SMS frauduleux et Imsi-catchers : les dessous d’une escroquerie dernier cri

Du matériel d’espionnage réservé aux services étatiques, un énigmatique vendeur chinois… La justice française enquête depuis plusieurs mois sur une arnaque inédite, avec des centaines de milliers de cibles bombardées de messages attribués à l’assurance maladie ou contactées par de faux conseillers bancaires.

Ce 31 décembre 2022, les policiers du Xe arrondissement de Paris sont intrigués par une voiture qui circule à faible allure, dont la fenêtre arrière est obstruée par un large caisson gris. En contrôlant le véhicule, ils découvrent un bloc en métal recouvert de plusieurs inscriptions en chinois, relié à des fils rouges allant vers le coffre. A la hauteur du siège avant, un câble électrique est posé au sol et remonte jusqu’au capot. Interpellée et placée en garde à vue, la conductrice, Zoé M., 23 ans, reconnaît que le dispositif lui a été confié par un individu qui la payait pour conduire le véhicule dans les rues de la capitale.

Un mois et demi plus tard, le même type de matériel est saisi, cette fois par les gendarmes, à bord d’un autre véhicule utilisé d’ordinaire comme ambulance. Deux alternateurs sont reliés à la batterie, une caisse noire est posée sur le brancard et une grande barre grise occupe la plage arrière. Placé à son tour en garde à vue, le conducteur, Salim B., 22 ans, explique avoir été recruté par un mystérieux mandataire sur Snapchat. Payé «1 000 euros par semaine», lui aussi avait pour mission de circuler dans Paris. «Tous les arrondissements sauf les XIXe et XXe, précise-t-il face aux enquêteurs. Il me disait d’aller là où il y a du monde, donc j’allais sur les Champs-Elysées, la tour Eiffel, le boulevard Haussmann…» Son employeur lui aurait également demandé d’écumer quelques communes huppées de l’Ouest parisien, comme Suresnes, Boulogne-Billancourt ou Neuilly-sur-Seine. Seules consignes : éviter de porter un survêtement et ne surtout pas se faire flasher.

Des interceptions massives et sauvages

Après analyse technique du matériel saisi, les résultats sont formels : comme celui découvert six semaines plus tôt dans la voiture de Zoé M., le dispositif installé à bord de l’ambulance conduite par Salim B. est un Imsi-catcher. Théoriquement réservé aux services de renseignement et aux unités spécialisées de police ou de gendarmerie, cet outil permet d’aspirer les numéros de tous les téléphones portables dans un rayon d’environ 200 mètres. Le boîtier simule une fausse antenne relais et s’intercale entre l’appareil et les antennes relais de l’opérateur téléphonique classique. Une fois les numéros identifiés, la machine leur répercutait des SMS frauduleux attribués à l’assurance maladie, qui proposait à leur utilisateur de mettre à jour leur carte vitale, puis d’entrer leurs coordonnées bancaires. Au cours des semaines précédentes, plusieurs signalements de clients mécontents ont été enregistrés par la société Orange, qui a porté plainte début octobre. A l’issue de recherches approfondies, les techniciens de l’opérateur ont constaté que les téléphones des victimes disparaissaient du réseau durant quelques secondes à quelques minutes. Après avoir aspiré les numéros sur la fréquence 4G, l’Imsi-catcher basculait sur la fréquence 2G, moins sécurisée, pour envoyer les messages frauduleux. Lors de leur filature, les gendarmes eux-mêmes en ont reçu. Au total, plus de 240 000 clients d’Orange ont été accrochés entre septembre et février.

Ces interceptions massives et sauvages ont également servi de base à une escroquerie plus sophistiquée. Quelques minutes après avoir reçu un SMS, certaines victimes recevaient un appel d’un individu se présentant comme un conseiller bancaire, qui leur indiquait que le message qu’elles venaient de recevoir était frauduleux et qu’elles devaient faire opposition au plus vite. Cet interlocuteur les mettait alors en contact avec un second individu se présentant comme policier, qui les prévenait qu’elles risquaient désormais d’être victimes d’un cambriolage et leur demandait si elles possédaient des objets de valeur. En cas de réponse positive, le faux policier leur proposait de tout mettre à l’abri au coffre et leur demandait de placer bijoux et cartes bleues dans un sac, en leur précisant qu’un coursier allait passer pour tout récupérer. Plusieurs victimes, pour la plupart des personnes âgées, ont ainsi été dupées et ont remis l’intégralité de leurs objets de valeur aux escrocs. «L’ensemble des investigations téléphoniques et des recoupements effectués faisaient ressortir un mode opératoire très organisé», soulignent les policiers dans un rapport de synthèse.

Deux suspects «start-uppeurs» et «autodidactes»

Qui se cache derrière cette gigantesque fraude ? Et comment ses artisans ont-ils pu se procurer les deux Imsi-catchers au cœur de l’escroquerie ? Grâce à l’exploitation d’un téléphone qui servait de télécommande à un des appareils, les enquêteurs du 1er district de police judiciaire (DPJ) sont parvenus à remonter jusqu’à deux individus, Abdoulaye K. et Mohamed M., respectivement directeur général et président de la société Scion Data Agency, basée à Neuilly-sur-Seine (Hauts-de-Seine), qu’ils ont cofondée en février 2021. Sur son site internet, disparu depuis, l’entreprise revendiquait être un acteur du «marketing digital» grâce à «l’envoi de SMS de masse» et se targuait de détenir une base de données de 20 millions de profils.

Face aux policiers, les deux entrepreneurs se montrent plutôt loquaces. Abdoulaye K., 27 ans, se présente comme un «autodidacte» spécialisé dans «le Web et la création d’applis». S’il ne dément pas être propriétaire d’un des deux appareils saisis, le suspect assure qu’il ne s’agit pas d’un Imsi-catcher, mais d’un «cell broadcaster»«Techniquement, c’est totalement différent, insiste-t-il. L’Imsi-catcher sert à intercepter […] alors que le cell broadcaster sert à envoyer de la donnée. L’Imsi-catcher est plus une technologie d’espionnage que le cell broadcaster». Si ce mode de diffusion cellulaire existe bel et bien, il est utilisé par le gouvernement pour alerter rapidement les citoyens des situations de crise, notamment météorologiques. C’est précisément un des objectifs officiellement affichés par Scion Data Agency : selon Abdoulaye K., sa société ne faisait que «développer» et «tester» des «prototypes» afin de les vendre à des «organismes étatiques». Et ce dans le but de «prévenir les populations» en cas de catastrophes ou d’épidémies et ainsi d’éviter «ce qu’il s’est passé au début du Covid», lorsque des «surcharges de réseau» avaient freiné l’envoi de SMS gouvernementaux.

Cette défense a également été adoptée par le président de Scion Data Agency, sur le portable duquel plus de 16 000 numéros de téléphone ont été découverts. Soucieux de «se positionner sur un marché qui bouge», Mohamed M., «start-uppeur» de 31 ans, assure avoir lui aussi voulu répondre à un impératif politico-administratif. «La technologie que j’ai développée est obligatoire sur tous les territoires européens par un décret européen, assure-t-il sans rire. C’est un arrêt qui oblige tous les Etats à se doter de ce dispositif afin notamment de prévenir les populations en cas de catastrophes naturelles». Preuve de leur bonne foi, les deux hommes affirment même avoir été auditionnés par la Commission nationale de l’informatique et des libertés dans le cadre de l’habilitation de leur matériel. Une information formellement démentie auprès de Libération par l’autorité administrative indépendante, qui indique en revanche avoir ouvert une procédure de contrôle à la suite d’une plainte sur les agissements de la société. Mis en examen pour une dizaine d’infractions, dont «escroquerie en bande organisée», «détention non autorisée d’un dispositif technique ayant pour objet la captation de données informatiques» et «introduction frauduleuse de données dans un système de traitement automatisé», Abdoulaye K. et Mohamed M. ont été placés en détention provisoire.

Un recours privé inquiétant

D’où provient ce matériel d’espionnage dont le commerce et l’usage sont rigoureusement réglementés en France ? Si les deux dirigeants de Scion Data Agency ont admis avoir acheté leur appareil en Chine, ils ont été moins diserts sur le profil du mystérieux vendeur. En épluchant les comptes de l’entreprise, les policiers ont cependant identifié un virement suspect de 18 430 euros sur un compte bancaire chinois à destination d’un certain Kevin Y. Un transfert effectué à peine une semaine après la création de la boîte. Depuis, l’enquête a permis d’établir que cet individu était bien vendeur de matériel d’interception téléphonique et que sa société disposait de bureaux en Chine, mais aussi au Royaume-Uni, au Pérou et à Dubaï. Sur son compte Facebook, Kevin Y. déclare être originaire de Lima, au Pérou, avoir étudié l’ingénierie informatique à l’université supérieure de Lahore au Pakistan et résider actuellement à Shenzen, en Chine. Poursuivant leurs investigations dans le cadre d’une enquête sous pseudonymes en se faisant passer pour des acheteurs intéressés, les gendarmes du Centre de lutte contre les criminalités numériques sont parvenus à entrer en contact avec Kevin Y., qui leur a indiqué avoir un revendeur d’Imsi-catchers en France : Scion Data Agency.

La privatisation du recours à des Imsi-catchers apparaît d’autant plus inquiétante que leur usage par les services de renseignement est extrêmement encadré. Comme tout matériel dont la mise en œuvre peut porter atteinte à la vie privée, leur acquisition et leur détention doivent faire l’objet d’une autorisation expresse d’une commission ad hoc, dite R226, créée en 2015. Le nombre d’Imsi-catchers à la disposition des services est d’ailleurs contingenté par ministère : 70 pour l’Intérieur, 20 pour la Défense, 5 pour Bercy et 5 pour la chancellerie. Pourtant, comme le démontre l’enquête judiciaire en cours, importer une telle machine est d’une facilité confondante. Il n’est même pas nécessaire de se rendre sur le Dark Web, quelques clics suffisent pour en acheter sur des sites chinois ayant pignon sur Toile, puis de se les faire envoyer par la poste. «C’est quasiment indétectable, concède un spécialiste du renseignement. Dès lors qu’un Etat, en l’occurrence la Chine, permet la vente non réglementée de ce type d’appareils, ça devient le Far West.» Une prévention qui va bien au-delà des technologies d’espionnage.

Selon un rapport de la section cyber du parquet de Paris, que Libération a pu consulter, la société de Kevin Y. possède de très nombreuses similitudes avec une autre entreprise spécialisée dans le secteur de la défense, notamment le contact téléphonique de référence. Ainsi, le vendeur identifié dans l’enquête française n’écoule pas seulement du matériel d’interception, il propose aussi des armes de guerre, en particulier des robots tueurs, des drones d’attaque et des missiles sol-sol. Toujours selon ce rapport, qui s’inquiète du «risque d’arrivée de ce type de matériel sur le territoire français», Kevin Y. servirait ainsi de «point de contact» pour plusieurs sociétés technologiques chinoises à l’étranger. A ce jour, son profil est officiellement toujours actif.

ARTICLES CONNEXESPLUS DE L'AUTEUR

La rédaction de JForum, retirera d'office tout commentaire antisémite, raciste, diffamatoire ou injurieux, ou qui contrevient à la morale juive.

S’abonner
Notification pour
guest

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.

1 Commentaire
Le plus récent
Le plus ancien Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
Nicole

C’est bien la suppression des frontières
Bravo la gauche encore

0
Répondre