Deux adolescents ont été mis en examen, mercredi 21 septembre, pour avoir passé un appel téléphonique malveillant qui a provoqué le déplacement d’un très important dispositif de sécurité dans le centre de Paris, samedi.

En milieu d’après-midi ce jour-là, la police a reçu un appel d’un correspondant se présentant comme le prêtre de l’église Saint-Leu, affirmant que des hommes armés venaient de pénétrer dans l’église. L’appel apparaissait comme émanant de la ligne téléphonique de l’église, une technique appelée « spoofing ».

Qu’est-ce que le « spoofing » ?

Les auteurs de la fausse alerte ont modifié les données d’un appel téléphonique pour changer artificiellement le « numéro appelant » et faire croire à la police que la liaison était établie avec l’église du centre de Paris.

Le « spoofing » consiste plus généralement à usurper une connexion Internet (en empruntant une fausse adresse IP), ou un numéro de téléphone, afin de dissimuler son identité lors d’un appel ou d’une connexion à un site Web.

Il ne faut pas confondre le « swatting », qui désigne le fait de mobiliser les forces de l’ordre sous un faux prétexte, avec le « spoofing », qui est la méthode utilisée dans ce cas précis pour alerter la police.

Comment ça marche ?

En réalité, la ligne utilisée n’est pas celle dont le numéro est « emprunté » – et l’appel ne sera pas facturé à la personne dont l’identité est ainsi usurpée. En revanche, le numéro d’appelant qui s’affichera sur le téléphone de l’appelé sera bien le numéro « spoofé ».

Faut-il des compétences techniques pour le faire ?

Pour usurper un numéro de téléphone, pas besoin d’être un expert en téléphonie ni un hackeur de génie. Avec la popularisation de la voIP (les appels passés via Internet depuis un logiciel d’ordinateur ou une application de smartphone), de nombreux outils – loin d’être tous fiables – proposent aux internautes de déguiser leurs appels en empruntant un autre numéro. Une brève recherche sur le magasin d’applications Google Play (pour les téléphones Android) renvoie vers des dizaines d’applications. Sur Internet, des sites proposent depuis longtemps des services de « spoofing », souvent gratuits.

Est-ce légal ?

Non, même si des centres d’appel et des sociétés de télémarketing utilisent aussi cette technique. L’utilisation de ces outils peut tomber sous le coup du délit d’« utilisation de dispositif permettant de fausser le fonctionnement d’un système de traitement automatisé de données » – jusqu’à trois ans d’emprisonnement et 45 000 euros d’amende. En pratique, c’est rarement l’utilisation de ces services qui est visée, mais plutôt ce pour quoi ils sont utilisés. Les deux adolescents mis en examen mercredi devront ainsi – et surtout – répondre de « dénonciation de crime imaginaire », de « divulgation de fausse information
dans le but de faire croire à une destruction dangereuse pour les personnes, en l’espèce en faisant croire à une attaque terroriste » ou encore d’usurpation d’identité.

Est-ce que c’est vraiment anonyme ?

Oui… et non. Les identifiants (numéro de téléphone, adresse IP…) de l’internaute qui passe par un service spécialisé de spoofing sont camouflés par ce même service. Mais il est aisé pour les enquêteurs de remonter jusqu’au service en question. En février, un homme de 18 ans, qui administrait une plate-forme permettant de passer des appels anonymes, a été interpellé après qu’une série d’appels malveillants ont été passés dans des lycées en utilisant son service. Les enquêteurs peuvent alors faire une réquisition auprès des gestionnaires du service pour obtenir des informations sur leurs utilisateurs, un processus qui peut s’avérer complexe lorsque le service est hébergé à l’étranger.

Dans le cas de l’alerte à l’église parisienne Saint-Leu, les deux principaux suspects ont, eux, été repérés après s’être vantés, sur les réseaux sociaux, d’avoir effectué l’appel qui a abouti au déplacement des forces de l’ordre. Les enquêteurs ont pu les identifier, vraisemblablement, grâce aux informations de leurs comptes Facebook. Peu après l’appel malveillant, l’un des adolescents, en ligne et sous pseudonyme, s’était targué d’être intraçable. La suite de l’enquête a démontré le contraire.