Une PME sans histoire reçoit une facture téléphonique d’un montant faramineux. Elle vient de consommer en un mois l’équivalent de trois ou cinq ans de communications. Sans changer ses habitudes pourtant. Elle vient d’être victime d’un phreaker.

Le phreaking, ou piratage d’installation téléphonique, connaît de multiples formes. La plus répandue consiste à pirater la messagerie d’un abonné, accessible depuis l'extérieur, dans le but de prendre le contrôle de son installation et activer des fonctions de renvoi d'appels vers l'extérieur. Vers des numéros surtaxés à l’étranger le plus souvent. Plusieurs centaines d’appels vers ces numéros surtaxés sont parfois générés en quelques heures, la nuit et les week-ends généralement pour ne pas éveiller de suspicion.

A moins d’employer des experts en la matière et d’être très vigilants, l’entreprise ne s’en rendra souvent compte qu’à la réception de la facture. C’est-àdire trop tard. Il existe cependant des moyens techniques et des bonnes pratiques pour réduire les risques, que toute entreprise devrait mettre en oeuvre. A défaut, il reste les réponses légales.

Le phreaker

Les moyens employés par les phreakers pour commettre leurs forfaits sont susceptibles de qualification pénale. L’on pourrait citer notamment certaines incriminations informatiques, le vol, le recel ou encore l’usage de fausses clés.

Le premier réflexe est évidemment de porter plainte, et cette démarche s’impose dans tous les cas. Le succès des investigations policières dépendra cependant en partie du lieu à partir duquel les agissements ont été orchestrés. Les phreakers utilisent en effet souvent des pays exotiques et peu coopératifs pour récolter les fruits de leur forfait.

L’opérateur

Dans une affaire de phreaking, l’opérateur est dans une position délicate. Il agit en effet comme l’agent collecteur du fruit de la fraude pour le compte du phreaker, en émettant ses factures et en les faisant même recouvrir par la voie judiciaire au besoin.

En vertu des règles et pratiques internationales actuelles, l’opérateur de la victime doit certes payer l’opérateur qui gère les numéros surtaxés utilisés par le phreaker. Il en profite cependant pour prendre une marge, comme pour toute communication téléphonique qui emprunte ses réseaux. Lorsque cette marge est prise sciemment, en connaissance de cause du caractère frauduleux des mouvements téléphoniques (ceux-ci étant généralement contestés par la victime et la fraude étant le plus souvent évidente), elle pourrait exposer la responsabilité pénale de l’opérateur.

Ce risque pousse parfois certains opérateurs à renoncer à tout ou partie de leur marge en proposant un léger rabais aux victimes. Il devrait également les pousser à lutter plus activement contre ce type de fraude en proposant notamment des services d’alerte, voire de blocage des lignes qui connaissent un trafic anormal.

Les installateurs téléphoniques

Si les phreakers réussissent leurs attaques, c’est aussi souvent grâce à la complicité involontaire des installateurs d’équipements téléphoniques, qui configurent mal les systèmes qu’ils vendent et installent à leurs clients. Une source fréquente d’attaque réside, par exemple, dans le fait que les mots de passe contrôlant la messagerie ne sont pas personnalisés par les installateurs. Les mots de passe d’usine (0000 , 1234, etc.), parfois mentionnés dans des manuels d’utilisation facilement accessibles aux pirates sur Internet, peuvent donc être utilisés pour prendre le contrôle de l’installation à distance.

La responsabilité de ces installateurs pourrait donc être recherchée, par exemple, au titre d’un manquement à l’obligation de conseil qu’un professionnel se doit de fournir à ses clients, qui ne sont pas des experts.

Les pouvoirs publics

Comme déjà mentionné, il n’est pas toujours évident pour les autorités de poursuivre les auteurs d’une attaque de type phreaking dans un pays lointain et non coopératif. Cette situation assure néanmoins une large impunité à leurs auteurs. Elle fait aussi des entreprises du Grand-Duché des cibles privilégiées pour ces attaques. Au-delà, c’est surtout l’absence de prise de conscience, sinon de volonté politique de lutter contre ces pratiques, notamment aux niveaux européen et international, qui est révoltante. Le phreaking est aujourd’hui un véritable marché, avec des Etats connivents qui tirent des recettes fiscales du produit de la fraude téléphonique et même des assureurs qui proposent aux victimes potentielles des produits d’assurance sur mesure (sic). En attendant une prise de conscience et une réponse au niveau national, européen ou mondial, les entreprises doivent sécuriser leur infrastructure téléphonique et se préparer à se défendre.

Me Cyril Pierre-Beausse
Avocat à la Cour
www.cpb.lu

Le phreaking existe bel et bien au Luxembourg. Une PME temoigne :

« En octobre dernier, nous sommes tombés des nues. Notre facture de téléphone pour les communications du mois de septembre se montait à près de 60.000 EUR alors que nos factures de communications téléphoniques mensuelles tournent en général autour de 1.000 EUR… Pensant à une erreur de facturation, nous avons tout de suite contacté notre opérateur téléphonique, qui n’a rien voulu savoir, et avons contesté officiellement cette facture.

Disposant d’un central téléphonique, nous avons contacté l’installateur, qui s’est montré peu coopératif aussi, et qui, sur notre demande, lors de son intervention sur place, nous a expliqué que la messagerie du central disposait d’un mot de passe défini par défaut (un mot de passe d’usine habituel), que nous aurions dû modifier et que cela n’avait pas été fait. Or, lors de la mise en service du central, assurée par l’installateur lui-même, rien ne nous avait été mentionné à ce sujet.

Nous avons accepté de témoigner dans votre magazine afin de sensibiliser non seulement les entreprises à ce problème, mais aussi les opérateurs, installateurs et pouvoirs publics. Dans le cas présent, en finalité, nous nous retrouvons seuls, avec une facture astronomique à payer considérée due par l’opérateur, donc recouvrable par toute voie légale. Il semblerait que les usages font que les opérateurs octroient un petit rabais sur ce type de facture, qui nous a été accordé, mais n’est-ce pas à considérer comme du recel ? En effet, si toutes les victimes paient sans mot dire, aucun maillon de la chaîne n’est jamais rompu et tous les concernés se retranchent derrière le « c’est la faute à pas de chance si votre système a été piraté » et les arnaques de type phreaking peuvent continuer.

Chacun son métier

Dans notre activité, nous avons un devoir d’information vis-à-vis de nos clients et, à ce titre le devoir de leur préconiser, entre autres, les mesures de sécurité à prendre pour faire un usage correct et sécurisé de nos produits. Pour quelles raisons notre installateur téléphonique, lors de la mise en service de notre installation, ne nous a-t-il pas clairement informés de l’existence d’un mot de passe sur notre messagerie, mot de passe à changer régulièrement pour éviter tout risque de piratage de notre installation ? L’existence d’un manuel d’utilisation de notre équipement à télécharger sur Internet, selon nous, ne répond pas, et de loin, à son obligation de conseil. Ce n’est définitivement pas une manière de travailler avec des personnes qui font confiance au professionnel et qui ne sont pas des techniciens !

Cette affaire nous a aussi montré que si des services d’alerte étaient mis en place par les opérateurs, même en service payant, tout trafic anormal aurait déjà pu être détecté dès le moment où notre facture avait dépassé le montant habituel de nos communications. De plus, lorsque (soit env. 2 semaines avant la réception de la facture) notre femme de ménage, qui travaille après les heures de bureau, nous a informés que
notre central téléphonique sonnait sans cesse tous les soirs, pensant à un dérangement de la ligne, nous avons, sur conseil de notre installateur, contacté l’opérateur, mais aucun d’entre eux, à aucun moment, ne nous a mis en garde contre le fait que nous étions peut-être victimes d’un piratage.

Nous espérons que notre témoignage rende plus attentives les entreprises à l’existence même de ce type d’arnaque, que l’on croit toujours possible chez les autres mais jamais chez soi ! Notre mésaventure et celle de bien d’autres entreprises au Luxembourg devrait inciter tous les professionnels du secteur et les pouvoirs publics à travailler de concert pour mettre en place des mesures d’ordre technique, financier et légal afin de lutter contre cette forme particulière de cybercriminalité qui peut contraindre une entreprise, victime, à mettre la clé sous la porte. »