Filtre anti-arnaque, kesako ?

Le gouvernement français va proposer un bouclier anti-arnaque pour protéger les internautes ! Un sacré merdier en perspective que la mise en place de ce filtre ?

Jean-Noël Barrot, ministre délégué chargé de la Transition numérique, s’est exprimé sur l’antenne de France Info concernant les « insupportables » arnaques sur la toile. Le ministre a confirmé la mise en place d’un « filtre anti-arnaque » d’ici fin 2023, un dispositif inscrit dans un plan de « bouclier numérique » pour 2023, promis par Emmanuel Macron lors de sa campagne électorale. Le filtre anti-arnaque se voit attribuer un budget de 30 millions d’euros.

Le ministre a souligné que l’insécurité numérique était en forte progression et qu’il était crucial de rassurer les citoyens en mettant fin à cette angoisse. Rappelons tout de même que la grande majorité des citoyens qui se font piéger sont des internautes qui ont cru à un courriel se faisant passer pour leur banque, ont cliqué sur un logiciel pirate, ont visité un site de streaming illicite ou ont cru leur influenceur préféré vantant le repulpage de lèvres pour 18 € ou espérer gagner des millions d’euros en suivant un clown sur Telegram ou WhatsApp promettant un trading de cryptomonnaie que lui jalouseraient les banques du monde.

Le bouclier pourra bloquer ce genre de faux site aux couleurs de Boursorama.

Télécharger le filtre anti-arnaque

La version « expérimentale » du filtre anti-arnaque sera disponible d’ici quelques semaines [on entend été 2023 ou septembre 2023 !], bref à quelques encablures des terrains de la Coupe du monde de rugby. Un test grandeur nature qui doit être terminé pour les Jeux Olympiques de Paris 2024 (JO 2024) et permettre, aux volontaires de télécharger le filtre anti-arnaque.

Malgré l’accueil favorable de tout dispositif de protection, il faut garder à l’esprit les limites de l’efficacité d’un tel bouclier. D’abord, même si l’application à installer dans son navigateur est proposée aux volontaires qui alerteront et seront alertés d’une arnaque, cela implique que cette application scannera l’ensemble des sites web que vous serez en train de visiter.

Autre élément, rien n’empêchera d’imposer ensuite ce bouclier pour le bien de tous ! Comme ce fut le cas pour l’application Covid-19. Et comme cela risque d’être le cas dans le cadre de la protection des mineurs visitant des sites pour adultes : X, alcool, jeu d’argent.

Ensuite, on n’en sait pas grand-chose de cette application. L’aspect technique, le fonctionnement, Etc. Tout cela est resté dans les mains de quelques « industriels » du secteur. L’application permettra d’alerter, mais permettra-t-elle de faire fermer un site, un forum, un tchat, un live, une vidéo ? La justice aura-t-elle les moyens d’agir vite et bien, comme l’impose une traque au malveillant ?

Le bouclier bloquera-t-il ce genre de vrai site, qui cache une fausse pharmacie ?

Des exemples d’un combat … compliqué !

Quels sites seront inclus dans la liste noire ? Qui sera chargé de la mettre en place ? Cybermalveillance.gouv.fr ? La super équipe de Jérôme Notin, le directeur de Cybermalveillance, n’a pas fini de saigner du nez surtout sans effectifs supplémentaires. L’Agence Nationale de Sécurité des Systèmes d’Information ? Elle est déjà débordée ! Pharos ? La Gendarmerie Nationale ? Bref, il est probable que les premiers à signaler les nouveaux sites malveillants seront les premières victimes. Comme j’ai pu l’expliquer dans l’émission TV « On vous en dit +« , les cas sont nombreux et l’éducation cyber de la population très difficile. Mais alors, quid des exemples que ZATAZ va vous présenter ?

Michou et les feuilles magiques

Michou se promène sur Kick, un site dédié au streaming de joueurs, comme peut le faire Twitch. Michou tombe sur un live d’un influenceur colombien. Ce dernier propose un produit révolutionnaire : une pommade permettant de fortifier ses doigts grâce à des feuilles récoltées dans la forêt amazonienne. L’influenceur promet une vitesse sur le clavier de 20% supplémentaire et une fatigue réduite de 50%. Michou achète le produit mais ne le reçoit jamais. Va-t-il utiliser le bouclier anti-arnaque au bout de 3 semaines ? Qui sera sujet de l’alerte ? L’influenceur qui a disparu de Kick depuis son arnaque ? Va-t-il se plaindre de Kick et faire bannir la plateforme ? Je suis impatient de voir le même type d’alerte concernant les vidéos d’arnaques qui disparaissent de Snapchat après avoir été vues, ou encore de TikTok qui apparaissent et disparaissent aussi vite que la neige au soleil. (Cas rencontré par ZATAZ – Le nom de Michou et le produit pour « gamer » ont été modifiés pour cet article)

Des pirates ont caché une fausse pharmacie dans le site d’une entreprise français.

Le phishing qui va faire pleurer les webmasters

Paulette se promène sur Internet. Elle voit un message sur Facebook qui attire son attention. Une de ses amies a partagé dans sa story un super produit qui permet de faire grossir les fesses et les joues. Sa copine n’est pas responsable du texte, elle a juste partagé le message. Le texte propose aux amatrices de beauté de visiter un site web. Paulette clique sur le lien et tout semble bien se passer. Le site a un score de cybersécurité A et il s’agit du site de l’office de tourisme de Malbuisson-les-Lacs dans le Doubs [Cas rencontré par ZATAZ – Capture écran ci-dessus prise le 07/05].

Paulette a confiance, elle clique et achète le produit. Un mois plus tard, elle reçoit sa commande : des bonbons à la menthe. Elle alerte la communauté via l’application « Filtre anti-arnaque« , un mois plus tard. Que va-t-il se passer ? Le site de l’office de tourisme sera interdit, car dangereux ? Il a été infiltré par des pirates qui ont installé une fausse pharmacie dans son espace touristique numérique !

Une faux site de SFR repéré par ZATAZ.

L’url qui venait du froid

Malika cherche le site de la Police Nationale. Elle surfe, tombe sur l’adresse police-nationale-frontieres.fr. Elle a confiance, c’est un .fr, il a un https et le cadenas (qui va d’ailleurs disparaitre du prochain navigateur Google Chrome) et quand on clique sur ce lien, il dirige bien sur l’espace numérique de la Police Nationale (Site officiel : https://www.police-nationale.interieur.gouv.fr). Elle n’a pas vu qu’il manquait le .gouv.fr dans l’adresse police-nationale-frontieres.fr.

Le malveillant est malheureusement malin, son faux site dirige, pour le moment, vers la page officielle du Ministère de l’Intérieur. Jusqu’au jour ou il décidera d’afficher une page piégée. Pendant ce temps, Malika sauvegarde la mauvaise adresse dans son navigateur, et la partage à des copines, de bonne foi.

Vrai ou faux site ? En attendant, l’url suspecte dirige vers le site officiel du Ministère de l’Intérieur. Découverte ZATAZ.

Cyberscore

L’application « Bouclier anti-arnaque » ne sera pas imposée. Les volontaires pourront l’utiliser pour alerter et être alertés. L’autre bouclier, le cyberscore, lui aura une toute autre nature. Ce score sera déployé, normalement, fin 2023. Il est conçu pour fonctionner de la même manière que le Nutri-Score sur les aliments, avec une échelle allant du vert au rouge.

Il fournira des informations à l’internaute sur la sécurité des données personnelles ou de paiement qu’il envisage de déposer sur un site. Le ministre a précisé que cela concernerait « les sites Internet les plus consultés par les Français ». Donc, l’USRAFF, qui a fait fuiter par erreur des informations sur ses adhérents se retrouvera avec un cyberscore rouge ? Tout comme Chorus-Pro, qui a diffusé « par erreur », en avril, des centaines d’adresses mails d’utilisateurs du portail dédié aux factures numériques à destination de l’administration ? La France n’a dans tous les cas pas le choix. La mesure a été votée par le Parlement Européen [loi cybersolidarité] et la loi vise à transposer dans le droit français les dispositions des règlements européens DMA et DSA sur les plateformes et les marchés numériques.

Quid de l’idée : ce Nutri-Score 2.0 sera mis à jour en temps réel ? Par qui ? Sur quels critères ? Qui va donner la note ? L’ANSSI ? Cybermalveillance ? La CNIL ? Toto le Roi des geeks ? À la différence des frites congelées, un site web peut évoluer, se modifier, etc. en quelques secondes. On sait déjà qu’il y aura des amendes à l’encontre de ceux qui manipuleraient la note : jusqu’à 75 000 euros pour une personne physique et jusqu’à 375 000 euros pour une personne morale (entreprise).