Le principe est simple, tellement simple qu'il marche. Qu'il s'agisse de la fortune de Bill Gates, d'un fonds de pension américain ou de la loterie nationale d'un état quelconque, l'internaute reçoit un email l'informant qu'il a gagné une grosse somme d'argent, et l'invite à prendre contact avec l'expéditeur pour voir comment récupérer son gain. Quelques échanges de mails plus tard, il lui sera demandé de débloquer une certaine somme d'argent ou de communiquer ses informations bancaires. Les raisons invoquées varient, mais il s'agit en général de régler les frais de dossier liés au transfert de la somme.
Si les geeks évoquent « l'interface chaise clavier » comme la principale faille de sécurité des ordinateurs actuels, les professionnels de la sécurité préfèrent parler d'ingénierie sociale. « Plus vous solidifiez un système informatique, et plus les attaques se rapprochent des utilisateurs », résume Bernard Ourghanlian, directeur technique et sécurité chez Microsoft France. Et si les gens qui lisent la presse spécialisée sont sensibilisés depuis des années à ce type de menace, il n'en irait pas de même auprès du grand public. « On voit des gens venir frapper à la porte de Microsoft, et réclamer le prix qu'ils croient avoir gagné à la loterie de la fortune de Bill Gates », raconte ainsi B. Ourghanlian.
Une étude Ipsos, commanditée par Microsoft, soutient ce raisonnement. Conduite dans sept pays européens, dont la France, celle-ci souligne que les internautes sont sensibles à ces tentatives d'escroquerie qui sapent, au moins partiellement, leur confiance dans le commerce électronique et Internet. 43% des 686 internautes français interrogés dans le cadre de cette étude ne se sentiraient ainsi pas vraiment en sécurité face aux escroqueries susceptibles de leur coûter de l'argent. Un quart d'entre eux estime que ces messages ne sont pas forcément des arnaques en puissance, et 18% les ouvrent. Enfin, un sondé sur cinquante au niveau européen a répondu à ces messages, s'exposant à une escroquerie dont le montant va généralement d'une centaine d'euros à plus de sept mille...
Pour Marc Mossé, directeur des affaires publiques et juridiques de Microsoft, l'objectif de cette nouvelle alliance est d' « essayer de comprendre le fonctionnement des réseaux qui organisent ces campagnes de spam, pour arriver à tarir la source de ces escroqueries ». Pour ce faire, chacun de ses membres ouvrira une adresse email destinée aux recueils des témoignages de victimes, et communiquera à son sujet, de façon à la faire connaitre du plus grand nombre.
Microsoft, positionné par les sondés au troisième rang des responsables de l'expansion de ce phénomène derrière les éditeurs en sécurité et les fournisseurs d'accès à Internet, admet que cette opération est bénéfique en termes d'image, mais insiste sur la nécessité d'apporter une réponse qui soit à la hauteur du préjudice subi par les victimes. Les informations recensées par l'Alliance devraient permettre à ses membres de constituer des dossiers étayés, qui pourront ensuite être transmis aux forces d'investigation et autorités publiques des différents pays où sévit le phénomène.
Bienvenue, l'initiative ne parait pas à première vue foncièrement différente de ce que proposent déjà la France et la Cnil avec Signal Spam, qui a déjà permis de recueillir plus de 12 millions de messages frauduleux. Il existe pourtant une nuance de taille : Yahoo, Microsoft et les autres invitent ici les vraies victimes à leur faire part de leur expérience. Autrement dit, il ne s'agit pas de référencer tous les spams qui circulent, mais plutôt les cas concrets, ceux qui ont donné lieu au dépôt d'une plainte.
Il reste en effet un problème de taille : bien que l'on attribue une part de responsabilité aux géants de l'Internet, ces derniers ne peuvent se substituer à l'internaute pour déclencher des poursuites, puisqu'il faut que la plainte émane de la victime. Pour contourner ce qu'il présente comme une carence de la loi, Microsoft explique avoir déjà argué d'un problème de contrefaçon pour pouvoir trainer un spammeur en justice. Yahoo a de son côté initié en mai dernier des poursuites contre un réseau de ce type, mais là encore pour contrefaçon de marque.
En France, la question pourrait être abordée dans le cadre de la réforme de la Loi dans la confiance pour l'économie numérique (LCEN), à laquelle le député Jean Dionis du Séjour suggérait en janvier dernier que l'on apporte un amendement permettant « aux opérateurs de réseaux d'agir en justice contre les auteurs de spams qui utilisent leurs réseaux ». Cette alliance permettra-t-elle de faire avancer les choses ? Difficile, dans le contexte actuel, d'autant que manquent encore au rang des inscrits des firmes ô combien concernées par la question telles que les FAI, les banques, ou les prestataires de service de paiement tels que PayPal...