3,7 millions de téléphones concernés par de fausses antennes relais circulant dans les rues de Paris. Entre septembre 2022 et février 2023, des escrocs ont massivement diffusé des SMS de phishing, sans passer par les réseaux des opérateurs. Le tribunal correctionnel de Paris vient de condamner sept personnes dans cette affaire qui illustre un nouveau cap franchi dans la sophistication des arnaques.
Les messages n'ont pas transité par les canaux habituels que les opérateurs peuvent surveiller. Ils ont été injectés directement dans les téléphones à proximité, comme si votre smartphone avait été piégé dans la rue.
Les IMSI-catchers : des outils de police détournés
Au cœur de cette affaire, on trouve des IMSI-catchers, des appareils qui se font passer pour de véritables antennes relais. Votre téléphone, toujours à la recherche du meilleur signal, se connecte naturellement à ces fausses antennes sans que vous ne remarquiez quoi que ce soit.
Normalement, ces machines sont utilisées par les services de renseignement pour intercepter des communications dans le cadre d'enquêtes sensibles. Leur usage est strictement encadré. Mais dans cette affaire, des criminels les ont achetées auprès d'un fournisseur chinois et les ont installées dans des voitures qui circulaient lentement dans Paris.
Le procédé est redoutablement efficace : la voiture roule, l'appareil accroche tous les téléphones dans un rayon donné, et leur envoie directement des SMS d'hameçonnage visant à récupérer des données personnelles. Pas de trace dans les systèmes des opérateurs = pas d'alerte immédiate.
Comment l'arnaque a donc été découverte ?
C'est Orange qui a donné l'alerte fin 2022, en détectant des anomalies dans le comportement radio de certains téléphones. Des abonnés recevaient des SMS frauduleux qui n'apparaissaient nulle part dans les logs du réseau.
Peu après, lors d'un contrôle routier à Paris, des policiers ont découvert un IMSI-catcher dans le coffre d'une voiture. L'enquête a ensuite permis de remonter le réseau : plusieurs équipes utilisaient ces machines pour bombarder les Parisiens de messages frauduleux entre 2022 et 2023.
Les deux principaux organisateurs, à la tête d'une société ayant acquis les appareils, ont été condamnés à cinq ans de prison ferme avec mandat de dépôt différé. Le fournisseur chinois, arrêté en Suisse, a écopé de quatre ans ferme. Les autres membres du réseau ont reçu des peines allant de six mois avec sursis à deux ans de prison ferme. Une personne a été relaxée.