Que fait Proximus pour lutter contre la fraude en ligne et par téléphone ?

Nous avons déjà tous connu ce genre de situation : un SMS ou un e-mail nous parvient dans lequel nous devons cliquer sur un lien du type "votre colis est en route", alors que nous n'avons rien commandé … On demande alors toutes sortes de données personnelles, de codes et de mots de passe à compléter. Les malfaiteurs peuvent ainsi avoir accès à votre compte et disparaitre avec votre argent. Mais les arnaques ont aussi lieu par téléphone : les escrocs vous appellent et vous convainquent de leur communiquer vos mots de passe et les informations de votre compte bancaire.

Que fait Proximus pour lutter contre ces fraudes ? Pour en savoir plus, j'ai pris contact avec mon collègue Patrick Coone, responsable incident & communication, au sein du département Customer Operations.

KRYSTINA SFERLAZZA

Patrick : Je suis le responsable de la communication incidents pour le marché résidentiel. En cas d'incidents majeurs à fort impact, nous intervenons, aussi bien en externe (pour nos clients) qu'en interne (boutiques, collaborateurs de terrain, call centers, etc.) pour nous assurer que la bonne communication est déployée là où elle doit l'être. Je fais également la liaison entre les services IT et presse, histoire de pouvoir communiquer rapidement et efficacement vers nos clients. Nous sommes aussi quotidiennement en contact avec nos équipes Investigations et Regulation, qui se penchent sur les cas de fraude. Pour bien faire ce travail, il est très important d'être capable de penser comme ces fraudeurs : "si j'étais l'un d'eux, à quoi cela pourrait-il me servir ? Quel bénéfice pourrais-je en tirer ?"

Krystina : Il y aurait davantage à gagner que de simplement soutirer des données ?

Prenez le cas de cette fraude de masse de ces derniers jours : on vous appelle et on diffuse un message automatique vous signalant que vos données bancaires ont été subtilisées et que vous devez appuyer sur une touche pour être mis en communication avec un agent fédéral. Le risque existe qu'un client suive ces instructions, et le fraudeur essaiera alors de dérober des données. C'est dangereux, mais ce qui compte vraiment pour eux, c'est d'essayer de créer une base de données qui leur permettra de vérifier si le numéro qu'ils ciblent à ce moment est actif ou pas. Si cela se confirme, ce qui se fait très simplement quand le numéro décroche ou quand un voicemail répond, ils peuvent alors marquer ce numéro comme actif. Il est même possible de savoir chez quel opérateur vous êtes raccordé. Quand on appelle de l'étranger, un autre type de sonnerie se fait entendre et un mécanisme robotisé est capable d'identifier s'il s'agit d'un numéro de Telenet, de Proximus, etc. Sur base du voicemail également. La voix que nous utilisons, l'annonce elle-même, tout cela diffère selon l'opérateur, et le mécanisme robotisé est également capable de le reconnaître.

Ils peuvent ainsi s'améliorer en permanence et paraître toujours plus crédibles, naturellement…

Ce qu'ils font, c'est constituer des listes, et ces listes valent de l'or. Ils les vendront ensuite sur le dark web à des fraudeurs qui paieront entre 1 000 et 10 000 € pour les obtenir. Supposons qu'en tant que fraudeur, vous vouliez mener une campagne de smishing (phishing par SMS) ou quelque chose comme ça, vous recherchez alors des listes dont vous savez avec certitude qu'elles ne contiennent pas de faux positifs, ou du moins le moins possible. Et, ici, ils constituent une liste de clients actifs belges, tant fixes que mobiles, qui est 100 % correcte. Ils peuvent ensuite l'utiliser pour toutes sortes de campagnes malveillantes au cours des semaines, mois et années à venir.

En tant que community manager, je lis parfois des témoignages de clients : « Cet escroc, je l'ai bien eu ! J'ai décroché et dit : zone de police de Louvain, comment puis-je vous aider ? Il a pris peur ! » ou alors « Je l'ai tenu en haleine. » Cela ne me semble sûrement pas à conseiller.

Non, absolument pas, si vous décrochez, ils obtiennent encore davantage de détails. Qu'il s'agisse d'un client néerlandophone, par exemple, et vous citez aussi le nom d'une ville, où vous habitez probablement. Ce n'est pas du tout une bonne idée. Les clients peuvent toujours nous transmettre les numéros suspects pour analyse.

Avons-nous les moyens d'y faire quelque chose ?

C'est très complexe et je vais essayer d'y répondre au mieux sans partager trop de détails importants, car nous devons savoir que des personnes moins bien intentionnées pourraient également nous lire. L'arnaque classique se présente comme suit : un client constate que son numéro est utilisé à mauvais escient, il reçoit par exemple un ou plusieurs appels lui signalant que son numéro les a appelés et qu'ils ont manqué l'appel, alors que le client n'a pas appelé ces numéros. Il appelle Proximus pour signaler ce fait. L'agent Proximus note 3 paramètres importants : le numéro du client, le numéro que celui-ci aurait appelé, et l'heure. L'agent transmet ces informations à la mailbox « fraude ». Le service effectue une première enquête et s'il s'avère qu'il y a effectivement un problème, il m'est transmis ainsi qu'aux collègues en charge du monitoring du réseau. Ceux-ci réalisent ensuite un suivi d'appel effectif. Ils ouvrent un ticket demandant d'enquêter sur le problème et de mettre un terme à ce trafic le plus rapidement possible. Cela va assez vite.

Et pourquoi ne bloquons-nous pas ces numéros immédiatement après x signalements ? Certains fournisseurs de smartphones peuvent tout de même le faire, non ?

Les fabricants ont aujourd'hui des logiciels dans leurs appareils qui permettent de signaler des numéros et il est possible de signaler ces appels comme suspects. Certains autorisent même encore davantage. On peut par exemple y indiquer de quel genre de fraude il s'agit et de quel type d'appel il était question (Microsoft scam call, par ex.). Si le même numéro est systématiquement signalé comme fraude, ce numéro sera transmis dans leur base de données, avec comme conséquence que d'autres clients verront s'afficher : suspicion de fraude à l'écran de leur téléphone. L'arrêt intervient sur l'appareil même, mais ils ne sont donc pas bloqués. Nous pouvons également bloquer des plages de numéros, mais ce n'est pas autorisé en Belgique. Une raison motivée est nécessaire. De véritables clients se trouvent souvent derrière ces numéros (c'est que l'on appelle du spoofing). Si nous bloquons d'office ces numéros, ces clients ne pourront plus téléphoner, ce n'est donc pas si simple.

Safeonweb, soutenu par tous les opérateurs

L'union fait la force, la devise nationale belge, pourrait bien aussi être celle des opérateurs belges.

La plateforme nationale auquel les concitoyens peuvent envoyer des e-mails de phishing a été étendu depuis décembre pour permettre le signalement de SMS. Après analyse par Safeonweb, les sites Web, confirmés comme relevant du phishing, seront transmis en temps réel aux opérateurs, qui bloqueront les liens. Ce projet s'appelle BAPS (Belgian Anti-Phishing Shield).

Proximus est actuellement le seul opérateur à bloquer (presque) en temps réel tous les sites de phishing que le CCB (Centre pour la Cybersécurité Belgique, le gestionnaire de SafeOnWeb) reçoit. Le but est que d'ici la fin de cette année, tous les opérateurs puissent faire de même.

Bien entendu, les fraudeurs adaptent constamment leurs textes pour contourner ces blocages. Mais les opérateurs télécoms restent vigilants !

Plus d'informations sur BAPS (Belgian Anti-Phishing Shield)

Mais Safeonweb n'intervient qu'en cas de cyberfraude, si je comprends bien ?

Non. Safeonweb ne peut pas intervenir dans cette histoire d'arnaques. Ils ne se focalisent pas sur la fraude liée à la voix, mais sur toute la cyberfraude, raison pour laquelle ils interviennent pour les SMS, les MMS, les e-mails, car ils contiennent des URL. Via suspect@safeonweb.be, les gens ont la possibilité de signaler les tentatives de phishing ou de smishing, un moteur automatisé va ensuite reconnaître et analyser les URL en question. Lorsque le système détecte du phishing ou d'autres sites suspects, il les collecte, les transfère et les convertit en adresses IP et DNS. Ils sont ensuite transmis aux FAI (les fournisseurs d'accès Internet, comme Proximus, par exemple), leur demandant de bloquer ces pages et de les remplacer par la page BAPS, la page d'avertissement qui signalera au client que l'URL accédé est une page frauduleuse. Quant à la voix, elle ne relève pas de leurs compétences, ils ne disposent pas d'un module d'analyse de la voix et ne peuvent pas réaliser de contrôles sur notre réseau, car c'est le rôle de l'opérateur lui-même.

Ce que beaucoup ne savent pas, c'est que nous collaborons très bien dans cette histoire avec les autres opérateurs. Nous avons beau être concurrents, nous menons la lutte contre les criminels ensemble. Dans le cadre de la lutte contre la fraude, il est important que tous les opérateurs et toutes les parties concernées collaborent. Quiconque y a intérêt doit être impliqué, car un escroc ne se limite pas à une partie et mettra le monde des télécoms sens dessus dessous dans son ensemble. D'où le fait que nous travaillions en très étroite collaboration avec les différents opérateurs, l'IBPT et le CCB en ce qui concerne les grandes formes de fraude. Des réunions se tiennent régulièrement, où nous partageons des informations et nous nous concertons. Que pouvons-nous faire ? Comment pouvons-nous mieux informer les citoyens ? Nous échangeons également des informations entre nous autour de scénarii et d'actions que nous pouvons échafauder ensemble. Sur la base de cet échange, nous pouvons apprendre les uns des autres pour encore nous améliorer.

Nous avons déjà collaboré à plusieurs reprises dans mon rôle de CM, pour des problèmes techniques de grande ampleur, mais aussi pour des cas de campagne de messages frauduleux. Nous avons effectivement prévenu nos clients sur les réseaux sociaux. Selon toi, notre communication est-elle bonne ou avons-nous encore une marge d'amélioration ?

Je trouve que nous sommes un modèle sur le plan de la communication. Récemment, nous avons eu un nombre très élevé de signalements de fraude, et nous avons communiqué à ce sujet sur nos réseaux sociaux. Nous avons dès lors prévenu Safeonweb, qui l'a également signalé et a fait passer le message à ses utilisateurs. Mais à un moment donné, les choses ont pris des proportions si importantes qu'il est devenu nécessaire d'encore élargir le champ et d'avertir les médias afin d'alerter et d'informer les citoyens. Nous avons alors fait appel à notre organisme de régulation, l'IBPT et au CCB, en leur demandant d'en informer les médias, ce qu'ils ont fait efficacement. Nous avons ensuite avancé très vite !

Une dernière question encore. Comment vois-tu la lutte contre la fraude évoluer à l'avenir ? Les escrocs sont de plus en plus ingénieux.

Les escrocs ne sont pas les seuls à faire preuve d'ingéniosité, nous aussi, a fortiori lorsque nous unissons nos forces ! Ces dernières années, la coopération entre les opérateurs et les centres de cyberdéfense s'est beaucoup renforcée. Et pas seulement en Belgique, mais aussi au niveau international. Nous continuons d'investir dans les nouvelles technologies, où le 'machine learning' et l'Intelligence Artificielle, surtout, joueront un rôle important. Autant de choses que nous n'avions pas à notre disposition par le passé, mais qui ont heureusement connu une énorme évolution ces dernières années. Cela nous apportera le soutien nécessaire pour analyser de nouveaux modèles. Continuer à reconnaître les schémas en constante évolution des fraudeurs restera un défi.