Tout commence par un banal contrôle de police, un vendredi soir de décembre 2022, dans le 10e arrondissement de Paris. Les agents arrêtent une Ford près de la porte de Saint-Denis. À son bord, une jeune femme de 23 ans, visiblement droguée, au volant d’un véhicule qui n’est pas le sien. Rien d’extraordinaire jusque-là. Mais en fouillant la voiture, les policiers découvrent sur la banquette arrière plusieurs téléphones et une imposante antenne blanche, reliée par un câble à une mystérieuse caisse noire dans le coffre. Premier réflexe : ils pensent à une bombe artisanale et appellent les démineurs. Sauf que l’appareil ne contient aucun explosif. C’est bien pire : il s’agit d’un IMSI catcher, un appareil d’espionnage ultra-sophistiqué capable d’intercepter les communications téléphoniques dans un rayon de plusieurs kilomètres.
C’est à partir de cette affaire que Micode, le vidéaste spécialisé en technologie, a décidé de mener sa propre enquête pour comprendre et infiltrer les réseaux d’arnaqueurs au SMS qui sévissent en France.
L’IMSI catcher : un outil d’espionnage au service de l’arnaque
Un IMSI catcher simule une fausse antenne relais en exploitant une faille du protocole 2G, conçu dans les années 90 sans système d’authentification robuste. Une fois activé, il brouille le signal 3G environnant et récupère la connexion de toutes les cartes SIM à proximité. Résultat : l’appareil intercepte SMS et appels téléphoniques de manière totalement invisible pour les victimes. Ce type de matériel, dont le prix oscille entre 30 000 et 300 000 euros, est normalement réservé aux services de renseignement, et son usage civil est parfaitement illégal en France.
L’enquête policière a révélé que la conductrice était missionnée pour rouler lentement dans les quartiers parisiens en échange de quelques centaines d’euros. Au moment de son arrestation, l’appareil avait déjà capturé près de 17 000 numéros de téléphone. Les pistes ont mené à cinq interpellations en février 2023 et à deux gérants d’une société de marketing digital à Neuilly, dont le site proposait l’envoi de SMS en masse et la location d’une base de 20 millions de numéros. Le gang aurait envoyé 424 000 SMS frauduleux imitant l’Assurance Maladie.
Les coulisses techniques du phishing par SMS
Mais malgré ces arrestations, les faux SMS n’ont pas diminué. Micode a donc voulu comprendre la mécanique qui se cache derrière. En analysant les liens contenus dans ces messages, il a découvert un écosystème bien rodé. Les noms de domaine frauduleux sont achetés sur des plateformes américaines avec des coordonnées masquées, puis hébergés chez des prestataires dits bulletproof, souvent situés en Moldavie, en Russie ou au Panama. Ces hébergeurs garantissent explicitement l’ignorance des demandes de retrait légales, et acceptent les paiements en cryptomonnaie.
En scannant les serveurs, Micode a découvert que celui qui hébergeait l’arnaque qu’il analysait contenait non pas un, mais 47 sites de phishing actifs simultanément, et que d’autres serveurs du même centre de données en abritaient des centaines. Ces sites sont déployés via le logiciel d’administration Plesk, détourné pour permettre à des malfaiteurs sans compétence technique d’installer leurs arnaques en quelques clics.
Plus surprenant encore : les arnaqueurs laissent régulièrement traîner sur leurs serveurs un fichier ZIP contenant l’intégralité du code source de leur arnaque, accessible à quiconque sait où chercher. Ces archives, appelées kits de phishing, contiennent les pages du faux site, les filtres anti-détection et surtout un fichier de configuration avec les coordonnées de l’attaquant.
Un système de filtrage redoutablement efficace
Micode a découvert que ces sites frauduleux sont loin d’être de simples copies bâclées. Ils intègrent des systèmes de filtrage sophistiqués qui combinent la détection du navigateur utilisé et le type de connexion internet. Depuis une fibre professionnelle, le site affiche une banale erreur 404. Mais en se connectant via la 4G d’un smartphone, le faux site Chronopost apparaît dans toute sa splendeur. Ce mécanisme explique pourquoi Google et les robots anti-phishing peinent à les détecter : de leur point de vue, ces sites semblent parfaitement inoffensifs. Certains kits redirigent même les robots vers le site de Mediapart pour brouiller les pistes.
Une économie souterraine parfaitement organisée
L’un des aspects les plus frappants de l’enquête de Micode est la découverte d’une véritable économie parallèle, structurée comme une chaîne de production avec des rôles bien définis :
- Le spammeur envoie les SMS en masse à l’aide de téléphones équipés de SIM jetables ou de cartes eSIM professionnelles détournées. Les numéros à 14 chiffres en 07, normalement réservés aux objets connectés, sont revendus 200 euros sur le marché noir.
- Le fausseur fournit des dossiers d’identité volés (les « packs ID ») à 30 euros pièce, souvent récupérés via de fausses annonces immobilières.
- Le checker constitue des listes de numéros ciblés grâce à une astuce ingénieuse : tenter de créer un compte sur Amazon ou d’autres services avec chaque numéro. Si le site refuse en indiquant que le numéro est déjà utilisé, c’est qu’il correspond à un vrai client.
- Le développeur crée les faux sites, vendus entre 20 et 80 euros.
- L’hébergeur administre les serveurs Plesk pour 20 à 30 euros par mois.
- L’alloteuse (ou l’alloteur) est le maillon final et le plus redoutable de la chaîne.
L’alloteuse : le maillon le plus redoutable
Le site de phishing ne sert pas à voler directement de l’argent. Les 2 euros demandés pour « débloquer un colis » ne sont souvent même pas prélevés. Le formulaire sert uniquement à récupérer les coordonnées bancaires de la victime. Ensuite, pour contourner la double authentification (3D Secure), intervient l’alloteuse.
Son rôle : appeler la victime en se faisant passer pour sa banque, l’informer qu’elle a été victime d’une fraude et que des paiements suspects sont en cours vers l’étranger. Sous prétexte d’annuler ces transactions, elle convainc la victime de valider des notifications sur son téléphone. Chaque validation correspond en réalité à un prélèvement de 200 à 2000 euros.
Pour vérifier cette réalité, Micode a monté une opération d’infiltration. En se faisant passer pour un spammeur sur Telegram, il a fourni une fausse liste de victimes contenant son propre numéro. Son complice Arthur jouait le rôle de la cible dans la pièce d’à côté. Ils ont ainsi pu assister en direct à une tentative d’arnaque, entendre l’alloteuse passer de sa voix normale à celle d’une conseillère bancaire professionnelle, et observer la mécanique de manipulation en temps réel. Lors de cette session, l’arnaqueur a révélé avoir fait 6000 euros dans la semaine.
Des profils loin des clichés
En épluchant des mois de conversations sur Telegram, Micode a dressé un portrait inattendu de ces escrocs. Contrairement à ce qu’on pourrait imaginer, il ne s’agit pas de cybercriminels internationaux sophistiqués ni de « brouteurs » africains. Ce sont majoritairement de jeunes issus des banlieues parisiennes — Évry, Aubervilliers, Sevran, Clichy, Argenteuil — qui se connaissent souvent dans la vie réelle, se retrouvent physiquement pour des ventes ou des formations, et font même leur publicité sur TikTok.
Le niveau de violence verbale et de mépris envers les victimes est sidérant. Micode a écouté des dizaines d’enregistrements où des mères de famille endettées se faisaient dépouiller jusqu’à la limite de leur découvert, avant d’être insultées et humiliées. L’argent sert à acheter des iPhone, des sacs de luxe, sans l’ombre d’un remord.
La justice peut-elle suivre ?
Des arrestations ont bien lieu. Micode a suivi le cas de « CRN », un vendeur de kits Plesk réputé dans la communauté, démasqué et interpellé. Il avait 16 ans et était lycéen. L’affaire a été relatée par Le Parisien et a provoqué une onde de choc sur Telegram. Mais les arnaqueurs eux-mêmes savent que sous 3000 euros de préjudice, la police n’a généralement pas les moyens de déclencher une enquête. Une arrestation reste une goutte d’eau dans l’océan face à cette nébuleuse de petits indépendants.
En guise de conclusion, Micode a piégé un arnaqueur en se faisant passer pour une victime, lui dictant un faux mot de passe composé d’une insulte, déclenchant la fureur de l’escroc. Un moment de satisfaction dérisoire face à l’ampleur du phénomène, mais qui illustre bien l’esprit de cette enquête fleuve : documenter, comprendre et, quand c’est possible, rendre la monnaie de leur pièce à ceux qui font du hameçonnage par SMS un véritable fléau quotidien.
Source : Micode
