Partager cet article : Envoi à un ami

• sur Facebook
• sur Google
• sur MySpace
• sur Tape-moi
• sur Twitter
• sur Wikio

Permalien :

un téléphone portable

Il se serait bien passé de ce tapage. Il y a gagné une certaine notoriété et, avoue-t-il, "la satisfaction pour l'ego d'être passé à la télé". Mais que de temps perdu pour son entreprise ! Car, avant d'être "l'homme aux SMS trafiqués", Fabrice Myard est un entrepreneur qui veut que sa société tourne. Contacté par des médias français, il a dû venir de Belgique pour montrer sa découverte. Et il est apparu dans des reportages télévisés qui concluaient, quelque peu alarmistes : "Parents, méfiez-vous des pervers qui se feraient passer pour vous en expédiant des SMS à vos enfants".

A l'origine de l'affaire... un simple oubli. Contacté un week-end en urgence par un client de sa société d'hébergement de sites internet, Fabrice Myard veut intervenir à distance sur ses machines. Il doit expédier un SMS pour pouvoir activer un code de déblocage. Or, il n'a pas le bon portable sous la main. Le client s'agite et Fabrice Myard, fébrile, cherche une solution. Il la trouvera sur internet, sous la forme d'un logiciel permettant l'envoi de SMS en modifiant le numéro d'expédition.

Il vient de découvrir le "spoofing" (1). Le phénomène n'est pas nouveau : il concerne l'envoi de SMS depuis des "passerelles internet". Certaines permettent de paramétrer le champ "expéditeur" - d'où la possible "usurpation". Aucune incidence sur la facture : les opérateurs de téléphonie mobile sont généralement capables, pour se faire payer, de remonter jusqu'à la "passerelle". Mais le destinataire, lui, ne voit que le numéro qui s'affiche.

Le silence des autorités belges

Ceci, Fabrice Myard l'ignore encore, mais une fois son problème résolu, il s'inquiète des implications de sa découverte. Il l'évoque avec son expert-comptable, qui, étant membre du collège national des experts judiciaires, le met en contact avec Thierry Mansvelt, expert en informatique et télécoms. Rendez-vous est pris pour une démonstration d'envoi de SMS avec un faux numéro. Thierry Mansvelt dresse un procès-verbal qu'il envoie à deux ministres. Ne reçoit aucun accusé de réception. S'inquiète au bout de quelques semaines et s'entend répondre, offusqué : "pas le temps".

C'est alors que les choses dérapent. Devant le silence des autorités, il décrit l'expérience dont il a été témoin à des journalistes. La Libre Belgique publie un article qui fait beaucoup réagir. Certains journaux évoquent "une énorme faille (...) permettant d'envoyer frauduleusement des SMS au départ de n'importe quel numéro de GSM et donc aux frais de son propriétaire". Faux, et il faudra faire machine arrière. Guère plus de risque pour les systèmes d'envoi d'argent par SMS actuellement en développement : "les gens qui font la promotion des moyens de paiement sont par nature assez paranoïaques, note Philippe Lerouge, directeur associé de NCS, une société de conseil en développement de moyens de paiement mobiles. Ils savent que dans l'heure où vous mettez en place un système de paiement, des petits malins essaieront de le contourner".

"Tout ceci a été fait à chaud", reconnaît aujourd'hui Thierry Mansvelt. Car au-delà du vacarme médiatique, ce qui lui pose problème, outre la possibilité de "faire des blagues"... ou de propager de fausses nouvelles, est le manque de coordination et de transparence des opérateurs. Notamment à l'international. "Tous n'ont pas le même niveau de sécurité, souligne-t-il. Des opérateurs hors d'Europe n'ont pas forcément la même capacité de tracer les appels. Comment est gérée la facturation d'un opérateur à l'autre ? J'ai vu le cas de SMS envoyés au Maroc, depuis le Maroc... et facturés sur un mobile en Belgique. L'opérateur ne voulait rien entendre et renvoyait vers l'opérateur marocain". Des problèmes plus réels mais moins susceptibles de faire les gros titres.

L'alerte arrive en France

Entretemps, La Libre Belgique change son fusil d'épaule. Dans un pays où le traumatisme de l'affaire Dutroux a exacerbé la sensibilité à la sécurité des plus jeunes, le journal affirme : "Si le principe d'une surfacturation n'est pas avéré, celui d'une usurpation d'identité l'est. Et les risques sont énormes, notamment pour les enfants". C'est avec ce nouvel angle d'attaque que l'alerte aux SMS arrive en France.

A la fondation belge Child Focus, le Centre Européen pour Enfants Disparus, le cas est inconnu. Les nouvelles technologies y sont pourtant sous surveillance. "Sur internet, détaille Maryse Rolland, outre les sites pédopornographiques, on trouve des pédophiles qui attirent leurs victimes en se faisant passer pour des enfants dans des chats. Sur 2600 cas signalés en 2006, 2400 ont débouché sur des dossiers à la police fédérale". Sur les téléphones mobiles, on trouve aussi des spams à connotation pédophile : "selon une enquête finlandaise, dans ce pays, un enfant sur quatre en a reçu". Quant aux pièges par SMS, "aucun dossier".

Des questions de sécurité

A-t-on crié au loup trop tôt ? Fabrice Myard reste persuadé que le risque est réel - même si, avec du recul, il doute du bien-fondé d'une alerte : "ce n'est peut-être pas une bonne chose de donner des idées à des gens qui pourraient nuire aux enfants".

Reste le vrai problème : celui du "spoofing" lui-même. "Si tout le monde croit les numéros de portables sécurisés, il faut qu'ils le soient, résume Fabrice Myard. Et s'ils ne le sont pas, les opérateurs doivent le dire". Même constat pour Thierry Mansvelt : "si l'on accepte le principe de la portabilité des numéros, alors ils devront être protégés comme une composante de l'identité des gens". Ce qui suppose des évolutions législatives et techniques auxquelles les opérateurs ne semblent pas prêts. Aujourd'hui encore, ils sont réticents à évoquer ce sujet. Or, le silence entretenu jusqu'alors a permis des dérives bien réelles. Il n'était peut-être pas nécessaire d'élaborer de sombres scénarios d'enlèvements d'enfants pour dénoncer ce problème. Mais il est vrai que le monde de la téléphonie mobile n'était guère sensibilisé au "spoofing". Sur ce point au moins, c'est chose faite.

(1) en français : "usurpation". C'est le fait de prendre une autre identité électronique, par exemple pour envoyer des spams.

• sur Facebook
• sur Google
• sur MySpace
• sur Tape-moi
• sur Twitter
• sur Wikio

Permalien :