Luttons efficacement contre le hameçonnage

Au cours de l'année 2020, près de 2 millions de sites de phishing (hameçonnage) ont vu le jour selon le rapport de transparence de Google. Les cyber-criminels derrière ces sites web sont de plus en plus réactifs, et s'adaptent aux évolutions technologiques rapidement.
Il est, en effet, extrêmement rapide de créer un site web (1 à 2 heures tout au plus) mais le faire supprimer est une tout autre histoire (7 jours à plusieurs mois).

La France n'échappe pas au phénomène, et chaque citoyen est harcelé de courriels et de SMS frauduleux chaque mois.
N'avez-vous jamais reçu un mail, un SMS concernant votre compte CPF ou un soi-disant colis que vous n'attendiez pas ? Vous l'avez peut-être ignoré et supprimé, mais en agissant ainsi vous laissez gagner les cyber-criminels.
Pourtant, il est très complexe de signaler ces arnaques et de les faire disparaître rapidement :

- La plateforme de signalement 33700, destinée aux SMS. Celle-ci communique très peu sur ce que deviennent les signalements. Nul ne sait aujourd'hui combien de signalements sont traités, par quelle entité et son impact.

- La plateforme phishing-initiative.fr est peu connue du grand public et semble être laissée à l'abandon. Les délais de réponse sont également inadaptés au type d'attaque et à la réactivité des cyber-criminels.

- La plateforme de signalement Pharos ne semble pas adaptée, et ne dispose pas de catégorie "Hameçonnage" ou "phishing" permettant d'envoyer un rapport. Le nombre de rapports envoyés est limité, ce qui est problématique en cas de découverte de plusieurs cas de fraude.

- Les sociétés hébergeant ces sites web ou enregistrant les noms de domaine ont des taux de réponse très faible, et des délai de réponse variables (parfois plus d'un mois).

Face à ce constat, des solutions pourtant simples existent, sans besoin de surveillance accrue et sans entraver la liberté d'expression sur Internet. En voici quelques-unes, qui pourraient être prises dans des délais raisonnables et permettraient à la France de faire face efficacement aux attaques :

- L'AFNIC, association gérant les domaines Internet nationaux de premier niveau de la France (finissant par .fr) devrait avoir le droit de suspendre sans délai tout domaine usurpant l'identité d'un organisme d'Etat suite à un signalement. Elle devrait être informée de chaque signalement sur les plateformes comme phishing-initiatives concernant un domaine où elle a autorité afin de prendre toutes les mesures adaptées.

- L'AFNIC devrait élargir sa liste de domaines "soumis à examen préalable" en y incluant les divers organismes d'Etat. Par exemple, des domaines contenant "impots", "gouv", "ameli", "carte-vitale", "cpam" ou "assurance-maladie" devront être approuvés par l'autorité avant achat. Les acheteurs devront justifier leur demande, tout comme c'est le cas pour un certain nombre de domaines.

- La centralisation des moyens de signalement, sur une plateforme de type Phishing-Initiative à l'échelle de la France ou de l'Europe. Celle-ci pourra à la fois recueillir les signalements des mails de phishing, des SMS ainsi que des sites web concernés. Les victimes potentielles pourraient également recevoir de l'aide dans les démarches à effectuer pour rester en sécurité, une fois leur signalement effectué.

- Établir des rapports de transparence de ces différentes plateformes de signalement portant sur le nombre de cas reçus et le type d'action prises… Chaque personne signalant un hameçonnage devrait pouvoir savoir comment sa demande a été traitée (et savoir combien d'autres utilisateurs sont concernés).

N'oublions pas que les citoyens les plus touchés sont nos aînés, qui n'ont pas bénéficié de la culture internet que nous pouvons avoir. Ils sont souvent moins méfiants et se laissent prendre aux pièges de sites web toujours mieux réalisés.

Donnons à la France les moyens de participer activement à la lutte contre le phishing !