Le cadre légal actuel en Belgique ne permet pas d’appliquer une mesure de protection efficace contre le smishing (l’hameçonnage par SMS), à savoir le filtrage proactif des messages par les opérateurs téléphoniques. Ce sera prochainement possible, promet la ministre des Entreprises publiques.
« Le plus grand obstacle à la lutte contre le smishing ciblé aujourd’hui est le fait qu’il n’est actuellement pas encore légalement possible de filtrer les messages », a concédé mercredi en commission de la protection des consommateurs la ministre Petra De Sutter (Groen).
La problématique a pris les dimensions d’un fléau technologique. Les préjudices financiers se chiffrent déjà en dizaines de millions d’euros pour les cas connus mais l’impact négatif s’avère bien plus critique. Cela touche les entreprises dont la réputation est malmenée. Cela menace les citoyens qui risquent, dans certaines escroqueries, d’entrer en possession de produits contrefaits tels que des médicaments.
Il faut dire que les fraudeurs envoient des SMS/MMS qui semblent provenir d’un destinateur fiable comme une banque, bpost et d’autres entreprises publiques. Le but recherché tient naturellement à soutirer des informations de manière malhonnête, voire à dépouiller les victimes.
Filtre anti-spam version SMS
Ces messages textuels restent difficiles à authentifier pour les personnes qui les reçoivent. Pourtant, on sait que ce type de fraude peut, dans une large mesure, être évité par un filtrage automatique ciblé des messages tant entrants que sortants.
Cela signifie que le contenu et les métadonnées des messages pourraient être analysés à l’aide d’algorithmes à la recherche de schémas suspects. Le contenu pourrait être examiné sur base d’une liste de mots et d’URL suspects, à l’instar des filtres de courrier indésirable de boîtes e-mail. Tandis que les métadonnées pourraient être contrôlées sur base du nombre de messages, de l’expéditeur, etc.
Ce filtrage automatique permettrait de détecter les messages frauduleux et de les bloquer ou de les remplacer l’URL par un avertissement.
Vous avez mentionné à l’époque que des investissements seraient faits dans des systèmes qui permettraient de filtrer automatiquement les messages texte entrants et sortants. De tels systèmes sont très importants pour protéger les personnes contre la fraude sur Internet.
Stop Phishing
Profitant du plan de relance, la ministre De Sutter compte aider financièrement les opérateurs télécoms à investir dans des systèmes anti-fraude à travers le projet Stop Phishing. L’objectif dudit projet est de détecter et de bloquer les tentatives de phishing et les tentatives de fraudes réalisées via les réseaux de télécommunications grâce à la mise en œuvre de plateformes de protection chez les opérateurs belges, en collaboration avec le Centre pour la Cybersécurité Belgique (CCB) et le régulateur belge des télécommunications (IBPT) .
L’ambition est d’implémenter des plateformes ultramodernes avec un maximum d’automatisation, en ligne avec les recommandations de l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA) et de la fédération internationale des opérateurs et fabricants de mobiles (GSMA).
Seulement voilà, il y a à ce propos un poste vacant au centre fédéral pour la cybersécurité, qui cherche un chef de projet.
« Le recrutement est de la responsabilité du CCB qui m’a informé qu’il n’est pas facile de trouver un candidat approprié pour le profil très spécifique en ce moment en raison de la rareté sur le marché du travail, mais que la recherche continue », a précisé Petra De Sutter.
Le projet Stop Phishing ne devrait donc pas démarrer avant la fin de l’année. Sans oublier que tous les scénarios doivent encore être examinés, y compris le lancement d’un appel d’offres. Et que le cadre juridique actuel ne permet toujours pas un filtrage systématique des messages SMS.
La loi est dure…
Une initiative juridique devait donc être prise. La ministre en est bien consciente puisqu’elle a présenté mercredi matin en commission un projet de loi transposant le Code européen des communications électroniques et modifiant diverses dispositions sur les communications électroniques.
Parmi les mesures, il y en a une spécifique permettant aux opérateurs de filtrer de manière proactive tous les messages SMS pour détecter d’éventuelles fraudes.
Du côté des entreprises telcos, elles devront effectuer ce filtrage conformément au règlement général sur la protection des données (RGPD), c’est-à-dire vérifier, entre autres, si la mesure est efficace et proportionnée. Et les opérateurs devront par ailleurs se montrer transparents sur les erreurs qu’ils commettraient éventuellement.
