Le phreaking (piratage de ligne téléphonique), faille de sécurité, escroquerie, usurpation d’identité : l’opérateur est-il responsable ?
11 novembre 2020.
Trois toulousains âgés de 23 et 24 ans ont été reconnus coupables de faits d’escroquerie s’élevant à 230 000 euros envers la société Orange pour des faits survenus en 2013. Agés de 18 ans à l’époque, le journal le Point rapporte que, selon l’opérateur, les lycéens avaient effectué plus de 350 piratages de la sorte[1].
Une faille de sécurité à l’origine de la fraude
Après avoir découvert une technique permettant de pirater des répartiteurs télécoms collectifs puis récupéré la clé pour ouvrir l’un d’eux, le trio de lycéens s’est fait passer pour des techniciens Orange afin de pouvoir accéder à ces répartiteurs prenant la forme d’armoires électriques. Par la suite, ils ont pris le contrôle de la ligne d’un des clients de l’opérateur téléphonique puis ont composé à répétition des numéros surtaxés renvoyant à un service de conversion du crédit téléphonique. Lorsque suffisamment d’appels ont été passés, ce service fournit un code permettant de récupérer la somme.
Bien que la défense pointât les dysfonctionnements de sécurité au sein du système d’Orange, le trio a été condamné respectivement à 4, 8 et 12 mois d’emprisonnement avec sursis.
Une technique bien connue des hackers
Ce n’est pas la première fois que des faits similaires se produisent. En effet, la fraude relative aux services de télécommunication, nommée phreaking, est encore un moyen de fraude très utilisé par les hackers. Le phreaking touche généralement les entreprises et peut s’effectuer selon trois techniques :
- Le piratage du standard téléphonique « grâce » à une faille de sécurité ;
- L’attaque de la messagerie vocale en détournant le poste téléphonique d’un membre d’une entreprise. Cette technique permet par la suite d’accéder à la messagerie vocale d’un collaborateur et de trouver le mot de passe de sa boite vocale ;
- En activant des fonctions de renvoi d’appels vers des numéros surtaxés.
Ces renvois d’appels tournés vers des numéros surtaxés à l’étranger permettent au phreaker de récupérer des codes qui seront revendus contre des sommes d’argent dont l’importance variera en fonction du nombre d’appels surtaxés passés.
Et l’opérateur dans tout ça ?
De manière générale, lorsqu’une affaire de phreaking se produit, l’opérateur téléphonique se retrouve dans une situation particulièrement délicate puisque c’est sur lui que pèse l’obligation de contrôler la consommation de ses clients. Dans la mesure où l’opérateur, professionnel, est tenu à une obligation de renseignement et un devoir de conseil tout au long de l’exécution du contrat, toute consommation suspecte ou anormale doit être indiquée au client potentiellement victime de piratage, sous peine d’engager sa responsabilité.
Ainsi, il a été jugé, que manquait à son obligation de conseil et d’information le professionnel informatique qui, en cours d’exécution du contrat, n’a pas informé son client de la « […] vulnérabilité du système installé », des « […] moyens de limiter cette vulnérabilité » ainsi que « […] de la nécessité de configurer un mot de passe qui ne soit pas banal » afin d’accroître la sécurité du système téléphonique. [2]
Comment se protéger ?
Lorsqu’une entreprise ou un particulier est victime d’un phreaking, plusieurs actions sont impératives pour assurer de nouveau le plus rapidement possible la sécurité de son service de télécommunication :
- Pensez à porter plainte
- Conservez le plus de preuves possibles pour que votre dossier ait plus de chances d’aboutir
- … et contactez-nous !
Claudia Weber, Avocat fondateur du Cabinet ITLAW Avocats & Céline Dogan, juriste
Les interventions liées au domaine de la télécommunication nécessitent une connaissance accrue du domaine de réglementation sectorielle des télécoms, tant nationale que communautaire et extra communautaire et également des problématiques de droit de la concurrence général et sectoriel, appliqué aux communications électroniques.
ITLAW Avocats vous accompagne de bout en bout : nous accompagnons nos clients dans cette anticipation et aussi dans la défense de leurs intérêts en cas d’attaque sur leur système d’information.
En cas de problème et quelle que soit la nature de l’attaque contre votre SI, ou de vos télecoms, nous sommes à vos côtés pour protéger vos intérêts et gérer au mieux la sortie de crise.
ITLAW Avocat mobilise ses talents et son expertise en matière de télécom, de sécurité, de contrats, d’innovation, de projets informatiques complexes, de protection des données personnelles et de propriété intellectuelle pour vous accompagner dans la sécurisation de vos contrats avec vos opérateurs, ainsi que l’anticipation des failles de sécurité et dans la gestion de crise.
Découvrez nos offres innovantes en matière de sécurité ainsi que nos formations spécifiques en sécurité.
Pour découvrir nos packages “Sécurité” composé de nombreux modèles de document, notamment plaine pénale, ect… contactez-nous.
[1] https://www.lepoint.fr/faits-divers/toulouse-des-lyceens-detournent-230-000-euros-en-piratant-orange-23-10-2020-2397755_2627.php
[2] CA Versailles, ch. 12, 18 déc. 2012, n° 11/04448, SAS Eurofeu c/ SAS Nextiraone France
Pour aller plus loin :
- Le bilan alarmant de l’Agence de l’Union Européenne pour la cybersécurité (ENISA) concernant les cybermenaces et attaques
- Ransomware, comment se protéger techniquement et juridiquement ?
- Télétravail et sécurité : les bonnes pratiques pour anticiper et prévenir
- LA 5G va révolutionner votre transformation digitale : pourquoi ? et comment anticiper ?