Des machines circulaient en voiture dans Paris et envoyaient des millions de SMS d’hameçonnage aux portables alentours : le tribunal correctionnel de Paris juge depuis vendredi six hommes et deux femmes pour une escroquerie high-tech utilisant un système d’interception téléphonique.
Cette affaire singulière est venue à la connaissance de la justice fin 2022 lorsque l’entreprise Orange porte plainte après avoir constaté un comportement radio anormal de téléphones portables d’abonnés ayant reçu, sans qu’il ne passe par le réseau de l’opérateur, un SMS frauduleux cherchant à leur soutirer leurs données personnelles.
Vers la même époque, lors d’un contrôle routier dans Paris, des policiers interceptent une jeune femme en voiture circulant dans la capitale avec un Imsi-Catcher dans le coffre, une puissante technologie d’interception téléphonique habituellement utilisée par les services de police ou de renseignements.
L’enquête met alors au jour la vente de trois Imsi-Catcher par un fournisseur chinois, qui comparaît détenu, à des équipes s’en étant servis en 2022-2023 pour diffuser des SMS frauduleux en masse, via des voitures roulant à basse vitesse dans Paris pour « capturer » des téléphones.
Dans l’ensemble, les prévenus soutiennent qu’ils ignoraient l’illégalité de l’appareil et pensaient recourir à un « SMS Broadcaster », diffusant des textos sans interception de réseau.
Grâce à un signal très fort, l’Imsi-Catcher s’intercale entre le portable et l’antenne-relais de l’opérateur, se faisant passer pour une fausse station. L’intercepteur force alors le téléphone victime à passer sur le réseau 2G, moins sécurisé.
« En 2G, l’authentification et le chiffrement son optionnels. C’est parce que c’est optionnel que le téléphone va accepter de discuter avec la station. Le téléphone n’est plus sur le réseau Orange, il est coupé. La fausse station 2G va alors lui donner le SMS », explique au tribunal un ingénieur fraudes d’Orange.
Une expertise technique a évalué que 3,7 millions d’appareils ont été accrochés pour leur délivrer un SMS par l’une des machines en cause, qui trône dans une caisse à côté de son imposante antenne sur une table devant les juges.
Démarchage publicitaire
Mais flâner dans Paris avec un dispositif émetteur d’ondes aussi puissant, dépassant largement les normes sanitaires, pose d’importants problèmes de sécurité, s’alarme l’Agence nationale des fréquences (ANFR), partie civile à la procédure avec Orange.
Par exemple, à « la gare Saint-Lazare, près de laquelle l’équipement se promenait », le dispositif était susceptible de perturber le système de communication des trains.
« Ça peut empêcher des trains de démarrer, empêcher des chauffeurs de trains d’envoyer une alerte », explique à la barre la représentante de l’ANFR, « les brouillages peuvent avoir des effets dangereux à la fois économiques et pour la sécurité des personnes ».
Sur des cartes projetées par le tribunal, les dysfonctionnements radio détectés par Orange en septembre 2022 font apparaître le trajet quotidien suivie par une voiture. Un jour à tourner dans les 8e et 17e arrondissements. Un autre à emprunter l’arc des Grands Boulevards, depuis la place de l’Alma jusqu’à Bastille. Le lendemain, tour dans le nord de Paris.
« Il fallait envoyer le plus possible (de SMS), donc passer par les endroits où les gens étaient plus susceptibles de passer », explique au tribunal Salim B., 25 ans.
Premier prévenu interrogé, il était l’une des « mules » payées pour conduire toute la journée l’Imsi-Catcher dans la capitale, antenne installée sur la banquette arrière, l’appareil dans une caisse dans le coffre, branché à la batterie du véhicule. Le jeune homme de 25 ans soutient qu’il pensait faire du démarchage publicitaire par SMS tout à fait légal.
« +Ameli, expiration de votre carte vitale, à mettre à jour impérativement+. C’est de la pub ça ? », cingle le président Guillaume Daïeff en lisant l’un des SMS de phishing envoyés.
Le procès est prévu jusqu’au 27 février.
Dans cette procédure, une équipe a déjà accepté une comparution sur reconnaissance préalable de culpabilité (CRPC), sorte de plaider-coupable, et été condamnée à des peines allant jusqu’à un an d’emprisonnement avec sursis et 70.000 euros d’amende.
© AFP