🔴 French Days en direct 🔴 French Days en direct

Un filtre anti-arnaques sur Internet dès la fin 2023, voici comment cela pourrait fonctionner

Alexandre Boero
Chargé de l'actualité de Clubic
20 février 2023 à 17h10
27
© Shutterstock
© Shutterstock

Face à la multiplication des fraudes par SMS, le gouvernement travaille à la création d'un filtre « anti-arnaques », qui protégerait davantage les internautes et mobinautes peu sensibilisés au risque cyber. Il pourrait voir le jour dès cette année.

« Qui n'a pas reçu de faux SMS lié au CPF, sur la Sécurité sociale ou sur les vignettes Crit'Air ? C'est tout simplement insupportable », s'est indigné le ministre délégué chargé du Numérique Jean-Noël Barrot, sur le plateau de nos confrères de franceinfo lundi matin. Après la création du service Cybermalveillance.gouv.fr il y a cinq ans dont nous avons eu l'occasion de vous parler à plusieurs reprises sur Clubic, dédié aux victimes, le gouvernement travaille actuellement au développement d'un filtre anti-arnaques, à l'utilité cette fois proactive.

Un filtre qui agira comme un avertissement à ne pas visiter un site frauduleux

Comment est supposé fonctionner ce filtre anti-arnaques ? « Il préviendra préventivement l'internaute, ou l'usager, lorsqu'il s'apprête à se diriger vers un site qui a été identifié comme un site à arnaques », explique le ministre Jean-Noël Barrot, comparant le futur outil à « un rempart contre ces arnaques aux faux SMS ».

De façon plus pratique, si vous recevez un SMS vous invitant par exemple à cliquer sur un lien censé vous rediriger vers le site Ameli de l'Assurance maladie, et que vous tapotez sur le lien, vous recevrez automatiquement un message qui vous indiquera, avant/au moment d'entrer sur le site, que ce dernier a été identifié comme étant un site diffusant une arnaque.

Ce message (sans doute sous la forme d'une notification) n'empêchera pas l'utilisateur de se rendre sur le site propulsé par l'escroc. Il émettra seulement un avertissement, destiné à le dissuader de s'y rendre.

Une expérimentation qui pourrait débuter dès le mois de septembre

Si les détails techniques précis ne sont pour l'heure pas connus, le ministre Barrot a avancé un début de calendrier pour le lancement de ce filtre. « Nous travaillons à ce qu'à l'horizon de la Coupe du monde de rugby, une première version puisse être disponible ». Rappelons que le Mondial de l'ovalie aura lieu en France du 8 septembre au 28 octobre 2023.

Il s'agira ici d'une version expérimentale, destinée à être améliorée et enrichie, avant d'être généralisée d'ici les Jeux olympiques de Paris 2024, moins d'un an plus tard. « C'est un sujet complexe, qui prend du temps et qu'il nous faut faire sérieusement », explique le Mr Barrot.

Avec ce fameux filtre, le gouvernement veut garantir aux Français la cybersécurité du quotidien. Si vous êtes victime d'une escroquerie en ligne, outre la plateforme Cybermalveillance.gouv.fr, il est conseillé de transférer le message frauduleux au numéro 33 700, et de signaler l'arnaque auprès du site internet-signalement.gouv.fr.

Source : franceinfo

Alexandre Boero

Alexandre Boero

Chargé de l'actualité de Clubic

Chargé de l'actualité de Clubic

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJC...

Lire d'autres articles

Journaliste, chargé de l'actualité de Clubic. Reporter, vidéaste, animateur et même imitateur-chanteur, j'ai écrit mon premier article en 6ème. J'ai fait de cette vocation mon métier (diplômé de l'EJCAM, école reconnue par la profession), pour écrire, interviewer, filmer, monter et produire du contenu écrit, audio ou vidéo au quotidien. Quelques atomes crochus avec la Tech, certes, mais aussi avec l'univers des médias, du sport et du voyage. Outre le journalisme, la production vidéo et l'animation, je possède une chaîne YouTube (à mon nom) qui devrait piquer votre curiosité si vous aimez les belles balades à travers le monde, les nouvelles technologies et la musique :)

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (27)

Snoopy2309
Un filtre anti-arnaques sur Internet dès la fin 2023, voici comment cela pourrait fonctionnerait<br /> COQUILLE dans le titre… cela pourrait fonctionner ou cela fonctionnerait…
vbond007
C’est le problème des SMS.<br /> Pour éviter la fraude, il a été mis en place des numéros courts qu’il faut souscrire auprès des opérateurs (et qui coutent chers) et ainsi en communiquant via ce numéro court à 5 chiffres, il est possible de savoir qui envoie le SMS.<br /> Malheureusement, il est possible de personnaliser l’émetteur, dans ce cas le numéro court n’apparait plus et permet de tromper les gens (genre le message est envoyé de l’émetteur « AMELI » ou « ANTS » etc).<br /> Je pense que la solution viendra du RCS (le fameux SMS 2.0) qui, pour pouvoir être utilisé, nécessite une déclaration d’agent auprès des opérateurs et permet ainsi de certifier l’émetteur (je parle des communications BtoC comme celles évoquées dans cette article)<br /> Il faut que cette solution soit déployée sur tous les terminaux pour ainsi protéger les utilisateurs.<br /> Seul hic : Apple…<br /> Apple refuse de rendre ses téléphones compatibles avec le RCS !<br /> Donc s’il y a une solution sécurisée, elle ne sera pour le moment disponible que sur les Android.<br /> Vous avez déjà probablement reçu des RCS de Chronopost par exemple ou d’autres marques qui utilisent ce canal pour communiquer comme elles le font par SMS.
madforger
C’est pas de filtres qu’il faut (qui en plus, souvent ne servent à rien ou donnent des faux positifs) il faut juste éduquer les gens pour qu’ils soient moins stupides, pour pas dire autre chose, mais c’est vrai c’est moins high tech et on reprendrait la main sur les contenus et nos machines… argh quelle horreur !
jcc137
Disons qu’il faut, et les filtres, et l’enseignement (ou l’information selon le niveau de connaissances en informatique). N’importe qui peut se laisser avoir, beaucoup plus ceux qui ne maîtrisent pas les outils de communication.
AlexLex14
Hello,<br /> Je ne suis pas à l’origine du titre, mais j’avoue ne pas avoir fait gaffe à la relecture.<br /> Notre chère SR Marion a corrigé ça entre-temps <br /> Merci,<br /> Et bonne soirée
zoup01
Il y a des personnes qui n’en ont strictement rien à faire de l’informatique, leur vie est ailleurs, ce sont à eux qu’il faut penser et qu’il faut protéger .<br /> Je connais un couple d’amis dans ce cas, et ils ne fréquentent pas clubic. ( à peine s’il envoient un mail si vraiment ils ne peuvent pas faire autrement).
Yannick2k
ben ouais, on va empêcher les gens d’acheter une voiture parce qu’il ne connaissent rien en mécanique, de pas acheter un chien parce qu’ils ne connaissent rien à la race, de pas payer les impôts parce qu’ils ne comprennent rien à l’administration française…
MattS32
jcc137:<br /> N’importe qui peut se laisser avoir, beaucoup plus ceux qui ne maîtrisent pas les outils de communication.<br /> Il y a principalement deux types de publics qui se font avoir : ceux qui ne maîtrisent pas et ceux qui se croient inatteignables et son trop sûrs d’eux…
Muggsy68
De croire que RCS est la solution le fait bien rire.<br /> N’importe qui peut envoyer un mail en se faisant passer pour « [email protected] » sans en posséder l’adresse mail donc aucune raison qu’il en soit différent pour les sms/rcs ou autre.<br /> L’informatique permet de tout faire et défaire.<br /> On en arrivera à une identité numérique unique, quasiment infalsifiable et là oui, ce sera plus compliqué.<br /> Mais ça reviendrait à avoir un one time number au lieu de one time password et seul l’émetteur et le destinataire le saurait le temps d’envoyer l’information.<br /> Autrement je ne vois pas
MattS32
Muggsy68:<br /> N’importe qui peut envoyer un mail en se faisant passer pour « [email protected] » sans en posséder l’adresse mail<br /> Avec DMARC et DKIM, non, ce n’est plus aussi simple… Tu peux toujours faire l’envoi. Sauf que le serveur mail du destinataire, s’il est configuré correctement, n’acceptera même pas le message… Parce qu’il sait qu’un message légitime venant de tel ou tel domaine connu est censé être signé (c’est l’enregistrement DNS du domaine qui donne l’information, ainsi que la clé permettant de vérifier la validité de la signature).
Squeak
Il existe pourtant une méthode qui serait très sûre : les communications par e-mail venant de sources officielles utiliseraient le principe de la signature électronique. Une clé publique permettrait de vérifier l’authenticité des messages. Et bien entendu former davantage les utilisateurs à ne pas se laisser berner.
MattS32
Squeak:<br /> Il existe pourtant une méthode qui serait très sûre : les communications par e-mail venant de sources officielles utiliseraient le principe de la signature électronique.<br /> C’est déjà le cas.<br />
juju251
@MattS32<br /> Non.<br /> Il s’agit ici d’un chiffrement assuré pour le transport de l’email (si je ne me trompe pas, c’est Gmail sur ta capture d’écran).<br /> Ce n’est pas équivalent à une signature électronique dont parle @Squeak.<br /> En aucun cas un chiffrement assuré par le « transporteur » de l’email n’a la même valeur (ni la même fonction d’ailleurs) qu’une signature électronique.<br /> Le chiffrement ne fait que chiffrer le mail entre le serveur du service mail et la machine qui consulte le mail. Ce n’est pas du tout une authentification quelconque de l’auteur du mail.<br /> D’ailleurs, TOUS les mails sur gmail affichent le même message de chiffrement TLS.<br /> Une signature permet d’authentifier l’auteur du message (pour peu que l’on ait répertorié la signature comme « valide » ou qu’elle soit stockée dans une infrastructure à clés publiques).<br /> Pour plus d’infos sur les infrastructures à clés publiques (et sujets liés) : Infrastructure à clés publiques — Wikipédia
Korgen
Le meilleur filtre c’est le cerveau humain. C’est si difficile de ne jamais cliquer depuis un mail ou un sms ?
MattS32
Juste au dessus de la ligne « Chiffrement standard », qui effectivement est relatif au transport, il y a une ligne « signé par ». Et là, tu vois que celui qui l’a signé, c’est bien dgfip.finances.gouv.fr, et pas Google.<br /> C’est grâce à DKIM/DMARC que c’est possible. L’enregistrement DNS de dgfip.finances.gouv.fr contient une clé publique, dans l’enregistrement pf3._domainkey.dgfip.finances.gouv.fr :<br /> dkim-dgfip1143×453 26 KB<br /> Quand les serveurs de la DGFIP envoient un mails, ils incluent dans les en-tête un champ DKIM qui contient le sélecteur à utiliser pour récupérer la clé publique dans les enregistrement DNS (la clé étant dans l’enregistrement ._domainkey.dgfip.finances.gouv.fr, dans cet exemple le sélecteur est pf3) et une signature du mail calculée avec la clé privée correspondante, et donc vérifiable avec la clé publique. En l’occurrence, il y a même une double signature, avec deux sélecteurs différents (« mel » et « pf3 », en rouge ci-dessous) :<br /> headers-mail-dgfip1384×583 67.6 KB<br /> Donc quand Gmail reçoit ce mail, il va lire les deux clés publiques dans les enregistrements DNS de dgfip.finances.gouv.fr et vérifier que les deux signatures dans le mail sont valides.<br /> Et il y a en plus l’enregistrement SPF, là aussi dans les DNS, qui permet à Google de vérifier que le serveur dont il a reçu le mail est bien un serveur autorisé à émettre des mails dont l’expéditeur est @dgfip.finances.gouv.fr (en vert ci-dessus, le résultat de la vérification, ajouté dans les en-têtes du mail).<br /> Dans le cas présent, l’enregistrement SPF donne deux plages d’IP et une IP qui sont habilitées à émettre des mails au nom de la DGFIP :<br /> spf-dgfip1152×392 14.7 KB<br /> Donc là, ce mail, on a une triple garantie qu’il vient bien de la DGFIP :<br /> il est parti d’un serveur explicitement autorisé à émettre des mals @dgfip<br /> il est signé avec deux clés privées différentes appartenant à la DGFIP.<br /> Pour aller avec tout ça, il y a aussi l’enregistrement DNS DMARC, qui permet de donner des instructions au serveur de destination sur ce qu’il doit faire en cas d’échec de validation d’un mail :<br /> dmarc-dgfip1154×214 8.35 KB<br /> Ici, p=none dit au serveur de destination qu’il n’y a pas d’instruction particulière de la part de la DGFIP, c’est au serveur de destination de décider quoi faire. On pourrait avoir par exemple à la place p=reject pour lui demander explicitement de rejeter directement les mails échouant aux vérifications, sans en informer le destinataire, ou p=quarantine pour l’envoyer dans le dossier indésirables (à noter quand même que ces instructions sont indicatives, le serveur de destination n’a pas une obligation absolue de les suivre, et notamment le p=none n’empêchera pas Gmail de flaguer le mail comme indésirable).<br /> sp=reject dit que tout mail provenant d’un sous-domaine de dgfip.finances.gouv.fr et échouant aux validations doit être rejeté.<br /> pct=100 indique que la politique indiquée par « p= » doit être appliquée à 100% des messages échouant (donc si on avait p=quarantine et pct=50%, ça voudrait dire que la DGFIP demande que la moitié des mails échouant aux tests soient mis en spam).<br /> Et les deux adresses mails rua/ruf, c’est des adresses mail auxquelles les serveurs recevant des mails invalides peuvent envoyer automatiquement leur rapport d’analyse, pour informer la DGFIP des tentatives d’usurpation (rua pour des rapports « statistiques », du genre « tel jour on a reçu tant de mails qui ont échoué aux tests », ruf pour des rapports détaillés, contenant une copie du mail incriminé).
ultrabill
DKIM assures juste que l’email viens d’un serveur légitime pour ce domaine. Tu peux acheter finances-gouv.com pour envoyer des mails signés et berner les imprudents.
MattS32
Oui, bien sûr. Après c’est une question d’information des gens : à la longue on devrait savoir que finances-gouv.com n’est pas un domaine légitime…<br /> La première étape, c’est de regarder si le domaine de l’adresse d’expédition est légitime. Sur ce point, il n’y a à peu près que l’éducation/information des gens qui peut faire quelque chose.<br /> Ensuite, vérifier si l’utilisation de ce domaine est légitime. Et c’est la que DKIM intervient.
zoup01
Avec le simple solution de l’éducation, tu ne te mets absolument pas au niveau des personnes qui n’en ont rien à faire de l’informatique …( et qui ne feront jamais la différence entre un gouv.fr et un gouv.com).<br /> comme dit un proverbe anglais:" On peut emmener le cheval à l’abreuvoir, mais on ne peut pas le forcer à boire"<br /> À minima 17% de la population ne comprennent rien, auquel il faut ajouter ceux ( très nombreux) que cela n’intéresse pas du tout, ceux pour lesquels le numérique est juste une contrainte.<br /> C’est bien à l’état qui a voulu et mis en place la numérisation des services de mettre en place des systèmes de protection automatiques et transparents des utilisateurs.<br /> Gouvernement.fr<br /> Comment agir contre l’illectronisme<br /> Pour agir contre l’incapacité à utiliser des appareils numériques, l’État privilégie la formation, à la fois des aidants numériques, et des citoyens. Focus.<br />
arnaques_tutoriels_aide_informatique_tests
Ca c’est vrai ! La plus grosse faille c’est bien l’humain…et jamais sanctionné !
Than
Et punir sévèrement la moindre arnaque, en fait. Juste ça.<br /> Pourquoi la charge de l’effort porte sur ceux qui se font harceler, plutôt que sur les harceleurs ?<br /> Fais un exemple où tu liquides et fais payer une belle amende à ce genre d’arnaque, et ça va rendre le business vachement moins lucratif et sans risque.
MattS32
Malheureusement pour des cas comme ça, je vois pas trop de solution, à part des solutions excessivement intrusives, du genre liste blanche, et qui en plus devraient être activées par défaut chez tout le monde, parce qu’ils ne les activeront pas d’eux même…
Than
Merci pour l’explication ! (et le temps pris pour &lt;3).
laser85
en esperant que la fiabilite de ce filtre soit au rendez vous sinon je n’en vois pas l’interet
jvachez
En gros ils réinventent ce que Microsoft, Google, Mozilla ont déjà inventé depuis longtemps.<br /> Il y a déjà des messages d’avertissement une fois les sites détectés.
Stef_R
Il y a bien un N° donné sur le site : Accueil Particuliers | Service-public.fr<br /> … et ça doit être Gaston à l’autre bout… y a personne qui répond. (comme d’habitude)<br /> Info Escroqueries<br /> Par téléphone<br /> 0 805 805 817<br /> Du lundi au vendredi de 9h à 18h30.<br /> Numéro vert (appel gratuit depuis la France).
vbond007
Sauf que n’importe qui ne peut pas envoyer de RCS « entreprise ».<br /> Comme je le dis il faut déclarer un agent qui identifie l’entreprise émettrice. Et cet agent passe par un process de validation des opérateurs.<br /> Ca permet d’éviter l’usurpation d’identité.
juju251
MattS32:<br /> Juste au dessus de la ligne « Chiffrement standard », qui effectivement est relatif au transport, il y a une ligne « signé par ». Et là, tu vois que celui qui l’a signé, c’est bien dgfip.finances.gouv.fr, et pas Google.<br /> Ah, oui, je n’avais pas les yeux en face des trous. <br /> Après, pour chipoter, DKIM c’est une signature en fonction du domaine et pas de l’auteur du mail directement (mais ce n’empêche que tu as raison : Le mail en question est bien chiffré).
Voir tous les messages sur le forum
Les tendances

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Un filtre anti-arnaques sur Internet dès la fin 2023, voici comment cela pourrait fonctionner Un filtre anti-arnaques sur Internet dès la fin 2023, voici comment cela pourrait fonctionner
Après Netflix, le CPF, Ameli... cette nouvelle arnaque par SMS concerne la vignette Crit'air Après Netflix, le CPF, Ameli... cette nouvelle arnaque par SMS concerne la vignette Crit'air
Cybersécurité : ces projets que la France va soutenir pour devenir un champion mondial Cybersécurité : ces projets que la France va soutenir pour devenir un champion mondial
Attention : ces fausses contraventions veulent vous mettre à l'amende ! Attention : ces fausses contraventions veulent vous mettre à l'amende !
Séisme en Turquie : les arnaques aux dons (Twitter, PayPal...) se multiplient Séisme en Turquie : les arnaques aux dons (Twitter, PayPal...) se multiplient