Comment des fraudeurs peuvent-ils faire des milliers d'heures d'appels outremer en s'infiltrant dans une simple boîte vocale?
Selon la Federal Communications Commission américaine, qui a donné à ce type d'arnaque le nom de «Yes... Yes... Yes... Fraud», les pirates expérimentés appellent les centrales téléphoniques d'entreprises pendant les jours de congé et cherchent dans le système de messagerie les boîtes vocales dont l'utilisateur n'a pas changé le mot de passe par défaut (généralement 1-1-1-1 ou 1-2-3-4).
Une fois qu'ils les ont trouvées, ils en changent le message d'accueil («Bonjour, vous avez atteint la boîte vocale de...») pour un message ressemblant à ceci: «Yes, yes, yes, yes, yes, operator, I will accept the charges.»
Les pirates, qui se trouvent à l'étranger, téléphonent ensuite à frais virés au numéro de la boîte vocale piratée. Lorsque le standard informatique reconnaît le mot «Yes» ou la combinaison «I will accept the charges», il achemine l'appel, aux frais du propriétaire de la boîte vocale.
La FCC n'explique pas comment les pirates font, une fois l'appel à frais viré en cours, pour le réacheminer à un autre destinataire. Il semble cependant que les mécanismes de renvoi automatique des appels soient utilisés dans certains cas.
Selon Bell, certains pirates arrivent aussi à pénétrer le système téléphonique entier sans même avoir à changer le message d'accueil.
On ne sait pas non plus exactement à qui les pirates vendent les minutes d'interurbains qu'ils dérobent. «Nous croyons que les fraudeurs clonent des cartes d'appel, qu'ils revendent à des clients», affirme le caporal Louis Robertson, du Centre d'appel antifraude de la GRC.
Cap'n Crunch et les «phreakers»
Les fraudeurs téléphoniques ne sont pas nés d'hier. En fait, ils existent depuis assez longtemps pour qu'on leur ait donné un nom: phreakers, un mot-valise issu de phone et freaks que l'on pourrait traduire par télépirates, ou pirates du téléphone.
Le plus célèbre des télépirates, John Draper, alias Cap'n Crunch, s'est fait connaître au début des années 70 pour sa méthode de piratage des lignes interurbaines d'AT&T et de Bell. À l'époque, un ami aveugle qui avait des connaissances en systèmes téléphoniques lui avait dit qu'un signal auditif de 2600Hz permettait d'activer le mode «opérateur» des réseaux et de faire des appels interurbains gratuitement.
Heureux hasard: un sifflet jouet offert en prime dans les boîtes de céréales Cap'n Crunch émettait un son de 2600 Hz.
Draper, qui a par la suite fabriqué un dispositif plus efficace pour pénétrer les réseaux téléphoniques, est vite devenu un héros de la contre-culture informatique naissante. Les autorités se sont intéressées à lui après que le magazine Esquire eut publié un article à son sujet en 1971. John Draper a écopé de deux mois de prison... durant lesquels il a enseigné à ses compagnons de cellule les rudiments du télépiratage.
Quelques conseils pour ne pas se faire prendre
Jusqu'à maintenant, au Canada, ce sont principalement de grandes et moyennes entreprises ontariennes qui se sont fait prendre par la Yes... Yes... Yes... Fraud. Mais selon le Centre d'appel antifraude de la GRC, les téléphones résidentiels ou cellulaires peuvent aussi en être la cible.
Voici quelques conseils pour y échapper:
> Changer immédiatement le mot de passe par défaut donné par le fournisseur de la messagerie téléphonique;
> Choisir un mot de passe composé d'au minimum 6 chiffres. Éviter les combinaisons faciles comme les dates d'anniversaire, les numéros de téléphone ou les répétitions du même chiffre (par exemple 0-0-0-0-0-0);
> Changer son mot de passe fréquemment ou, dans le cas des employeurs, programmer le système de messagerie pour que les employés soient obligés de le faire tous les 90 jours;
> Vérifier son message d'accueil régulièrement pour s'assurer qu'il n'a pas été modifié;