Pas de facturation abusive ? Pas si sûr...

La faille de sécurité qui permet d'envoyer des SMS en se faisant passer pour quelqu'un d'autre continue à susciter énormément de réactions. Parmi les points qui posent question figure en particulier la facturation des SMS falsifiés.

Mathieu Van Overstraeten
Pas de facturation abusive ? Pas si sûr...
©Bernard Demoulin

La faille de sécurité qui permet d'envoyer des SMS en se faisant passer pour quelqu'un d'autre continue à susciter énormément de réactions. Parmi les points qui posent question figure en particulier la facturation des SMS falsifiés. Est-ce que la personne dont on a usurpé l'identité pour envoyer des messages se voit également facturer ces messages ?

Pour Olivier de Wasseige, l'administrateur délégué de la société Defimedia, la réponse est clairement "non". C'est également l'avis du site spécialisé Astel.be, pour qui "il n'est pas vrai qu'il est possible de faire facturer un tel SMS fantôme à la personne dont on utilise le numéro comme numéro d'expéditeur car pour ce faire, il faudrait utiliser l'identité du client à facturer, c'est-à-dire sa carte SIM".

Mais ces raisonnements ne valent que pour les numéros de GSM "classiques". Par contre, si le "pirate" utilise un numéro court à quatre chiffres (utilisés notamment pour les concours ou les votes par SMS), on entre dans le principe du "reverse billing", à savoir que c'est le destinataire du message qui est facturé. Dans ce cas, il y a donc bel et bien possibilité de facturation abusive, même si l'obtention d'un numéro court coûte cher et qu'une éventuelle fraude de ce type serait sans doute rapidement repérée.

Mais il existe aussi des abus plus insidieux. On peut imaginer, par exemple, qu'une personne mal intentionnée envoie un SMS avec un numéro qui ne lui appartient pas pour inscrire cette personne à l'envoi régulier de logos, de sonneries ou de résultats sportifs par SMS. Etant donné que ces services fonctionnent aussi selon le principe du "reverse billing", la facture peut rapidement s'alourdir.

Accusés de réception

Mais évidemment, l'abus le plus grave lié à l'usurpation d'identité via SMS concerne les risques pour les enfants. Un pervers peut utiliser ce système pour se faire passer pour un des deux parents, par exemple, et fixer rendez-vous quelque part. "Pour éviter ce genre de problèmes, parents et enfants peuvent se mettre d'accord pour terminer toujours leurs SMS avec la même formule, par exemple , propose Olivier de Wasseige. Ou alors, plus sûr encore, choisir de passer un coup de fil plutôt que d'envoyer un SMS."

Pour le patron de Defimedia, il n'existe pas vraiment de solution technique à ce problème, qui ressemble à celui du "phishing" dans l'e-mail. Pour y remédier, il propose notamment de généraliser le principe des accusés de réception, ce qui permettrait à l'utilisateur d'immédiatement se rendre compte du fait que quelqu'un a usurpé son identité.

Il rappelle, par ailleurs, que tous les SMS dont on a changé le nom de l'expéditeur ne sont pas forcément frauduleux. "Nous envoyons notamment des SMS signés par des communes", dit-il.

© La Libre Belgique 2007