SÉNAT DE BELGIQUE
________
Session 2012-2013
________
19 avril 2013
________
SÉNAT Question écrite n° 5-8815

de Nele Lijnen (Open Vld)

au ministre des Finances, chargé de la Fonction publique
________
Cyberdélinquance - Banques - Services fiscaux - Phishing - Faux courriels - Coopération internationale - Plaintes
________
établissement de crédit
criminalité informatique
administration fiscale
banque
________
19/4/2013Envoi question
3/6/2013Réponse
________
________
SÉNAT Question écrite n° 5-8815 du 19 avril 2013 : (Question posée en néerlandais)

Des Néerlandais ont reçu l'an dernier un courriel émanant prétendument des services fiscaux qui leur demandait de verser 500 euros de leur compte en banque. Il s'agissait de Rabobank, ING et ABN. Les délinquants utilisaient des adresses genre [email protected] pour escroquer les gens. Dans une première phase de phishing, on se procurait les données bancaires. Dans une deuxième, les gens qui cliquaient sur un lien étaient dirigés vers un site étranger qui installait un maliciel. De tels courriels frauduleux et actes de phishing se rencontre aussi dans notre pays. Les délinquants vont même plus loin : ils font circuler des courriels où la banque se déclare au courant de ces messages. Sous prétexte de sécurité, le client est prié de modifier ses données. Comme le dit le courriel dans un néerlandais approximatif :

Certains clients ont reçu un courriel soi-disant de bnpparibasfortis leur conseillant de cliquer sur un lien vers ce qui ressemble à un site de bnpparibasfortis où on les prie d'indiquer leurs données bancaires personnelles. Bnpparibasfortis n'est nullement concerné par ce genre de courriel et le site n'est pas de nous. bnpparibasfortis est fier d'annoncer son nouveau système de sécurité renforcée qui nous permet de combattre la fraude et la menace. Nous apprécions nos nouveaux serveurs SSL offrant à nos clients un meilleur service bancaire en ligne, rapide et sûr. Suite à la réévaluation de nos serveurs, vous êtes priés de mettre à jour votre compte en cliquant sur notre site [lien].

Le néerlandais est tellement mauvais qu'il s'agit probablement d'escrocs étrangers. Le lien qui affirme conduire vers le site de la banque a l'air tout à fait réaliste

Je souhaiterais poser au ministre les questions suivantes :

1) A-t-il connaissance de courriels de banques demandant par exemple de cliquer sur un lien pour modifier des données ? Dispose-t-il de données statistiques sur les plaintes ou les signalement de phishing, et peut-il les communiquer ? Combien de personnes en ont-elles déjà été effectivement victimes ? Peut-il fournir les chiffres pour ces cinq dernières années ?

2) Dans notre pays, a-t-on déjà interpellé des gens qui se livraient à ces agissements (phishing) ? Peut-il préciser ?

3) D'après lui, s'agit-il d'une bande étrangère qui expédie des courriels en vue d'arnaquer les gens en Belgique comme aux Pays-Bas ?

4) A-t-il déjà eu des contacts avec les Pays-Bas ou d'autres pays, puisque ces pratiques ne se limitent pas à notre pays ? Peut-il préciser ?

5) Selon lui, les escrocs qui envoient des courriels comme celui donné en exemple dans l'introduction sont-ils les mêmes que ceux qui expédiaient des courriels au nom des banques ? S'agit-il ainsi de délinquants qui adaptent leur tactique et jouent sur les inquiétudes nées à la suite de faux courriels antérieurs ?

6) Des courriels circulent-ils également en Belgique avec la demande de verser de l'argent de leur compte en banque ? Peut-il préciser ? A-t-il reçu des plaintes en ce sens, et combien ?

Réponse reçue le 3 juin 2013 :

1) En règle générale, les banques ne contactent pas leurs clients par e-mail pour leur demander des informations sensibles. En Belgique, ces deux dernières années, on a assisté à une forte croissance du nombre de tentatives de fraude par lesquelles les criminels utilisent des e-mails de phishing (hameçonnage) – provenant soi-disant des banques – pour amener les clients non suspicieux à communiquer des informations personnelles sensibles ou secrètes, telles que des données de cartes de crédit, des codes pin ou des code de sécurité de banque en ligne. La Banque Nationale de Belgique (BNB) ne dispose pas de statistiques en la matière.

Concernant l’ampleur de la problématique liée à cette fraude, il est référé aux déclarations et statistiques de Febelfin que l’on peut consulter sur le site internet  http://www.safeinternetbanking.be/fr/chiffres/nombre-des-fraudes.

2) Cette question ne relève pas de ma compétence, mais de celle de mes collègues en charge de l’Intérieur et de la Justice.

3) La concertation périodique entre la BNB et le secteur, qui a lieu dans le cadre du groupe de travail Febelfin en matière de « sécurisation d’e-banking », fait apparaître un certain nombre d’indications qui orientent les soupçons vers différentes organisations criminelles, dont l’une opère de manière nettement plus professionnelle. La BNB ne dispose pas de données fiables relatives à la localisation précise et/ou la nationalité des différents groupes d’auteurs.

4) Étant donné que le phishing est un phénomène international, la BNB s’est déjà concertée avec diverses instances étrangères, telles par exemple la « Nederlandsche Bank ». Conjointement à Febelfin, des contacts ont déjà été établis avec la « Nederlandse Vereniging der Banken ». Les problèmes de sécurisation du phénomène de phishing ont également constitués la base des directives publiées au début de l’année 2013 par la BCE concernant la sécurisation des paiements internet. La BNB a activement collaboré à l’établissement de ces directives.

5) Il est particulièrement difficile de lier avec une certitude raisonnable certains e-mails d’hameçonnage à des associations criminelles déterminées. De plus, les différentes associations criminelles revoient régulièrement leur organisation afin d’accroître l’efficacité de leurs attaques et/ou de contourner les mesures de sécurité prises par les banques.

6) La BNB n’est pas au courant d’e-mails de hameçonnage de ce type en Belgique. Toutefois, en 2012, un logiciel malveillant (aussi dénommé Ransomware) a circulé. Il bloquait l’ordinateur de la victime et prétendait provenir de la Federal Computer Crime Unit. Ce n’était qu’après le paiement d’une amende par la victime que le PC allait soi-disant être débloqué. En 2012, selon la presse, plus de 1.500 plaintes ont été déposées à la police dans ce cadre.