Si le fait que les courriers électroniques (emails) ne proviennent pas toujours de l’adresse indiquée est de notoriété publique, peu de personnes savent que le numéro de l’expéditeur d’un SMS peut également être contrefait par pratiquement n’importe qui.

SMS spoofing ou usurpation d’identité pour le numéro de l’expéditeur d’un SMS

Si il est difficile d’envoyer des SMS en numéro caché/masqué, il n’en reste pas moins que c’est possible. Mais ce n’est pas tout : le numéro d’expéditeur d’un SMS peut également être usurpé.

En anglais, cela s’appelle le SMS spoofing[1] (ou usurpation d’identité pour les SMS).

Le plus souvent, cela se passe par le web (souvent “service” payant nécessitant de donner son numéro de carte bancaire ou alors de payer par paypal, ou test gratuit). Parfois il s’agit simplement de services d’envoi de sms par le web demandant le numéro de SMS de l’expéditeur sans le vérifier, mais il y a des sites qui font ouvertement leur argumentaire sur la possibilité d’inscrire autre chose que votre numéro…

Je ne serais pas surpris qu’il puisse exister des services permettant de faire l’opération directement depuis le mobile en passant par un numéro de SMS surtaxé en intermédiaire.

Moral, Légal?

Tout dépend du but visé et de comment c’est fait.

Ce type de possibilité est parfois simplement utilisé pour afficher un texte quelconque à la place d’un numéro d’expéditeur. Dans ce cas, cela peut paraître sympa et utile pour le marketing et l’image, mais il va de soit que celui qui reçoit le message doit avoir un moyen de contacter l’expéditeur (y compris s’il vient de recevoir le message par erreur suite à un numéro ré-attribué…).

Sinon il va de soi que je déconseille à quiconque d’envoyer un SMS avec le numéro de quelqu’un d’autre. Même pas pour une blague, un jeu ou une plaisanterie. Usurper l’identité de quelqu’un d’autre est immoral et illégal dans de nombreux pays (à plus forte raison lorsque cette usurpation peut nuire à la personne dont l’identité est usurpée).

De plus, même si vous êtes certain de ne pas utiliser un numéro de portable existant, je vous le déconseille quand même (sauf si vous êtes le récepteur et que vous vous limitez au test) : à priori quand on envoie un SMS honnête ce n’est pas préférable de dissimuler son identité…

Lorsque vous recevez un SMS prudence s’impose…

C’est là particulièrement la raison pour laquelle j’écris ce post : plus les gens croiront aveuglément que le numéro indiqué est forcément celui de l’expéditeur et plus le danger est grand.

Si vous recevez un SMS douteux ou à très forte importance, contactez l’expéditeur de façon directe pour vérifier. En cas de harcèlement avéré, prenez contact avec les autorités compétentes (police ou gendarmerie) qui pourront utiliser la voie légale pour obtenir des informations précieuses auprès des opérateurs. (Il n’est pas systématiquement possible de remonter à l’expéditeur réel, mais il devrait au moins être détecté que le SMS en question n’a pas été envoyé par une voie normale…).

Si vous utilisez ou concevez une application informatique gérable par SMS

Je pense notamment à l’affaire du “piratage” de certains compte Twitter par SMS [2].

Méfiez vous de tout ce qui est gérable par SMS et qui utilise le numéro de l’expéditeur pour identifier et authentifier l’utilisateur. Le plus simple est souvent de ne pas donner son numéro de SMS inutilement sur le web : vous éviterez ainsi le risque que quelqu’un joue avec votre compte sur un site.

Notes et liens

[1] Le seul lien que je fournirais ici (afin de fournir plus d’informations sur l’existence du phénomène sans aider quiconque à effectuer des actions douteuses) est vers le Wikipédia anglophone : http://en.wikipedia.org/wiki/SMS_spoofing (j’ai toutefois vu des sites qui proposent le service réel voire de tester gratuitement…)
[2] Un article en anglais sur le sujet est disponible à l’adresse http://www.theregister.co.uk/2009/03/06/twitter_sms_spoofing_risk/