Nouveau
Sécurité crypto
Cours 12
10 min

Qu'est-ce que le spoofing ?

Le spoofing est une arnaque qui prospère depuis des années. Pas un mois ne passe sans que les journaux relaient l’histoire de victimes recevant de faux emails de leur conseiller bancaire, et qui transfèrent de l’argent sans soupçon… avant de se rendre compte trop tard de l’escroquerie. Au cœur de ce type de fraude, de faux emails pareils en tout point aux courriers habituels de leur banque, des appels d’un numéro identique à celui de leur conseiller, etc. C’est ce qu’on appelle le “spoofing”. Et les investisseurs crypto sont maintenant la cible privilégiée de ce type d’attaque. Voici tout ce qu’il faut savoir sur ce phénomène d’ampleur, et les moyens de se protéger.

Qu'est-ce que le spoofing ? Définition et signification

Le terme “spoofing” est dérivé de “spoof”, qui signifie littéralement canular, imposture. Dans sa forme la plus courante, le spoofing falsifie l'adresse d'expédition d'un email pour se faire passer pour une source tout ce qu’il y a de plus légitime.

Imaginons un scénario typique : un employé reçoit un email qui semble provenir du PDG de son entreprise. L'adresse email affiche “[email protected]” (l'adresse réelle du PDG), et la signature est parfaitement imitée.

Le message demande un virement urgent pour finaliser une acquisition confidentielle, mettant l'accent sur l'urgence et la discrétion. Le message est souvent envoyé en fin de journée ou avant un week-end pour tirer le meilleur parti du sentiment d’urgence de la victime. Cela se révèle particulièrement efficace car plusieurs éléments sont combinés :

  • Une autorité légitime (le PDG)

  • Un contexte crédible (une acquisition confidentielle)

  • Un sentiment d'urgence qui pousse à l'action immédiate

  • Une apparence visuelle parfaitement authentique

Comment fonctionne le spoofing par email ?

Le fonctionnement du spoofing exploite la confiance inhérente aux rouages d’internet. Imaginez le système d'emails comme un service postal. Dans le courrier traditionnel, n'importe qui peut écrire n'importe quelle adresse d'expéditeur sur une enveloppe. Le protocole email (SMTP) fonctionne de la même façon : il a été conçu pour la transmission des messages, pas pour la vérification de l'expéditeur.

Cette architecture historique rend le spoofing techniquement simple à réaliser. La barrière technique a été encore abaissée avec l’apparition de logiciels disponibles sur le Web, exploitant l’une des techniques suivantes.

Le typosquatting

Elle consiste à créer des noms de domaine qui ressemblent comme deux gouttes d'eau aux sites officiels, en jouant sur de subtiles modifications : des fautes d'orthographe proches (laposte.fr devient lappost.fr), des extensions différentes (amazon.fr devient amazon-fr.com) ou l’utilisation de majuscules trompeuses (PayPaI.com, avec un I majuscule à la fin).

L’usurpation d’alias

Technique plus simple mais redoutablement efficace. Les pirates se contentent ici de modifier le nom qui s'affiche dans votre boîte mail. Ainsi, un email peut apparaître comme venant de “Support Client - Bitpanda" alors que l'adresse réelle est totalement différente, du type “[email protected]”. L'attaquant compte sur le fait que la plupart des gens ne vérifient pas l'adresse email complète, se contentant de regarder le nom affiché.

L’usurpation de nom de domaine

C'est la technique la plus sophistiquée. Les pirates modifient les informations techniques de l’email (ce qu'on appelle les en-têtes) pour faire croire que le message provient réellement du domaine officiel. Par exemple, un email peut sembler provenir de “[email protected]" alors qu'il a été envoyé depuis une toute autre adresse !

Avec ces trois techniques, le spoofing mise sur l’effet de masse : même si seul un faible pourcentage de tentatives réussit, les milliers, voire millions d’emails envoyés rendent la technique rentable pour les cybercriminels. Un seul succès peut suffire à compromettre un réseau entier ou à dérober des sommes importantes.

Quelles sont les variantes du spoofing ?

Le spoofing d’adresse IP (IP spoofing)

Il s’agit d’une cyberattaque particulièrement redoutable, dans laquelle l’attaquant masque son adresse IP et fait passer son ordinateur pour un appareil de confiance. Sur Internet, chaque appareil communique en effet via une adresse IP, à l’image d’une plaque d'immatriculation pour les voitures. Dans une attaque par IP spoofing, le pirate modifie cette “plaque d'immatriculation” grâce aux paquets de données que son ordinateur envoie.

Le spoofing téléphonique (caller ID spoofing)

Il s’agit d’une technique qui consiste à falsifier le numéro de téléphone qui s'affiche sur l'appareil du destinataire lors d'un appel. Elle est particulièrement dangereuse car elle exploite notre tendance naturelle à faire confiance aux numéros que nous reconnaissons. Elle est surtout possible car le système téléphonique affiche le numéro appelant grâce à un protocole appelé SS7. Ce protocole fait confiance aux informations qu'on lui donne, sans vraiment les vérifier.

Quelles sont les cibles privilégiées du spoofing ?

Les entreprises et leur trésorerie

Un des cas emblématiques de la cybercriminalité au spoofing est celui du groupe français de cinéma Pathé, dont la filiale néerlandaise a perdu 19,2 millions d'euros en 2018. Les fraudeurs se sont fait passer pour Marc Lacan (alors directeur général), dans une série d'emails envoyés à la directrice financière néerlandaise. La communication mentionnait une prétendue acquisition confidentielle à Dubaï, nécessitant des transferts d'argent urgents.

L'attaque a été remarquablement élaborée : les emails imitaient parfaitement le style de communication de la direction, utilisaient les bons logos et signatures, et faisaient référence à des processus d'entreprise crédibles. Les fraudeurs ont même organisé de faux appels en conférence avec de supposés avocats pour renforcer la crédibilité de l'opération. Au total, 19,2 millions d'euros ont été transférés vers des comptes en banque à l'étranger. 

Les investisseurs crypto

Les investisseurs crypto sont également des cibles privilégiées des fraudeurs, sachant que les transactions sur la blockchain sont irréversibles. En décembre 2024, une campagne de spoofing a ciblé les investisseurs crypto utilisant les portefeuilles matériels (hardware wallets) Ledger. Les attaquants ont usurpé l'adresse mail officielle du support Ledger pour envoyer de fausses alertes.

Ces emails prétendaient qu'une “récente fuite de données” avait eu lieu chez Ledger, et demandaient aux utilisateurs de “vérifier” leur phrase de récupération privée (seed phrase) pour soi-disant “protéger” leurs actifs. L'email redirigeait alors les investisseurs vers un faux site web, qui imitait parfaitement l'apparence du site officiel de Ledger. Une fenêtre pop-up leur demandait alors d'entrer leur seed phrase, qui rappelons-le est la combinaison de 24 mots qui donne accès complet au portefeuille.

Envie d’acheter des cryptomonnaies ?

Inscrivez-vous

Qu’est-ce que le spoofing de carnet d'ordres, manipulation de marché spécifique aux cryptos ?

Dans l’écosystème des cryptomonnaies, le spoofing prend une forme particulière. La pratique consiste à passer des ordres d'achat ou de vente... avec l'intention de les annuler avant exécution. L’objectif ? Créer une fausse impression de liquidité afin d’influencer les cours. Concrètement :

  1. Le manipulateur place des ordres d'un montant important à des seuils stratégiques, juste en-dessous du prix actuel du marché. Par exemple, si le Bitcoin s'échange à 95 000$, il passera de gros ordres d'achat à 94 500$.

  2. Les autres traders remarquent ces ordres massifs, et croient qu'ils reflètent un intérêt significatif pour le Bitcoin à ce niveau de prix. Ils anticipent donc une hausse imminente et ajustent leurs propres ordres en conséquence. Ceux qui avaient l'intention de vendre vont relever leurs prix de vente.

  3. Juste avant que ses ordres ne soient exécutés, le manipulateur les annule discrètement. Ainsi, le support de cours que ces ordres étaient censés représenter disparaît soudainement.

  4. L'annulation soudaine des gros ordres d'achat crée un vide dans le carnet d'ordres, juste en-dessous du prix actuel. Les traders vendeurs, dont les ordres étaient positionnés au-dessus de ce seuil, se retrouvent alors exécutés à des prix bien inférieurs. Cette vague de ventes soudaines et imprévues fait chuter le cours rapidement, permettant au manipulateur d'acheter un grand nombre de bitcoins à bas prix.

  5. Une fois sa position acquise à un prix artificiellement faible, le manipulateur cherche à faire remonter les cours ou attend qu’ils remontent naturellement pour revendre avec profit.

Sur les marchés financiers régulés, ce spoofing de carnet d'ordres est strictement interdit depuis des années, et les autorités traquent les manipulateurs. Par exemple, un ex-trader de la Deutsche Bank, le Britannique James Vorley, avait été condamné à l’été 2021 par un tribunal américain à une peine d’un an et un jour de prison, pour avoir eu massivement eu recours au spoofing sur le cours de l’Or et de l’Argent, entre 2008 et 2013. Cependant, dans l'écosystème crypto encore peu encadré, le spoofing continue de faire des ravages.

Qu’est-ce qu’un “Spoof coin” ?

Les “spoof coins”, littéralement “fausses cryptomonnaies” représentent également une autre forme de fraude dans l'écosystème crypto. Comme leur nom le suggère, il s'agit de tokens ou de cryptomonnaies créés spécifiquement pour imiter une cryptomonnaie populaire et légitime. Les fraudeurs créent un nouveau token avec un nom, un symbole et une identité visuelle très similaires à leur modèle :

  • SHIBA sur BSC : le véritable SHIB est sur Ethereum, mais des copies circulent sur la BNB Smart Chain.

  • BONK sur Ethereum : le vrai token BONK est natif de Solana, mais des copies circulent sur d'autres chaînes.

  • XRP sur BSC : des tokens nommés “Ripple” ou “XRP” sur la BNB Smart Chain, qui ne sont évidemment pas le véritable Ripple.

Il existe aussi des variantes plus subtiles dans les noms : BlTCOIN (avec un L minuscule qui ressemble à un I), USDC_ (avec un underscore discret), ŞOL (avec une cédille sous le S), DOGE2 (ajout d'un numéro au nom original), etc. Cette technique est particulièrement dangereuse sur les plateformes d'échange décentralisées (DEX), où n'importe qui peut créer et lister un token. Les victimes, pensant acheter la véritable cryptomonnaie, acquièrent en réalité ces tokens sans valeur.

Utiliser une plateforme centralisée et régulée comme Bitpanda réduit significativement les risques de tomber sur un spoof coin. Vous ne pourrez y acheter que le “vrai” Bitcoin, le “vrai” Ethereum ou le “vrai” USDT. La plateforme vérifie les adresses des contrats intelligents, elle n'accepte que les versions officielles des tokens sur leurs blockchains natives.

Conclusion : comment se protéger du spoofing par email ?

L'exemple de l'attaque spoofing par email visant les utilisateurs de portefeuilles Ledger en décembre 2024 est révélatrice de la menace pesant sur les investisseurs crypto. Contrairement aux transactions bancaires classiques, les transferts de cryptomonnaies sont irréversibles. Une fois validés, impossible de les annuler. Si le spoofing réussit, la victime a peu de recours pour récupérer ses actifs. Les cybercriminels exploitent cette caractéristique pour voler des fonds de manière définitive.

La sécurité chez Bitpanda et les plateformes crypto de référence est parvenue à un niveau tel qu’elles sont devenues quasi-impossibles à pirater directement. Les pare-feu, antivirus et autres systèmes de sécurité sont aujourd'hui très sophistiqués. Face à ces défenses techniques robustes, les cybercriminels se sont naturellement tournés vers le maillon le plus vulnérable : l'humain. C'est ce qu'on appelle l'ingénierie sociale.

C’est la raison pour laquelle vous devez redoubler de vigilance quant à vos emails. Vérifiez systématiquement l'adresse complète de l'expéditeur, pas seulement le nom affiché. N’ignorez pas les petites incohérences ou petites fautes suspectes. Méfiez-vous des mails inattendus contenant des pièces jointes ou des liens, même provenant d'entreprises connues. En cas de doute, prenez le temps de contacte l'entreprise via un autre canal, pour vérifier. Et surtout, ne donnez jamais d'informations confidentielles (identifiants, mots de passe, coordonnées bancaires) par email, même si la demande vous semble légitime.

Cet article ne constitue en aucun cas un conseil en investissement ni une offre ou une invitation à acheter des actifs financiers numériques.

Le présent article est fourni à titre d'information générale uniquement et aucune déclaration ou garantie, expresse ou implicite, n'est faite et aucune fiabilité ne doit être accordée quant à l'équité, l'exactitude, l'exhaustivité ou la justesse de cet article ou des opinions qui y sont contenues.

Certaines déclarations contenues dans cet article peuvent concerner des attentes futures fondées sur nos opinions et hypothèses actuelles et comportent des incertitudes susceptibles d'entraîner des résultats, performances ou événements réels différents de ces déclarations. 

Ni Bitpanda GmbH, ni aucune de ses filiales, conseillers ou représentants ne peuvent être tenus responsables de quelque manière que ce soit en relation avec cet article. 

Veuillez noter qu'un investissement dans des actifs financiers numériques comporte des risques en plus des opportunités décrites ci-dessus.