Les scams, un fléau global sans statistiques

Les scams, ces courriels qui ont pour but de soutirer de l'argent, souffrent d'un manque de statistiques. La faute à des problèmes techniques, juridiques et surtout "psychologiques".

Qui n'a jamais reçu un courriel provenant de Côte d'Ivoire ou du Nigéria, écrit dans un français approximatif et sollicitant la bienveillance de son destinataire ? Généralement, cette arnaque - appelée Scam (« ruse » en anglais)-, fait miroiter au destinataire une commission sur une très grosse somme d'argent en échange de son aide pour transférer les fonds sur un compte. Cette technique est en fait loin d'être nouvelle puisqu'elle existait déjà dans les années 1980, sur des supports traditionnels : fax, courrier, etc. Internet lui a donné une dimension supplémentaire. Car les principales attaques sur Internet ne ciblent d'abord pas des failles technologiques. C'est tout le sens de l'alerte lancée par le Clusif - club de la sécurité de l'information français - qui met en avant les risques posées par "l'ingéniérie sociale". Autrement dit les bonnes vieilles arnaques exploitant des failles psychologiques. Car c'est l'humain qui est le plus faillible et non la machine.

La variante du scam actuellement à la mode joue sur la fibre humanitaire. Les expéditeurs écument les sites des ONG et des associations et dénichent leurs victimes potentielles sur les livres d'or et les forums où les donateurs laissent leur adresse électronique. Les scammeurs envoient alors un courriel où est fait état de leurs difficultés à terminer une formation, à reconstruire un logement ou à boucler un budget pour un voyage indispensable... Ils extorquent grâce à cette technique en moyenne entre 5.000 et 25.000 dollars avant que le destinataire ne porte plainte, selon la Brigade d'enquêtes sur les fraudes aux technologies de l'information (Befti). Problème : le scam en lui même n'est pas une infraction mais un prémice à une infraction. Et ne peut donc pas amener à une plainte ou action en justice contrairement au spam, envoyé à des fins publicitaires et/ou malhonnêtes.

Alors que les pourriels font l'objet de quantifications économiques et techniques, les chiffres manquent pour les scams. « Nous n'avons aucune statistique sur le scam et nous n'essayons pas d'en avoir puisqu'il est impossible à chiffrer », indique Pascal Lointier, président du Clusif (club de la sécurité de l'information français). En cause, bien sûr, les problèmes « techniques » de localisation du scammeur et la difficulté de le poursuivre juridiquement. Mais aussi un élément déterminant mais non prévisible et quantifiable : la psychologie. Car contrairement au spam où l'internaute est passif, le scam requière une décision, un engagement. Une décision qu'il est parfois dure d'assumer. Les individus portent rarement plainte car ils ont honte de s'être fait arnaquer par des ficelles aussi grosses. « Il faut changer directement les comportements et non les attitudes car elles sont trop malléables », note Paul Grassart, consultant indépendant en sécurité. C'est-à-dire, à réception d'un scam, ne pas essayer d'en savoir plus mais le mettre directement dans la poubelle pour éviter toute tentation.  Pour reprendre les mots d'un des intervenants lors de la conférence du Clusif : « il faut être un peu paranoïaque pour survivre dans ce monde de la sécurité de l'information ».

Des exemples de scams :
"Ail Momo", Nigéria 
"Faith Konani", Côte d'Ivoire 
"Dr.Abdul Jabar", Ministry of Finance and National Economy, Iraq