à la possibilité de recueillir davantage de données sur une personne.

En 2019 (mis gratuitement à disposition pour téléchargement en avril 2021), 533 millions de numéros de téléphone et de données personnelles d’utilisateurs de Facebook ont fait l’objet d’une fuite en ligne. Les données exposées comprennent les informations personnelles d’utilisateurs de Facebook dans 106 pays, dont plus de 20 millions d’enregistrements sur des utilisateurs en France. On y retrouve notamment :

  • les numéros de téléphone,
  • les identifiants Facebook,
  • les noms complets,
  • les adresses,
  • les dates de naissance,
  • les biographies,
  • et, dans certains cas, les adresses électroniques

C’est un sérieux problème, dont vous devez prendre la mesure dès aujourd’hui. Vérifiez si votre numéro de téléphone est concerné

Se protéger :

  1. Dans la mesure du possible, créez des identités numériques distinctes entre les plateformes et les comptes en utilisant des pseudonymes ou des surnoms, des adresses électroniques différentes, de fausses dates de naissance, etc. Gardez une trace de ces informations pour le service client.

Vous devez comprendre une chose. La personne que vous êtes dans la vie réelle est différente de l’identité numérique que vous êtes en ligne. Divisez ces deux concepts. La façon d’y parvenir est d’être sous pseudonymes autant que possible lors de vos activités en ligne”.

  1. Utilisez un gestionnaire de mots de passe hors ligne et une base de données pour garder une trace, en créant des phrases de passe nouvelles et distinctes, plutôt que des mots de passe (minimum de 12 caractères, espaces et ponctuation compris)

Tapez une phrase. C’est beaucoup plus facile à retenir et il y a moins de chances qu’on le devine.

#2 - Usurpation d’identité en vue d’escroquerie


Vous avez peut-être déjà reçu plusieurs de ces appels provenant de spammeurs. L’appelant se fait passer pour la police, le centre des finances publiques ou votre assurance, exigeant un paiement et menaçant de sanctions, d’emprisonnement, etc. De nombreuses personnes sont victimes d’une escroquerie potentiellement dévastatrice sur le plan financier.

Cette usurpation touche aussi bien les particuliers que les entreprises. La plupart des usurpations se réalisent grâce à un service de VoIP afin de transmettre des appels via Internet. Généralement, lors de la configuration de leur compte, les utilisateurs de la VoIP peuvent choisir le numéro ou le nom qui apparaîtra sur l’afficheur. (Je laisse libre cours à votre imagination pour envisager l’univers des possibles en termes d’escroquerie … )

Et parce que ce n’est jamais assez, certains fournisseurs vont jusqu’à proposer de choisir le numéro de la personne qu’ils désirent contacter et le numéro qui apparaîtra sur l’afficheur de ce dernier.

Se protéger :

  1. Évitez de répondre aux appels reçus de numéros inconnus.
  2. Si vous répondez à l’appel, raccrochez immédiatement et ne répondez à aucune question.
  3. Ne donnez jamais d’informations personnelles (comme les numéros d’assurance sociale et les informations bancaires) sans vérifier que la demande est légitime. Et encore, cela reste dangereux de les communiquer dans tous les cas.
  4. Signalez tout appel reçu à l’ACERP via son service en ligne qui permet aux consommateurs d’alerter gratuitement les opérateurs sur des SMS ou appels qu’ils jugent suspects.

#3 - Vol de numéro de téléphone via le portage téléphonique


Vos identités sont désormais compromises par le portage de téléphone, par lequel le fraudeur, en possession du numéro de téléphone, relie ce dernier à une autre carte SIM. Les pirates n’ont donc plus besoin d’accéder à votre téléphone portable ni de le voler.

Beaucoup de personnes utilisent maintenant l’authentification à doubles facteurs, pour protéger vos comptes les plus sensibles : réseaux sociaux, comptes de messagerie, compte bancaires, etc.

À partir de là, les escrocs peuvent appeler le fournisseur de services mobiles, en se faisant passer pour le propriétaire du téléphone, et apporter des modifications au compte ou signaler la perte ou le vol de l’appareil. Il peut modifier les mots de passe des comptes en utilisant l’option “mot de passe oublié”, et obtenir l’accès grâce aux codes de vérification qui lui sont envoyés.

Pendant ce temps, les victimes peuvent être bloquées dans leur compte, incapables d’appeler, d’envoyer des SMS ou d’utiliser des données. Elles peuvent être la proie de menaces d’extorsion ou voir leurs comptes bancaires vidés et leurs cartes de crédit débitées.

Mise en situation : Le cybercriminel trouve une vieille facture de téléphone portable et essaie d’exploiter cette information. L’opérateur pense que l’appareil est volé ou perdu. Le cybercriminel dit qu’ils aimeraient que le téléphone soit transféré vers un autre appareil. Une fois que le téléphone est transféré sur cet appareil… le mal est fait et les choses se compliquent pour la victime … grandement.

Se protéger :

  1. Si votre identité est piratée, signalez-le de suite sur la plateforme du gouvernement de diagnostic et d’assistance aux victimes de cybermalveillance et contactez immédiatement vos banques.
  2. Protégez vos informations personnelles. Remplissez prudemment les formulaires en ligne, en ne saisissant que ce dont vous avez absolument besoin. Cette entreprise a-t-elle vraiment besoin de votre date de naissance, de votre sexe ou de votre état civil ? Est-il même légal de les demander ?
  3. Contactez votre fournisseur de services mobiles pour savoir quelles sont les mesures de sécurité supplémentaires disponibles en cas de perte ou de vol de votre téléphone, ou si votre identité a été compromise.

#4 - Phishing et Spam par SMS : Smishing


Cette dernière utilisation frauduleuse est la plus connue. Je suis persuadé que vous y avez déjà été exposé.

Le SMS phishing, ou ”Smishing”, est une attaque de phishing mobile qui cible les victimes par le biais de la messagerie SMS plutôt que par e-mail. Évolution naturelle du phénomène du phishing, les attaques de smishing tentent de duper les utilisateurs mobiles avec de faux messages texte contenant des liens vers des sites d’apparence légitime, mais frauduleux. Ces sites de smishing tentent de voler des informations d’identification, de propager des logiciels malveillants mobiles ou de commettre des fraudes.

Comme pour l’hameçonnage par e-mail, ces demandes frauduleuses peuvent être urgentes ou menaçantes, exigeant un paiement ou des informations personnelles, et/ou encourageant les utilisateurs à cliquer sur des liens ou des pièces jointes infectés par un ransomware. Il peut également s’agir de simples demandes, comme des mises à jour de compte ou des confirmations de mot de passe.

Bien que le smishing se soit insinué dans les flux de messages texte des utilisateurs depuis plus d’une décennie, cette technique est longtemps restée dans l’ombre, avec des volumes d’attaques relativement faibles au fil des ans. Toutefois, cette situation est en train de changer, car les cybercriminels cherchent à tirer profit des tendances actuelles en matière de mobilité et de travail à distance.

Sur un petit écran et avec une capacité limitée à vérifier les liens et les pièces jointes avant de cliquer dessus, les consommateurs et les utilisateurs professionnels sont exposés à plus de risques de phishing que jamais.

Se protéger :

  1. Ne répondez jamais (et ne cliquez jamais) à des messages, liens ou pièces jointes suspects envoyés par SMS ou par des applications.
  2. Signalez les messages suspects à l’ACERP via le numéro 33700
  3. Si le message envoyé semble légitime, contactez l’expéditeur présumé (c’est-à-dire votre banque) avant de répondre ou d’entrer toute information pour confirmer la réception.
  4. En cas d’attaque par SMS, mettez à jour tous les mots de passe/identités de connexion associés aux comptes ciblés. Ex : un SMS frauduleux lors d’une livraison d’un colis que vous attendez, peut sous-entendre que le compte de ladite boutique en ligne a été infiltré.

Soyez prudent …


Faites preuve de bon sens pour protéger votre numéro de téléphone des pirates et des escrocs. Ne rendez pas votre numéro de téléphone public sur des sites web et ne le partagez pas avec des personnes ou des entreprises que vous ne connaissez pas. Traitez votre numéro de téléphone avec le même soin que celui que vous accordez à vos autres informations personnelles. Ce petit geste de prudence supplémentaire peut être très utile.

Si vous constatez l’usurpation de votre identité, ne tardez pas à collecter tous les éléments prouvant l’infraction (URL des pages concernées, captures d’écrans, justificatifs de toutes sortes, etc.). À partir de là, vous devrez vous tourner vers le ou les sites sur lesquels l’usurpation d’identité a eu lieu et leur demander d’intervenir pour la suppression des informations vous concernant.

Évidemment, vous pourrez déposer une plainte pénale auprès d’une gendarmerie/commissariat de police, ou du procureur de la République.

Enfin, le gouvernement français met à votre disposition une plateforme dédiée qui permet d’établir un diagnostic de votre situation ainsi qu’une mise en relation avec des organismes compétents et spécialistes proches de chez vous.


Tags

#email#data#usurpation#ostraca

Articles en rapport avec ce sujet

3 Indicateurs à surveiller en cas d’usurpation d’identité en entreprise (Business Email Compromise - BEC)
22 mars, 2021
6 min
© 2021, Ostraca Forensic Tous droits réservés.

Ostraca

Notre solutionNous contacter

Suivre l'actu