L'imagination des escrocs n'a pas de limites. Après avoir inondé la planète d'e-mails vantant des médicaments miracles (spam) ou imitant un courrier d'une banque (phishing), quelques malfrats ont trouvé un nouveau terrain de chasse : la téléphonie sur Internet ou « voix sur IP » (VoIP). Lors de la conférence RSA Security - l'une des plus importantes manifestations mondiales consacrées à la sécurité informatique - qui s'est ouverte ce lundi 5 février à San Francisco, les experts ont longuement discuté de ces nouvelles menaces.

La plus redoutable s'appelle le Vishing (contraction de VoIP et de phishing). L'objectif des escrocs est toujours le même : récupérer des données personnelles (mot de passe, numéro de compte...) pour ensuite faire des achats sur le Web ou des virements frauduleux. Seule la méthode change. Au lieu d'envoyer un e-mail imitant celui d'un organisme financier et vous demandant de cliquer sur un lien conduisant à un site piégé, le pirate vous téléphone. Ou plutôt, il utilise un logiciel qui génère automatiquement de multiples appels. Lorsque vous décrochez, un message vous demande de téléphoner au service clientèle de votre compte (de votre banque ou d'un site comme eBay ou Paypal).

Le prétexte est le même que pour le phishing : une mise à jour du service en ligne de la banque ou un problème technique. Et comme toujours, le service clientèle ne répond pas directement. Un message enregistré vous invite à fournir vos identifiants en les saisissant sur le clavier de téléphone. Le pirate enregistre alors votre saisie grâce à un logiciel.

Le piège est grossier, mais il devrait marcher car les internautes sont aujourd'hui beaucoup moins méfiants à l'égard d'un simple coup de fil qu'ils ne le sont envers un e-mail douteux. Quelques cas ont déjà été repérés ces derniers mois aux Etats-Unis, au Canada et en Angleterre.

Pour les escrocs, la téléphonie sur IP a l'avantage d'être peu coûteuse. Et comme ses réseaux de communication s'apparentent de plus en plus à des réseaux informatiques, il est facile d'utiliser des logiciels pour automatiser les appels. Des robots (dont certains sont gratuits) permettent ainsi de passer jusqu'à 1 000 appels en 5 secondes.

Le Spit (Spam over IpTelephony) est l'autre technique qui menace la téléphonie sur IP. Elle s'appuie moins sur la naïveté des utilisateurs que sur les multiples failles de la VoIP (ports ouverts, mots de passe et cryptage non généralisés, vulnérabilité des téléphones IP...). Les motivations sont les mêmes que celles du spam : saturer les messageries vocales pour pénaliser l'activité d'une entreprise, faire perdre du temps aux victimes ou leur envoyer des messages publicitaires en tout genre à moindre coût.

Le Spit peut se présenter sous différentes formes. Il y a tout d'abord le Call spam (ou spam vocal). Le spammeur cherche à initier une session (un appel) en composant de multiples numéros. Si un interlocuteur décroche, l'application spammeuse joue une annonce préenregistrée et termine l'appel. Là encore, l'opération est facilitée par l'utilisation de logiciels permettant d'automatiser les appels.

Une autre technique s'appelle le Spim (Spam over Instant Messaging). Elle est identique au spam classique mais cette fois les messages publicitaires sont adressés à l'utilisateur par le biais d'une messagerie instantanée.

Le Spit n'est pas encore très développé car la voix sur IP n'est pas assez répandue. Quelques cas ont cependant été signalés aux Etats-Unis et en Australie (deux entreprises seraient d'ailleurs à l'origine de ce genre de pratique). En attendant que la voix sur IP se généralise davantage, les escrocs se font la main sur les abonnés au téléphone mobile en France.

Pour les experts en sécurité, le pire est à venir car de plus en plus de personnes vont utiliser la VoIP. « Ce problème va sûrement s'intensifier en suivant le "modèle" du spam, indique Hervé Schauer, du cabinet de consultants en sécurité informatique HSC. Tout d'abord, ce type d'attaque sera très simple à mettre en place et très efficace. Ensuite, les utilisateurs commenceront à se méfier et le niveau de sécurité des solutions VoIP intégrera des systèmes de prévention. Enfin, une lutte sans fin entre spammeur et administrateur se mettra en place, à base d'innovations de chaque côté. »