Statistiques sur la cybercriminalité 2023 : encore une année record

Le Centre national de cybersécurité (NCSC), géré depuis le début de l’année en tant qu’Office fédéral de la cybersécurité (OFCS) au sein du DDPS, a enregistré près de 50 000 signalements en 2023, soit un tiers de plus qu’en 2022 (34 500 signalements) et environ le double par rapport à 2021.

Selon les statisticiens de l’OFCS, l’augmentation inquiétante des méthodes de fraude numérique est principalement due à deux phénomènes inédits : les offres d’emploi frauduleuses et les faux appels téléphoniques menaçants au nom de la police. Ces deux types d’escroquerie étaient à eux seuls responsables d’un bon tiers de tous les signalements en 2023.

Quand c’est prétendument la police qui appelle ...

Déjà en 2022, les faux e-mails au nom des autorités de poursuite pénale constituaient un problème majeur. Dans la plupart des quelque 10 000 cas signalés, les faux e-mails de menace prétendaient que le destinataire s’était rendu coupable d’une grave infraction à la loi (généralement de la pornographie enfantine) et que la seule façon d’éviter une inculpation était le versement d’une certaine somme d’argent.

Fin juin 2023, des tentatives d’escroquerie similaires ont été communiquées, mais les escrocs ne s’adressaient pas à leurs victimes par e-mail, mais par téléphone (appels de fausse assistance). Une voix générée par ordinateur, souvent prétendument celle d’un membre de la police, affirme à la victime que, par exemple, les données personnelles de son compte bancaire sont apparues dans le cadre d’un délit. Pour obtenir plus d’informations, la victime est invitée à appuyer sur le chiffre « 1 ». Si la victime appuie sur le « 1 », elle est mise en relation avec un « collaborateur » et est invitée à télécharger un outil d’accès à distance pour permettre à l’escroc d’accéder à son ordinateur ou à son téléphone portable. Les malfaiteurs ont ainsi accès au compte bancaire en ligne de la victime et peuvent déclencher des paiements en arrière-plan via l’outil d’accès à distance. Les signalements concernant ce phénomène ont extrêmement augmenté au début du deuxième semestre 2023. Durant la semaine calendaire 44, un nombre record de 2 059 signalements a été enregistré, dont près de la moitié (936 signalements) concernait des appels de fausse assistance.

Fraude au PDG, hameçonnage en chaîne et attaques par déni de service

En 2023, les entreprises suisses ont davantage souffert de la fraude au PDG (soi-disant demande urgente de paiement de la part du chef ou du président), de la fraude à la manipulation des factures et d’un nombre accru d’attaques par déni de service (DDoS). Le nombre d’attaques de ransomware contre les entreprises est cependant resté à peu près stable par rapport à l’année précédente. D’autre part, la pression exercée sur les données d’accès aux e-mails d’entreprise et notamment aux comptes Office-365 continue d’augmenter. On observe également de plus en plus de tentatives d’hameçonnage selon le principe de la boule de neige (hameçonnage en chaîne). Un compte e-mail d’entreprise est piraté et un e-mail d’hameçonnage est envoyé aux clients de l’entreprise au nom de la victime. Si un client se fait piéger, le jeu recommence et d’autres clients sont à leur tour contactés.

Hameçonnage « au nom de la Poste suisse »

Comme en 2022, les particuliers souffrent surtout de tentatives d’escroquerie par hameçonnage au moyen de fausses notifications de colis, en particulier au prétendu nom de la Poste suisse. Les prétendus e-mails de remboursement au nom des fournisseurs d’accès, des CFF ou encore de l’administration fiscale ont également eu le vent en poupe en 2023.

Selon le rapport anti-phishing 2023 du NCSC, publié séparément, bien plus d’un demi-million de messages concernant l’hameçonnage ont été reçus et analysés l’année dernière. 544 367 signalements ont été envoyés via la plateforme www.antiphising.ch et près de 10 000 autres via un formulaire téléchargeable sur le site Internet de l’Office fédéral. Après tri automatique des nombreux signalements, 10 007 sites Internet ont été identifiés comme sites de phishing, environ 10 pour cent de plus qu’en 2022.

L’année 2023 a également été marquée par la nette augmentation du « smishing ». Plutôt que de se faire par le biais d’e-mails comme pour le phishing classique, les tentatives d’escroquerie se font ici par SMS ou par RCS, le protocole de messagerie enrichie aujourd’hui utilisé par de nombreux services de messagerie. Comme dans le cas du phishing, les noms des fournisseurs de lettres et de colis sont généralement utilisés de manière abusive pour attirer le destinataire sur un site de phishing sur lequel les escrocs essaient ensuite de soutirer aux victimes des informations confidentielles sur leur carte bancaire.

Offres d’emploi frauduleuses

Le phénomène des « offres d’emploi frauduleuses », dans lequel de prétendues entreprises de recrutement attirent leurs victimes avec des promesses de gains extraordinaires, est relativement nouveau. Le premier contact a lieu la plupart du temps via les réseaux sociaux, les e-mails ou les bourses aux emplois. Lors du « processus d’embauche », la communication se poursuit ensuite par messagerie instantanée, comme WhatsApp par exemple. Les candidats sont attirés par des promesses de gains extraordinaires démesurément élevées par rapport à la nature des tâches à accomplir. Parmi ces tâches figurent par exemple la rédaction d’évaluations, l’achat de produits, la recommandation d’articles de mode ou le test d’applications. Après le recrutement, les candidats sont directement redirigés vers une plateforme qui est souvent une imitation d’un site Internet légitime. Les « salaires » et les « primes » doivent ensuite être réglés via cette plateforme.