Les cybercriminels exploitent désormais le système de péage en flux libre à leur avantage. Ils en profitent pour envoyer des SMS imitant le service de télépéage Ulys, pour voler les données et l'argent des victimes. Une arnaque en recrudescence.
Les arnaques au péage par SMS connaissent une explosion assez inédite en France. Des pirates ont lancé des campagnes d'hameçonnage imitant parfaitement certaines sociétés de télépéage, comme Ulys, pour piéger les conducteurs. Depuis l'instauration du flux libre avec ces autoroutes payantes mais sans barrière, on assiste à une diffusion plus massive des messages frauduleux, qui exploitent la peur de l'amende forfaitaire pour récupérer de l'argent. Nous en avons discuté avec Benoit Grunemwald, expert en cybersécurité.
Des SMS frauduleux qui surfent sur la peur de l'amende forfaitaire des automobilistes
L'essor du péage en flux libre a créé une aubaine inattendue pour les cybercriminels. « Ce que l'on a vu, c'est une recrudescence de SMS et même d'e-mails d'hameçonnage aux couleurs de compagnies de péage, notamment depuis l'instauration du flux libre », explique Benoît Grunemwald, d'ESET France. Il est d'emblée à noter qu'Ulys n'a pas fait l'objet d'une fuite de données. C'est son identité qui est usurpée à des fins malveillantes. Poursuivons.
Le mécanisme est redoutablement efficace. Généralement, lorsque vous passez un péage sans badge, vous avez entre 24 et 48 heures, parfois 72 heures, pour régulariser et payer. L'oubli coûte cher, avec des amendes dissuasives (90 euros au départ), que tout automobiliste redoute. « Les cybercriminels vont utiliser l'opportunité que cette amende soit assez dissuasive, pour envoyer des messages à la volée », précise notre expert.
La stratégie de la peur fonctionne, comme souvent, remarquablement bien. Elle vaut aussi pour d'autres arnaques, comme celle ciblant les utilisateurs d'Ameli. Mais pour ce qui est de la diffusion de l'arnaque au péage imitant Ulys (d'autres pourraient suivre, comme Vinci), avec cette URL, ce lien contenu dans le SMS de phishing, Benoit Grunemwald s'interroge. Les escrocs derrière cette nouvelle arnaque « faisaient-ils des arnaques à la ZFE et/ou aux cartes Vitale, et avant peut-être même au CPF, se sont-ils "recyclés" ? » Pour le moment, difficile de savoir qui se cache derrière l'arnaque.
La reproduction parfaite des sites usurpés ne prend que quelques secondes
Contrairement aux idées reçues, ces SMS ne proviennent pas de faux numéros officiels. « Il n'y a pas d'usurpation, il n'y a pas de spoofing des numéros des sociétés de péage », précise Benoît Grunemwald. Les escrocs utilisent des numéros classiques en 06 ou 07, parfois en piratant des téléphones de particuliers.
Une fois le piège mordu, la sophistication reprend le dessus. « Tu te retrouves sur un hameçonnage malheureusement classique, sur lequel tu vas arriver sur un site qui est plutôt bien fait, qui reprend les couleurs complètes et les codes du prestataire de péage », détaille Benoit Grunemwald.
Si l'on s'arrête une minute sur la reproduction de ces sites, celle-ci atteint une perfection inquiétante. On a pu le voir récemment avec les différentes arnaques imitant Mondial Relay. Avec des outils comme Gophish, l'escroc peut « reproduire un site plutôt efficacement, ça ne lui prend pas plus de 5 secondes ».
Et Benoit de poursuivre : « Le plus long reste de copier l'URL d'origine, et de la coller dans l'outil de d'hameçonnage. » Soit les escrocs utilisent des domaines dédiés, soit ils piratent des sites existants en ajoutant un « /ulys » en fin d'URL, pour donner plus de crédibilité. Quant aux montants demandés une fois que la victime a cliqué et suivi tout le processus, ces derniers restent crédibles : moins de 50 euros généralement, ce qui les rend cohérents avec un vrai péage.
Les bons réflexes pour échapper aux pièges des SMS frauduleux
Pour ne pas tomber dans le piège, la protection passe d'abord par la méfiance. « Si vous n'êtes pas d'accord avec ce passage de péage envoyé, ne le contestez pas en cliquant sur le lien, mais rentrez vous-même les coordonnées du prestataire dans votre navigateur », conseille fermement Benoît Grunemwald. Des outils comme Bloctel sur Android et Begone sur iOS aident à filtrer ces SMS indésirables.
L'application officielle devient votre meilleur allié. « Installer l'application d'Ulys par exemple, c'est être en direct avec le fournisseur. Surtout qu'aujourd'hui, tout le monde a son application mobile. Si on vous demande de l'argent, et si on vous demande quelque chose, en fait si vous n'y avez pas accès dans l'application, c'est que c'est une arnaque », explique avec pédagogie l'expert cybersécurité. Tout cela compense le manque de protection anti-phishing des smartphones, par rapport aux ordinateurs. Seuls les signalements des utilisateurs permettent d'afficher ensuite un numéro comme spam potentiel.
Pour les paiements en ligne, la carte bancaire à usage unique est une solution qui commence à émerger chez les banques. Et porter plainte reste crucial, même pour de petits montants. « Même vous vous faites avoir de 5 euros, en fait si, ça reste utile, et vous n'êtes pas obligé de vous déplacer directement en commissariat », insiste Benoît Grunemwald. La plateforme gouvernement en quatre clics, 17Cyber, permet de signaler ces arnaques facilement en ligne très facilement.
Les récentes arrestations d'administrateurs français de BreachForums, supermarché de la fuite de données, et celle d'un jeune de 17 ans pour le piratage de Free nous rappellent que la menace vient aussi de France, de l'intérieur, ce qui les rend d'autant plus dangereuses. Voilà pourquoi il faut aussi faire preuve de méfiance avec cette arnaque émergente au péage, qui sera plus que jamais d'actualité tout au long de l'été.
