Spoofing téléphonique : comprendre et contrer cette menace invisible

Qu’est-ce que le spoofing téléphonique ?

Le spoofing téléphonique est une pratique frauduleuse qui consiste à falsifier le numéro d’appel affiché sur votre téléphone pour tromper la vigilance des destinataires. Les escrocs peuvent ainsi faire apparaître n’importe quel numéro — y compris celui de votre banque, d’une administration ou d’un proche — pour gagner votre confiance et obtenir des informations sensibles, des mots de passe ou encore vous pousser à effectuer un paiement.

À l’origine, la technologie permettant de modifier un identifiant d’appel a été développée pour des usages légitimes (tests de systèmes de communication, anonymat des professionnels, etc.). Mais aujourd’hui, cette possibilité est massivement détournée par les cybercriminels, utilisant des logiciels ou des standards de téléphonie sur IP (IPBX) pour manipuler l’identité des appels.

Pourquoi le spoofing explose-t-il en 2024-2025 ?

Les chiffres récents sont alarmants : en France, selon l’Arcep, les signalements d’usurpation de numéros de téléphone ont été multipliés par 17 entre 2023 et 2024. Ce phénomène s’inscrit dans un contexte plus large de recrudescence des cyberescroqueries, facilité par la numérisation des communications et l’essor des démarches bancaires et administratives à distance.

Les fraudeurs profitent d’un terrain encore imparfaitement régulé. Même si des dispositifs commencent à être mis en place, ils demeurent partiels et parfois inefficaces, notamment face aux appels provenant de l’étranger ou transitant par des applications non soumises à la réglementation téléphonique classique.

Certaines affaires illustrent l’ampleur du problème. Ainsi, un client de la BNP Paribas a récemment été escroqué de 54 500 euros via un appel usurpant le numéro de son agence. La Cour de cassation a jugé que la banque devait le rembourser, faute de preuve de “négligence grave” de la victime — une décision marquante dans la lutte pour la protection des consommateurs.

Quels sont les risques concrets pour les particuliers et les entreprises ?

Le spoofing ne sert pas uniquement à voler de l’argent directement. Il peut aussi :

• Voler vos données personnelles : mots de passe, numéros de compte, codes de carte bancaire.

• Installer des logiciels espions sur votre appareil via des liens envoyés pendant l’appel.

• Mener à des fraudes massives : en récupérant des informations sur plusieurs individus ou entreprises, les escrocs peuvent organiser des campagnes de phishing beaucoup plus ciblées et sophistiquées.

Les entreprises ne sont pas épargnées. De nombreuses PME ont été victimes d’attaques dites “fraude au président” où, croyant répondre à une consigne interne urgente, des collaborateurs transfèrent des fonds aux cybercriminels.

Comment les autorités tentent-elles de lutter contre le spoofing ?

Face à l’ampleur du phénomène, plusieurs mesures ont été mises en place en France :

• La loi Naegelen (2020) interdit l’usage de numéros géographiques et mobiles pour le démarchage téléphonique non localisé.

• Depuis octobre 2024, un nouveau dispositif, le Mécanisme d’Authentification des Numéros (MAN), impose aux opérateurs de bloquer les appels dont le numéro ne peut être vérifié. Ce système repose sur des mécanismes techniques analogues au protocole américain STIR/SHAKEN, qui atteste l’authenticité des numéros émis.

Cependant, ces mesures ont encore des limites :

• Elles ne couvrent pas tous les types d’appels (notamment les appels VoIP ou via messageries).

• Les escrocs s’adaptent rapidement en utilisant d’autres canaux, notamment les applications mobiles.

• De nombreux appels frauduleux continuent de passer par des serveurs situés à l’étranger, hors du champ direct d’action des régulateurs français.

Comment vous protéger contre le spoofing téléphonique ?

Même si les pouvoirs publics renforcent progressivement les dispositifs de protection, la vigilance individuelle reste essentielle.

Voici quelques réflexes simples mais efficaces :

• Ne jamais donner d’informations confidentielles par téléphone : aucune banque ou administration sérieuse ne vous demandera vos identifiants ou codes secrets par appel.

• Vérifiez toujours l’identité de l’appelant en raccrochant puis en appelant vous-même le numéro officiel trouvé sur les sites institutionnels.

• Utilisez des applications de filtrage d’appels qui identifient les numéros suspects (par exemple Truecaller, Hiya).

• Signalez les appels frauduleux : en envoyant le numéro suspect par SMS au 33 700 ou via la plateforme J’alerte l’Arcep.

• Activez l’option de blocage des appels inconnus proposée par de nombreux opérateurs.

En cas de doute persistant, il vaut toujours mieux raccrocher et vérifier ensuite.

Et demain : quelle évolution pour lutter contre le spoofing ?

Les autorités envisagent d’étendre l’authentification des numéros aux communications mobiles et aux appels internationaux. À l’échelle européenne, un projet de régulation plus stricte est également à l’étude, visant à harmoniser les mesures techniques et les sanctions contre le spoofing.

À moyen terme, les opérateurs et les grandes plateformes devront sans doute intégrer l’intelligence artificielle pour détecter les comportements d’appel frauduleux en temps réel. L’éducation numérique du grand public reste également un axe fondamental : comprendre les risques et savoir les déjouer est la meilleure arme contre les cybercriminels.

Le spoofing téléphonique est une menace insidieuse, qui se nourrit de notre confiance envers les numéros familiers. Dans un contexte où les échanges numériques dominent notre quotidien, apprendre à déjouer ces escroqueries est devenu indispensable. Si les mesures techniques se renforcent progressivement, c’est avant tout par une vigilance personnelle accrue que chacun pourra se prémunir efficacement contre cette forme de cybercriminalité en pleine expansion.