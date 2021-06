Mathieu Tamigniau est journaliste et spécialisé dans le domaine du numérique et des technologies. Il a écrit pour RTL Info plusieurs dizaines d’articles au sujet du phishing, ou "hameçonnage", cette technique frauduleuse qui permet à des voleurs en ligne de dérober des données personnelles à leurs victimes. Nous recevons souvent des messages de Belges qui ont failli tomber dans le panneau, ou pire, qui ont perdu de l’argent suite à ce type d’escroquerie. Mathieu nous explique pourquoi ça marche encore, et comment éviter de se faire avoir.

Patrick, un habitant de Nivelles, nous a contactés via le bouton orange Alertez-nous pour avertir d'un SMS frauduleux qu’il a reçu. Ce message, rédigé en néerlandais, lui promettait une aide de l’État dans le cadre de la crise du Covid-19. Bien renseigné, Patrick n’a pas cliqué sur le lien que contenait le SMS et a tout de suite signalé la fraude sur le site Safe on web.

Pour aller plus loin, nous avons demandé à Patrick de nous transférer ce SMS, afin d’analyser les méthodes des fraudeurs. Mathieu Tamigniau, notre journaliste spécialiste du numérique, s’est prêté à l’expérience.

Cliquer ou ne pas cliquer ?

Nous avons cliqué sur le lien envoyé dans le SMS. Pourtant, la première étape, lorsque vous recevez un message que vous jugez douteux, qui contient un lien, et provenant d’un numéro inconnu, c’est de ne surtout pas cliquer sur le lien. Même si, a priori, ce n’est pas dangereux. "Quand on clique sur un lien, on ouvre une page sur internet, dans le navigateur de son téléphone ou de son ordinateur", explique Mathieu Tamigniau, smartphone en main. "Cette page, elle ne sait rien faire toute seule. Elle peut lire quelques cookies publicitaires, mais en aucun cas elle ne peut dérober des données personnelles uniquement parce que vous avez cliqué sur un lien. Pour cela, il faut encoder ses données : son nom, prénom, son adresse, etc. Et ensuite, il faut valider l’envoi des données."

Cependant, certains liens, souvent contenus dans des e-mails, peuvent aussi être porteurs de virus informatiques plus ou moins élaborés. Ces virus peuvent parfois permettre à des pirates d’accéder à vos données personnelles. C’est pour cela que, dans le doute, il est vivement conseillé de ne pas cliquer sur les liens douteux que vous recevez.

Le site semble réel... mais il s'agit bien une arnaque

"On arrive sur une page des autorités néerlandaises, soi-disant", commente notre spécialiste après avoir ouvert le lien contenu dans le SMS frauduleux. "On remarque directement que l’URL n’a rien d’officiel : 'vergoeding-brussel.me' [vergoeding = compensation, NDLR]. Le nom de domaine 'point ME', ça vient d’un pays étranger."

En effet, le ".me" contenu dans l’adresse correspond au Monténégro. Il est totalement impossible qu’une compensation Covid-19 octroyée par l’État soit liée à un site hébergé au Monténégro, cela n’a pas beaucoup de sens et doit directement vous alerter.

Par ailleurs, le site entier ne contient qu’une seule page. Celle-ci est entièrement rédigée en néerlandais, ce qui peut dérouter une personne qui ne comprend pas la langue, et contient des informations fausses. "Supplément Covid-19 relatif aux allocations familiales", peut-on lire en titre. Ce supplément d’allocations, qui promet 120 euros de compensation financière par enfant aux personnes qui résident en Flandre, existe. Cependant, il n’est plus accessible depuis octobre 2020, et il n’a jamais été question d’introduire une demande d’aide par SMS. Cette fraude est d’ailleurs signalée par la caisse d’allocations familiales flamande sur son site.

C'est vrai que c'est bien fait

Plus bas sur cette page, se trouve un listing de plusieurs banques belges. Le site vous invite à choisir votre banque, afin d’entrer par la suite vos données bancaires. "C’est vrai que c’est bien fait", admet le journaliste Mathieu Tamigniau. "C’est écrit dans un néerlandais qui semble relativement correct. Ils proposent de vraies banques, donc il y a une certaine mise en confiance. Il y a le logo des banques, le nom des banques. Ensuite, lorsqu’on clique, on arrive sur une autre page, avec à nouveau le logo de la banque. Effectivement, il y a un travail qui est fait sur le design de la page web, qui peut paraître assez sûr."

Que font les escrocs avec vos données bancaires ?

Lorsque vous introduisez votre numéro de carte bancaire, et sa date de validité, les fraudeurs mettent un pied supplémentaire dans votre vie privée, mais cela ne s’arrête pas là. "Ils vont aller sur un ordinateur, ouvrir le site de ta banque, rentrer ton numéro de carte et ton numéro de client, mais après ils ont besoin de plus", précise Mathieu. "Il ont besoin que tu mettes ta carte dans ton lecteur de carte, que tu introduises ton code et que tu leur fournisses les codes de ton lecteur de carte."

En effet, lorsque vous voulez vous connecter sur le site de votre banque pour effectuer une transaction ou vérifier vos comptes, vous devez le plus souvent utiliser votre lecteur de carte. Celui-ci, une fois votre carte et votre code insérés, vous fournit des codes d’accès à recopier sur le site de la banque. Si vous fournissez ces codes, même à distance, les fraudeurs peuvent accéder à vos comptes grâce aux informations bancaires que vous leur avez fournies sur votre site.

Comme par hasard, ils ont besoin des codes de ton digipass

Pour ce faire, il y a une étape supplémentaire. "Souvent, l’un des escrocs va appeler ton numéro, et va se faire passer, par exemple, pour le ministère flamand des finances qui veut te donner de l’argent. Mais, pour te donner cet argent, comme par hasard, ils ont besoin des codes de ton digipass. C’est à ce moment-là que ça devient dangereux, et c’est vraiment ça qu’il ne faut jamais faire."

Par ailleurs, aucun service, aucun ministère, et pas même votre banque, ne peut vous demander vos codes d’accès, et encore moins le code PIN de votre carte bancaire. Même si la personne que vous avez au téléphone tente de vous intimider ou de vous mettre la pression, ne lui donnez jamais d’informations, et raccrochez.

Le phishing, toujours en hausse en Belgique

Revenons-en à Patrick, notre alerteur, qui a reçu le sms d’origine. Fort heureusement, il ne s’est pas laissé berner, grâce à ses connaissances, selon lui.

Pourtant, de nombreux Belges tombent encore dans les pièges tendus par les escrocs. Selon les chiffres de la police fédérale, en 2020, 5.201 cas de phishing ont été enregistrés (données sur les 3 premiers trimestres 2020). Cela fait déjà plus de 2.700 cas supplémentaires, par rapport à l’année 2019. "On écrit au moins une fois par mois un article sur le phishing ou les arnaques en ligne", constate Mathieu Tamigniau. "Et malgré tout, il y a encore des personnes qui nous contactent en nous disant qu’elles ont failli se faire avoir, ou pire : ça arrive aussi que des gens nous contactent parce qu’ils ont perdu des milliers d’euros."