Comment usurper ou utiliser n’importe quel numéro de téléphone : un jeu d’enfant !
Le téléphone demeure le canal le plus direct pour établir la confiance ; les cyberfraudeurs l’exploitent désormais à grande échelle.
L’usurpation d’identifiant d’appelant (CLI/CNAM), ou « caller ID spoofing », permet à un attaquant de faire apparaître n’importe quel numéro sur l’écran de sa victime. Associée à des scénarios d’ingénierie sociale (vishing, deepfake vocal, SIM swap), cette technique a fait bondir les signalements : Hiya a marqué 11,3 milliards d’appels suspects au seul 4ᵉ trimestre 2024, soit 123 millions par jour.
À ce jour, ils sont capables d’usurper n’importe quel numéro de téléphone pour se faire passer pour : votre conseiller bancaire, un garagiste, Amazon, l’hôpital, les domaines d’application sont infinis. Voici un tableau illustrant le classement des secteurs les plus touchés :
| Classement | Domaine d’application | Intérêt des fraudeurs |
|---|---|---|
| 1 | Services financiers (banques, cartes, paiement) | Forte valeur des fonds et sentiment d’urgence qui pousse à valider un virement ou un code. |
| 2 | Commerce en ligne et abonnements | Confusion sur commandes ou remboursements, facilitant le vol d’identifiants et de cartes. |
| 3 | Administrations et autorités (fisc, police, collectivités) | Peur d’amendes ou de poursuites : la victime réagit sans vérifier. |
| 4 | Santé et couverture maladie | Exploitation des périodes d’adhésion pour soutirer données et numéros d’assuré. |
| 5 | Support technique | La victime pense résoudre un problème urgent et donne l’accès à son appareil. |
| 6 | Télécoms, énergie et services publics | Promesse de réductions ou de mises à jour d’équipement pour piéger les usagers. |
| 7 | Livraison et logistique | Faux colis bloqué : la victime communique ses données ou règle des « frais ». |
| 8 | Assurances (auto, habitation, vie) | Prétexte de remboursement ou de mise à jour de dossier pour récolter des infos sensibles. |
| 9 | Services internes d’entreprise | En clonant un numéro, le fraudeur accède à des comptes ou réinitialise des accès sensibles. |
Mécanismes techniques d’usurpation
Avec un simple serveur Asterisk et un trunk SIP, la fonction SetCallerID() change le numéro présenté à la cible. Des tutoriels publics détaillent l’installation et même l’automatisation via DISA pour composer à la volée le numéro à falsifier. Le coût matériel est négligeable : un VPS, une distribution Linux et un crédit chez un fournisseur VoIP suffisent.
Des plateformes « as-a-service» vendent la possibilité de choisir son identifiant d’appelant pour « tester la sécurité » ou « protéger la vie privée » ; elles constituent un écosystème gris où les criminels n’ont qu’à payer par cryptomonnaie pour lancer leurs campagnes.
En parallèle, les fraudeurs réalisent un portage frauduleux ou échange de carte SIM ; ils reçoivent ainsi tous les appels et SMS d’un abonné réel, alimentant un scénario d’usurpation « légitime ». Le FBI recense 1 075 attaques SIM-swap en 2023, pour près de 50 M $ de pertes.
La nouveauté marquante : la synthèse vocale par IA. En quelques secondes d’audio, un attaquant reproduit la voix d’un cadre ou d’un proche ; Business Insider cite un test où une journaliste a ouvert un compte bancaire avec un clone vocal fabriqué pour moins de 5.
Oui, tout cela est trop technique, penchons nous plutôt sur les solutions.
Usurper un numéro de téléphone : un jeu d’enfants
L’usurpation de numéro de téléphone n’est plus l’apanage de quelques « phreakers » ; elle alimente aujourd’hui des fraudes transnationales à plusieurs dizaines de millions d’euros.
La combinaison spoof + ingénierie sociale + IA vocale réduit les indices permettant de douter. Face à ce risque, l’authentification STIR/SHAKEN, l’analyse comportementale et la formation forment un trio indispensable. Mais la défense ultime reste humaine : cultiver l’esprit critique et vérifier systématiquement l’identité réelle de son interlocuteur avant de réagir.
Cette vidéo réalisée par Envoyé Spécial nous démontre la facilité de l’opération par une simple application.
Éviter l’usurpation de numéro
Reflexe immédiat : ne jamais valider une opération sensible pendant l’appel initial
| Geste | Pourquoi ? | Comment faire ? |
|---|---|---|
| Raccrocher puis rappeler | L’attaquant perd le contrôle s’il doit répondre sur le numéro officiel. | Chercher le numéro sur le site de la banque, de l’opérateur, etc., ou sur la carte au dos de votre CB. |
| Demander une preuve hors bande | Les entreprises disposent d’outils (notification in-app, e-mail signé, code SMS). | Exiger la confirmation via l’espace client sécurisé. |
| Mot-clé familial / phrase de sécurité | Bloque les imposteurs même s’ils imitent la voix. | Définir à l’avance un mot simple connu du seul cercle de confiance. |
Bonnes pratiques pour les entreprises et administrations
- Politique « Call-back obligatoire »
Toute demande financière ou de réinitialisation de mot de passe doit être confirmée via un numéro interne publié (annuaire, intranet). - Authentification forte du Help-Desk
Le support n’accorde aucun privilège tant que l’identité du demandeur n’est pas validée par MFA, ticket Jira/ServiceNow ou biométrie vocale. - Déploiement STIR/SHAKEN en amont ET en aval
Signer les appels sortants et refuser les appels entrants non authentifiés.
En France, le dispositif MAN rend ce blocage obligatoire depuis le 1ᵉʳ octobre 2024. - Formation continue – Vishing drills
Simuler régulièrement un appel frauduleux pendant les horaires de pointe : mesurer le taux de détection par les équipes. - Supervision réseau
· SBC (Session Border Controller) avec analytics RTP : détection des passerelles SIP suspectes.
· Intégration d’un signaling firewall pour les liaisons SS7/SIP.
La liste des actions à mener en bref
- Bloquez les appels inconnus ou masqués par défaut.
- Vérifiez toute demande d’argent ou de données via un second canal.
- Installez une appli de filtrage dotée d’analyse IA.
- Surveillez la mention « Caller ID Verified » lorsque c’est disponible.
- Inscrivez-vous sur Bloctel et signalez les abus au 33700/PHAROS.
Profitez de notre outil efficace pour vérifier la fiabilité d’un site web. Entrez une URL et vérifiez le score de confiance du site web !
Vous êtes une entreprise à la recherche de visibilité ? Inscrivez votre site gratuitement & en quelques clics seulement sur VerifSites.
