Depuis le début de l’année, les cas de fraudes en ligne se multiplient et laissent entrevoir les failles du système judiciaire suisse. Plongée dans les mécaniques d’une cybercriminalité toujours plus sophistiquée.
Sur Internet, on les sème derrière soi au fil des inscriptions en ligne, on les disperse sans trop y prêter attention. Et puis un jour, on reçoit un message a priori anodin d’un proche ou d’un expéditeur inconnu, cachant une requête pécuniaire. Ça y est, nos données se retrouvent entre les mains d’autrui.
Depuis 2025, l’Office fédéral de la cybersécurité a recensé plus de 25’000 signalements de cyberincidents, deux tiers étant des tentatives d’arnaque. La faute à une «dilution de notre maîtrise des données», explique Stéphane Koch, expert en sécurité de l’information et spécialiste de la réputation en ligne. Une perte de contrôle insidieuse, par exemple via l’option de synchronisation du carnet d’adresse sur une application de messagerie: «Quand ils autorisent l’accès, les utilisateurs ignorent qu’ils ne sont plus propriétaires de ces informations. Si les plateformes se font pirater, ces masses de contacts sont susceptibles d’être volées.» En dépit de leurs mesures de sécurité, les plateformes restent de véritables passoires pour toute une économie souterraine.
Source: Office fédéral de la cybersécurité (OFCS)
«La protection des données est bien plus fragile en Suisse que dans d’autres pays européens»
C’est ce qui est arrivé en 2022. Le site Cybernews a alors signalé la présence de 500 millions de numéros téléphoniques en vente sur le dark web. Parmi eux, 1.6 million proviennent de la Suisse. Stéphane Koch raconte avoir lui-même contacté le cybercriminel sur Telegram et être parvenu à obtenir un échantillon de numéros suisses valides.
Sur un forum connu des hackers, ledit criminel affirmait avoir dérobé ces données à l’application WhatsApp, bien que Meta ait nié ces allégations. Le géant du numérique avait pourtant reçu quelques jours plus tôt une amende de 256 millions d’euros de la part de l’Union européenne pour ne pas avoir suffisamment préservé les données de ses utilisateurs.
Sur le plan législatif, la Suisse a, quant à elle, encore une marge de progression. Le Règlement européen sur la protection des données (RGPD) peut amender les entreprises jusqu’à l’équivalent de 4% de leur chiffre d’affaires annuel mondial pour déficit de sécurité informatique.
En Suisse, la facture est moins salée et plafonne à 250’000 francs. Le constat de Stéphane Koch est sans appel: «La protection des données est bien plus fragile en Suisse que dans d’autres pays européens. Les entreprises préfèrent courir le risque, car l’amende est moins coûteuse que la mise en place de mesures de protection efficaces».
C’est aussi ce que pense Nicola Capt, avocat spécialiste en droit des nouvelles technologies: «On peut concevoir que, pour une multinationale, ce n’est pas un montant dissuasif». Il souligne malgré tout «l’euro-compatibilité» de la législation suisse en matière de cybersécurité. La loi fédérale sur la protection des données (LPD) oblige aussi bien les organes fédéraux que les entreprises privées à protéger correctement les données de leurs usagers (art. 8).
Selon l’avocat, les lacunes sont plutôt à chercher du côté des procureurs: «Il me paraît important d’avoir des procureurs spécialisés dans les technologies avancées. Je ne suis pas certain qu’on mette un accent suffisant sur la transdisciplinarité aujourd’hui. On pourrait sans doute aller plus loin dans la formation.»
«Avec l’IA, plus besoin de savoir créer du code pour lancer l’attaque»
Aujourd’hui, l’intelligence artificielle fait le bonheur de la criminalité informatique. Sur le dark web, des outils basés sur l’IA permettent de générer des nombres aléatoires, détaille Stéphane Koch. Il suffit d’entrer la racine «07» pour créer une série de numéros suisses. Les fraudeurs contactent ensuite, par appel ou par message, cet ensemble de numéros pour identifier ceux qui sont distribués. Le simple fait de décrocher ou de cliquer sur la conversation renseigne déjà les criminels sur l’existence d’un potentiel propriétaire.
En ressort une vaste base de données qui recense les numéros actifs. Les fraudeurs jettent ensuite les filets de leur arnaque. Si celle-ci échoue, qu’importe: cette base de données, créée de toutes pièces, pourra toujours être revendue. Cette manœuvre est bien moins coûteuse que le piratage d’une base existante. «Avec ces nouveaux logiciels clés en main, la fraude s’est démocratisée, déclare l’expert en cybersécurité. Plus besoin de savoir créer du code pour lancer l’attaque».
L’IA brouille également les pistes de la détection. Répondez à un appel frauduleux, vous aurez peut-être une voix synthétique au bout du fil qui se charge de la première prise de contact, avant qu’une organisation humaine ne prenne le relais. Les techniques de clonage de voix se perfectionnent également. Elles sont infaillibles dans les cas de spoofing, un type de logiciel qui permet d’afficher sur le téléphone du destinataire un numéro à choix. Autrement dit, une technique pour copier la voix ainsi que les coordonnées et se faire passer pour un proche de la victime.
Dans un article de la Tribune de Genève, un entrepreneur genevois raconte en avoir fait les frais en février dernier, les fraudeurs ayant cloné sa voix dans de faux messages vocaux pour soutirer de l’argent à son entourage. Face à ces mécaniques sur mesure et toujours plus imperceptibles, Stéphane Koch appelle à une vigilance accrue: «Ce qui est essentiel, c’est de prendre conscience de tous les nouveaux éléments constitutifs d’une escroquerie. Il faut observer l’actualité et s’informer sur le fonctionnement des fraudes.»
