Phishing et SPAM : quelle protection attendre de la part de plateformes de communication multicanale ?

Le projet de loi SREN visant à sécuriser et réguler l'espace numérique et protéger les internautes, notamment les mineurs et les entreprises, fait l'objet d'une procédure accélérée engagée par le gouvernement, témoignant de l'importance capitale de la problématique du phishing (hameçonnage), et plus largement du spam. Déposé le 10 mai dernier par Bruno Le Maire, le ministre de l'économie, des finances et de la souveraineté industrielle et numérique et par Jean-Noël Barrot, ministre délégué chargé de la transition numérique et des télécommunications, il a déjà été adopté par le Sénat cet été. Le 17 octobre, l'Assemblée nationale l'a adopté en première lecture avec modifications. Le phishing est l'un des fléaux du XXI^e siècle, tant pour les entreprises que pour les particuliers. Ces pratiques trompeuses consistent à inciter les victimes à divulguer des informations personnelles ou bancaires via email ou sms. De plus en plus élaborées, ces cyberattaques peuvent avoir des conséquences désastreuses.

Dans son rapport d'activité 2022, Cybermalveillance.gouv.fr révèle que l'hameçonnage est la menace la plus importante, et a représenté cette année + 54 % de recherches d'information et d'assistance par rapport à 2021, soit 1,9 million de recherches.

Alors, sur qui faire peser la responsabilité de ces cyberattaques ? À qui appartient-il, au-delà des sanctions légales, d'assurer la protection des usagers ? Et si chacun des acteurs des campagnes de marketing, de l'émetteur au récepteur, en passant par le diffuseur, avait un rôle à jouer à son échelle à travers l'instauration d'obligations déontologiques ?

Une nécessaire collaboration avec les opérateurs télécoms

Outre les dispositions visant à renforcer les peines contre les cyberharceleurs ou la protection des mineurs face aux sites pornographiques, le projet de loi prévoit la mise en place d'un filtre de cybersécurité anti-arnaque à destination du grand public. Un message d'alerte avertira les personnes lorsqu'après avoir reçu un SMS ou un mail frauduleux, elles s'apprêtent à se diriger vers un site malveillant. La création d'une base rassemblant tous les sites malveillants identifiés et signalés par les victimes aux autorités administratives est également prévue.

Mais ce type de dispositif existe déjà, notamment 33700, la plateforme de lutte contre les spams vocaux et SMS de l'AF2M (Association Française pour le Développement des services et usages Multimédias Multi-opérateurs). Créée dès 2005 à l'initiative des opérateurs de télécommunication regroupés en association, et des représentants des éditeurs et prestataires de service, elle a vocation à informer les consommateurs et leur proposer des outils adaptés, dans le cadre des solutions multi-opérateurs de paiement sur facture et de la lutte contre les spams SMS et les spams vocaux).

Les services déontologiques des différents opérateurs, notamment Orange et SFR, remontent quasi quotidiennement des campagnes de smshing (messages/urls) au 33700.

Aller plus loin : responsabilité et déontologie des campagnes marketing à chaque échelon

La déontologie est un outil fondamental dans la lutte contre le phishing, mais elle nécessite que chaque maillon de la chaîne joue son rôle. Aussi, toutes les plateformes multicanal ou les solutions de communication SMS ou digitales ont un rôle essentiel à jouer à travers la mise en place de bonnes pratiques garantissant la sécurité des récepteurs (le grand public), mais aussi des entreprises émettrices. Si aucune obligation légale n'impose à ces plateformes de collaborer avec les opérateurs télécoms, des échanges réguliers ont largement démontré leur efficacité à l'échelle de la plateforme multicanal iSendPro Telecom pour identifier et classer les émetteurs/expéditeurs dits OADC des campagnes SMS (autorisés ou interdits, soumis à autorisation). Ces interactions constructives permettent aux opérateurs télécoms et aux plateformes de routage SMS de se nourrir mutuellement, dans l'objectif commun d'assurer la sécurité des usagers.

Autres bonnes pratiques...

L'instauration d'un process de validation des inscriptions permet notamment d'éviter les campagnes SMS d'arnaques déployées par des spammeurs ou les usurpations d'identité. Pour ce faire, il appartient à la plateforme multicanal de vérifier l'existence de la société en demandant un extrait Kbis et une pièce d'identité ou en recourant à un appel sur un téléphone fixe pour échanger de vive voix avec l'émetteur en devenir.

La création d'une liste de mots-clés, numéros de téléphone et URL interdits a également largement démontré son efficacité, à tout le moins chez iSendPro Telecom, afin de détecter les campagnes SMS douteuses qui auraient été programmées depuis la plateforme. Le service déontologique peut ainsi prendre le relais et effectuer des investigations plus poussées pour vérifier le bien-fondé de la campagne marketing en cours.

De la même façon, il est également possible de créer une liste d'émetteurs interdits, tels que les organismes officiels (Ameli, CPF-GOUV, EDF, Amazon, etc.), et de faire peser la charge de la preuve de l'obtention de l'accord dudit organisme sur l'émetteur.

Sur la base de ces outils, les plateformes qui diffusent des campagnes SMS ou digitales peuvent alors opérer une surveillance déontologique approfondie en affinant le niveau de surveillance en fonction des précédents critères. En 2022 par exemple, iSendPro Telecom a bloqué moins de 4 % des campagnes programmées depuis sa plateforme. La qualité de son trafic a été remarquée par Orange, qui a souhaité étudier les méthodes de travail de la plateforme à l'occasion d'une invitation à une réunion de travail.