Le spoofing téléphonique consiste à falsifier un numéro de téléphone afin de masquer l’identité réelle de l’appelant. Utilisée dans de nombreuses campagnes de fraude, cette technique permet aux cybercriminels d’usurper le numéro de téléphone d’une entreprise, d’une banque ou d’un contact de confiance pour tromper leurs victimes. L’objectif ? Dérober des données personnelles, obtenir des informations sensibles ou déclencher des virements bancaires frauduleux au préjudice des entreprises. En forte augmentation ces dernières années, le spoofing représente aujourd’hui une cybermenace majeure pour les entreprises comme pour les particuliers.

Qu’est-ce que le spoofing téléphonique ? Définition.

Le spoofing téléphonique, également appelé usurpation de numéro, est une technique de manipulation consistant à modifier artificiellement le numéro affiché lors d’un appel entrant.

Concrètement, l’appelant masque son véritable numéro pour faire apparaître :

  • un numéro local,
  • le numéro d’une entreprise,
  • celui d’une banque,
  • d’un service public,
  • ou même le numéro d’un proche.

Cette pratique, basée sur l’ingénierie sociale, permet de gagner la confiance de la victime afin de l’inciter à :

  • communiquer des informations sensibles,
  • effectuer un paiement,
  • cliquer sur un lien frauduleux,
  • ou installer un logiciel malveillant.

Le spoofing est largement utilisé dans les campagnes de phishing vocal, également appelé vishing (voice phishing).

Comment fonctionne le spoofing téléphonique et l’usurpation de numéro de téléphone ?

Le spoofing repose principalement sur les technologies de téléphonie IP (VoIP), qui permettent de modifier l’identifiant d’appelant transmis lors d’une communication.

Les cybercriminels utilisent des plateformes ou infrastructures capables :

  • de falsifier le Caller ID (identifiant de l’appelant) du protocole de signalisation,
  • de générer des appels automatisés,
  • d’usurper des numéros existants (numéros géographiques ou courts reconnus par la victime),
  • ou de lancer des campagnes massives de fraude téléphonique.

Dans certains cas, les escrocs exploitent des failles de configuration ou des services de routage téléphonique insuffisamment sécurisés. Ils peuvent également utiliser des techniques de contournement : l’appel transite par des serveurs à l’étranger pour échapper aux régulations locales.

Appel masqué ou numéro inconnu : qui se cache derrière ces appels frauduleux ?

L’utilisation d’un numéro masqué ou d’un appel d’un numéro privé est souvent la première étape d’une tentative de spoofing. Si l’escroc ne parvient pas à falsifier un numéro précis, il peut choisir de dissimuler totalement son identité pour piquer la curiosité ou générer de l’inquiétude. Face à un numéro inconnu, la prudence est de mise, car ces appels peuvent précéder des campagnes de fraude plus vastes.

Comment arrêter ou se protéger du spoofing téléphonique ?

La lutte contre le spoofing repose sur une combinaison de mesures techniques et organisationnelles.

  • Sensibiliser les collaborateurs : les équipes doivent être formées aux techniques de vishing et aux méthodes d’ingénierie sociale utilisées par les fraudeurs.
  • Vérifier les demandes sensibles : aucune information confidentielle ou validation financière ne doit être transmise uniquement sur la base d’un appel téléphonique.
  • Sécuriser les infrastructures VoIP : les entreprises doivent renforcer l’authentification,le contrôle des accès,la sécurisation des Trunks SIP et la supervision des flux téléphoniques.
  • Déployer des solutions de détection : certaines plateformes de cybersecurite et solutions télécoms permettent d’identifier des comportements suspects,de détecter des appels frauduleuxou de bloquer des campagnes de spoofing.
  • Mettre en place des procédures de validation : les opérations sensibles doivent systématiquement faire l’objet d’une double vérification via un canal distinct.

Par ailleurs, pour contrer ces attaques, les autorités ont renforcé le cadre légal. Depuis le 1er octobre 2024, la loi Naegelen impose aux opérateurs téléphoniques le déploiement du MAN (Mécanisme d’Authentification des Numéros). Ce système vérifie l’authenticité de l’identifiant de l’appelant avant de délivrer l’appel. Si l’identité n’est pas certifiée, l’opérateur téléphonique doit techniquement couper la communication.

Comment vérifier un numéro de téléphone suspect et signaler un numéro de téléphone ?

Si vous recevez un appel d’une entité de confiance demandant des informations sensibles, ne donnez jamais suite immédiatement. Pour vérifier un numéro de téléphone suspect, raccrochez et rappelez vous-même l’organisme en utilisant le numéro officiel présent sur vos factures ou votre espace client. En cas d’arnaque téléphonique par numéros falsifiés, il est essentiel de signaler le numéro de téléphone sur les plateformes officielles comme sur le site de l’Arcep ou le numéro 33700 pour les spams/SMS afin d’enrichir la liste de numéro de téléphone suspect partagée entre les opérateurs.

Comment identifier des attaques de type spoofing ?

Certains indices peuvent permettre d’identifier une tentative de spoofing téléphonique :

  • Un appel prétendument urgent ou alarmant.
  • Une demande d’informations confidentielles.
  • Un interlocuteur insistant ou menaçant.
  • Une incohérence dans le discours.
  • Une demande de validation immédiate.
  • Un numéro identique à celui d’un organisme connu.
  • Des appels répétés provenant de différents numéros similaires.

Même si le numéro affiché semble authentique, il ne garantit jamais l’identité réelle de l’appelant.

Quelles sont les principales technologies anti-spoofing ?

Les opérateurs et acteurs télécoms déploient progressivement des mécanismes visant à renforcer l’authenticité des appels.

Parmi les principales technologies :

  • authentification des appels SIP,
  • protocoles STIR/SHAKEN,
  • filtrage anti-spam vocal,
  • analyse comportementale,
  • détection des anomalies d’appel,
  • intelligence artificielle appliquée à la fraude téléphonique.

Ces dispositifs contribuent à limiter l’usurpation de numéro et à améliorer la confiance dans les communications vocales.

Ce qu’il faut retenir du spoofing téléphonique

  • Le spoofing téléphonique consiste à falsifier l’affichage du numéro appelant pour tromper l’interlocuteur.
  • Le mécanisme MAN (Mécanisme d’Authentification des Numéros) permet désormais aux opérateurs de bloquer les appels non certifiés.
  • La vigilance reste de mise car les escrocs utilisent désormais des applications tierces pour contourner les protections.
chevron_left Voir toutes les définitions