Les arnaques

Avec les moyens de communications actuels, il existe de nombreux types d'arnaques : par téléphone, par courrier (depuis très longtemps) et par les systèmes informatiques. Comme il faut bien se limiter, les arnaques traitées dans cette page sont celles amenées par certains sites web et celles qui arrivent par la messagerie, qui sont les plus nombreuses. Les descriptions dans cette page correspondent toutes aux arnaques que j'ai reçues sur mon ordinateur ou dans mes différentes messageries. Ce sont des exemples réels.

Sommaire [masquer]

1. Sites frauduleux

1.1. Exemple : l'ordinateur infecté

1.1.1. Le contexte

1.1.2. Ce qu'il faut faire

1.1.3. Comment procèdent les arnaqueurs

2. L'hameçonnage ou phishing

2.1. Exemple 1 : le compte est (ou sera) bloqué

2.1.1. Le contexte

2.1.2. Détecter l'arnaque

2.1.3. Autres menaces de blocage (exemples)

2.2. Exemple 2 : Nouvelle carte vitale V3

2.2.1. Le contexte

2.2.2. Détecter l'arnaque

2.3. Exemple 3 : menace de poursuite judiciaire

2.3.1. Le contexte

2.3.2. Détecter l'arnaque

2.3.3. Comment procèdent les arnaqueurs

2.4. Exemple 4 : amende pour stationnement

2.4.1. Le contexte

2.4.2. Détecter l'arnaque

2.5. Exemple 5 : remboursement des impôts

2.5.1. Le contexte

2.5.2. Détecter l'arnaque

2.6. Ce qu'il faut faire

2.6.1. Cas général

2.6.2. Règles

3. L'usurpation ou spoofing

3.1. Exemple : un ami a besoin d'aide

3.1.1. Le contexte

3.1.2. Détecter l'arnaque

3.1.3. Ce qu'il faut faire

4. Protection contre les sites frauduleux

4.1. Exemple de site frauduleux détecté

4.2. Le projet Phishing-Initiative

Sites frauduleux

En navigant sur le web, vous pouvez tomber sur des sites frauduleux, dans le but de vous extorquer de l'argent.

Vous pouvez aussi arriver sur de tels sites en cliquant sur un lien dans un courriel reçu dans votre messagerie. Ce cas est traité dans le chapitre suivant consacré à l'hameçonnage.

Exemple : l'ordinateur infecté

Le contexte

Message « ordinateur infecté »

Après un clic sur le bouton OK

En cliquant sur un lien dans une page d'un site web, une nouvelle page est apparue avec ce message très alarmant pour la plupart des personnes (voir l'illustration à gauche) : Un virus a été détecté sur votre ORDINATEUR.
Vous pouvez agrandir cette vue en cliquant sur l'image, puis sur la loupe en bas à droite pour lire le message, puis revenir dans la page par la flèche arrière du navigateur.

Dans un tel cas, il ne faut surtout pas paniquer ! (si votre ordinateur est sous Linux, c'est facile puisque n'étant pas sous Windows, il ne risque pas d'être infecté).

En analysant le contenu de la page, il semble qu'elle vienne du site de Microsoft, car on voit en haut de la page le menu typique de son site avec le logo Windows en particulier et le « design » typique du site (couleurs, présentation...). Ceci est plus visible sur l'image de droite qui apparaît après que j'ai cliqué sur le bouton OK de la fenêtre qui se superpose à la page web.

Mais deux indications peuvent faire douter de l’authenticité du site :

d'abord l'adresse qui s'affiche dans la barre d'adresse du navigateur et qui devrait commencer par : https://www.microsoft.com commence par tout autre chose qui n'a rien à voir avec Microsoft ;
ensuite, dans le bas de la fenêtre du navigateur, une indication : Transfert des données depuis ynbre.h.akroniv.com... qui n'a non plus rien à voir avec Microsoft.

Le message indique que : Si vous fermez cette page, votre accès à l'ordinateur sera désactivé pour éviter d'autres dommages sur notre réseau. Or votre ordinateur ne peut pas occasionner des dommages sur le réseau Internet (et heureusement, sinon ce réseau n'existerait plus depuis longtemps), réseau qui, d'ailleurs, n'appartient pas à Microsoft ! Pas de doute, c'est bien une arnaque. Ce message est destiné à faire peur et à vous inciter à appeler le numéro de téléphone indiqué, ce qu'il ne faut jamais faire. Par ailleurs, je ne vois pas ce que signifie « votre accès à l'ordinateur sera désactivé », comme si c'était Microsoft qui vous déconnecterait de votre ordinateur et non pas les éventuels virus qui l'infecteraient. Il est très probable que votre ordinateur ne soit pas infecté, surtout si vous avez un logiciel antivirus à jour.

Ce qu'il faut faire

Ce que vous devez faire, dans l'ordre ci-dessous, c'est :

fermer cette page, puis supprimer l'historique du navigateur ;
si cela ne fonctionne pas, fermez le navigateur, soit à l'aide de la souris, soit avec les touches Alt F4, puis ouvrez-le de nouveau et supprimez l'historique ;
si vous ne pouvez pas fermer le navigateur, lancez le gestionnaire des tâches (clic droit dans la barre des tâches, puis sur l'élément Gestionnaire des tâches dans le menu contextuel). Dans l'onglet Processus et la partie Applications (sur Windows 10) ou l'onglet Applications (Windows 7), cherchez le nom du navigateur (Microsoft Edge, Internet Explorer, Firefox, Chrome...) et cliquez dessus puis sur le bouton Fin de tâche, ce qui a pour effet de fermer le navigateur. Rouvrez-le et supprimez l'historique ;
si votre ordinateur est bloqué et que vous ne pouvez pas faire les opérations décrites précédemment, faites la combinaison Ctrl Alt Suppr qui affiche un écran avec un simple menu, puis choisissez le Gestionnaire des tâches et effectuez l'opération décrite ci-dessus ;
si l'opération précédente ne fonctionne pas, éteignez l'ordinateur par la combinaison Ctrl Alt Suppr puis cliquez sur le bouton Arrêter en bas à droite de l'écran. Redémarrez l'ordinateur, ouvrez le navigateur et supprimez l'historique ;
si tout est bloqué, y compris la souris, il ne vous reste plus qu'à éteindre l'ordinateur en appuyant plusieurs secondes sur le bouton marche/arrêt de l'ordinateur. Rallumez-le, puis ouvrez le navigateur et supprimez l'historique.

Comment procèdent les arnaqueurs

La procédure des arnaqueurs est connue : si vous appelez le numéro indiqué, vous tombez sur un des arnaqueurs qui a affiché la page web. Mais votre interlocuteur va se faire passer pour un technicien ou un ingénieur prêt à dépanner votre ordinateur. Il va vous demander une certaine somme pour ce dépannage et va vous faire télécharger un logiciel pour prendre la main sur votre ordinateur sous prétexte de le débarrasser des virus. À partir de ce moment, il peut faire ce qu'il veut, à votre insu et en particulier, installer un logiciel, soit disant pour nettoyer votre ordinateur, mais qui en réalité est un logiciel qui va essayer de trouver vos coordonnées, vos mots de passe et tout ce qu'il pourra trouver sur l'ordinateur pour vous extorquer et même accéder à votre compte bancaire si possible.

N'appelez jamais le numéro indiqué et ne téléchargez pas de logiciel « nettoyeur ».

Cette arnaque peut aussi arriver par un courriel frauduleux comportant un lien vers ce même type de page contrefaite.

L'hameçonnage ou phishing

La méthode illustrée ci-dessous par des exemples, appelée phishing, ou hameçonnage en français, consiste à récupérer les coordonnées des utilisateurs en se faisant passer pour le site dont il utilise le nom et imite le design. Le site de la CNIL et celui du gouvernement donnent des informations sur la conduite à tenir dans ce cas.

Le principe est d'envoyer un courriel a de très nombreuses adresses mail connues des arnaqueurs, avec un lien dans le message pour accéder au site frauduleux et inciter les destinataires à dévoiler ses informations confidentielles qui sont alors enregistrées par ces fraudeurs.

Ces informations peuvent alors soit être revendues à d'autres arnaqueurs, soit être utilisées directement par les auteurs de l'arnaque pour débiter les comptes bancaires des personnes piégées ou leur faire du chantage.

Les sites les plus visés sont les sites de vente en ligne, les banques, les FAI (fournisseurs d'accès à Internet) et les sites institutionnels (CAF, EDF, et tous les sites du gouvernement).

Exemple 1 : le compte est (ou sera) bloqué

Les achats sur Internet sont devenus courants et les arnaques ont suivi...

Le contexte

Courriel reçu le 20 août 2021

Page d'accueil du faux site de PayPal

Entrée d'un captcha (comme en vrai)

De nombreuses personnes achètent sur Internet et payent leurs achats avec un compte PayPal qui est une société américaine offrant un service de paiement en ligne sécurisé. Pour pouvoir utiliser ce service, il faut avoir ouvert un compte chez eux.

Une arnaque courante consiste a envoyer un courriel indiquant que votre compte a été temporairement verrouillé et qu'il faut entrer vos coordonnées relatives à ce compte pour le rendre de nouveau utilisable.

J'ai reçu, par courriel du 20 août 2021, le message reproduit sur l'illustration ci-contre à gauche. Comme je n'ai pas de compte PayPal, je savais donc qu'il s'agissait d'un faux. Mais je me suis demandé comment ferait une personne qui reçoit ce message alors qu'elle a un compte dans cette société.

Pour montrer et expliquer l'arnaque j'ai joué au naïf et cliqué sur les liens et rempli les formulaires du faux site.

Je vous engage à ne jamais reproduire cette démarche.

Le courriel contient un lien : Restaurer votre compte, sur lequel j'ai cliqué. Le lien ouvre le navigateur sur la page web du faux site PayPal (voir l'illustration de droite, en haut) qui propose d'entrer une adresse Email ou numéro de mobile. Je rentre une fausse adresse (normal pour un faux site !), mais une adresse crédible et clique sur le bouton Suivant du formulaire.
Comme pour un vrai site, la page suivante demande de cocher la case Je ne suis pas un robot. Ce type de protection, à base de captcha, est assez courant pour éviter que les robots qui parcourent le web ne saturent les serveurs de certains grands sites. Je ne sais pas si le vrai site de PayPal utilise ce type de captcha, puisque je n'ai pas de compte chez eux, mais c'est très possible. Je coche la case et clique sur le bouton Continuer.

Formulaire de demande d'informations

La page suivante est la plus importante pour les arnaqueurs car c'est ici que l'on remplit le formulaire d'identification. Je remplis consciencieusement tous les champs avec des données fausses mais crédibles. Puis je clique sur le bouton Continuer pour voir comment cela va se terminer.

La page suivante est une page d'erreur avec un bouton Continuer. Je clique sur ce bouton, mais c'est la même page qui s'affiche à chaque fois. Fin de l'histoire...

À ce stade, les arnaqueurs ont obtenu (si les renseignements entrées dans les différents formulaires étaient exacts) une adresse courriel correspondant à un compte lié a un identifiant complet : nom, prénom, date de naissance, adresse postale et numéro de téléphone. Avec ces données, le système de vérification de PayPal confirmera l'identité de celui qui se connecte à leur site et validera les payements effectués. Le compte de la personne arnaquée sera alors débité, ce qui peut avoir des conséquences très graves.

Détecter l'arnaque

Message d'erreur

Malgré la reproduction, quasi à l'identique des pages du vrai site, plusieurs indices permettent de détecter la fraude.

Reprenons dans l'ordre la démarche précédente :

le courriel d'origine : l'adresse de l'expéditeur est contact@connection-secu․com ne contient pas le nom paypal. Ça semble être une adresse bidon. Pour information, il est très facile d'envoyer des courriels avec une adresse quelconque existante ou non.
En positionnant la souris sur le lien (sans cliquer), l'adresse du site web visé apparaît : https://u22796236.ct.sendgrid.net/ls/click?upn=xk9Xi3..., ce qui n'a aucun rapport avec le site de PayPal. L'adresse du site en version française commence par https://www.paypal.com/fr.
Le sujet du message est Votre compte est limitée, avec une belle faute d'orthographe que les sites commerciaux ne font pas en général. De plus, la tournure générale du texte du message est bizarre, peu courante.
Le courriel est anonyme : le nom du destinataire n'est mentionné nulle part dans le message.
Avec ces observations, il est plus prudent de supprimer ce courriel ;
la page d’accueil : si vous avez quand même cliqué sur le lien du courriel, observez l'adresse du site dans la barre d'adresse du navigateur. Elle commence par : https://dachsystemteile.com/detect.php... (qui n'apparaît pas sur les illustrations de cette page). Comme précédemment, l'adresse devrait commencer par https://www.paypal.com/fr, ce qui n'est pas le cas ici.
la page de demande d'informations : même ici l'adresse web de la page ne contient pas le nom paypal, mais commence par https://dachsystemteile.com/websrc/form/. Avec tous ces indices d'arnaque, vous ne devez normalement pas remplir les champs de ce formulaire.
page de message d'erreur : à ce stade, les arnaqueurs ont obtenu les renseignements pour se faire passer pour vous et acheter ce qu'ils veulent sur Internet en débitant votre compte PayPal. Si vous avez rempli le formulaire précédent, appelez tout de suite votre banque pour bloquer les paiements via PayPal, et contactez la société PayPal par leur site (le vrai).

Comme le site PayPal est très utilisé, il est aussi très attaqué. Le site met en garde contre ce type d'arnaque sur une de leurs pages que vous pouvez consulter ici en toute sécurité.

Autres menaces de blocage (exemples)

Pour illustrer cette technique d'hameçonnage, j'ai pris l'exemple de la société PayPal, mais de très nombreuses sociétés sont victimes de ce type de fraude : les banques, les FAI (fournisseurs d'accès Internet), les sites d'enchères en ligne, les réseaux sociaux. ․․

Ci-dessous quelques exemples de courriels reçus, usurpant l'identité des organismes imité, dans l'ordre :

Floa bank : organisme de paiement en ligne ;
SFR : fournisseur d'accès Internet ;
Amazon : site de vente en ligne ;
la Banque Postale : banque issue de la Poste, site institutionnel.

Courriel de floa bank du 25 novembre 2021
Courriel de SFR du 12 septembre 2021
Courriel d'Amazon du 29 novembre 2021
Courriel Banque postale du 22 novembre 2021

Tous ces exemples ont les mêmes caractéristiques :

l'adresse courriel de l'émetteur n'a pas de rapport avec le site qu'il est censé représenter ;
un lien permet d'aller sur le site contrefait ;
le courriel est anonyme : le nom ou l'identifiant du destinataire n'est pas mentionné dans le corps du message.

Exemple 2 : Nouvelle carte vitale V3

Le contexte

Courriel reçu le 1^er décembre 2021

Et le faux site du gouvernement

Les sites institutionnels ne sont pas à l'abri des arnaqueurs, comme en témoigne ce courriel reçu le 1^er décembre 2021, imitant le logo de l'État (illustration de gauche).

Comme la version 3 de cette carte n'existe, il s'agit forcément d'un faux.

Mais, par curiosité, j'ai cliqué sur le lien pour voir ce qu'il se passe dans ce cas. Comme prévu, le lien me dirige vers un site imitant un site du gouvernement avec un formulaire à remplir pour obtenir cette carte vitale. Voir l'image du site sur l'illustration de droite.

La personne piégée est invitée à entrer ses nom, prénom, date de naissance et adresse courriel, c'est à dire toutes les informations permettant une usurpation d'identité. Après avoir rempli les champs du formulaire, avec des fausses informations et cliqué sur le bouton Valider, la page suivante demande des informations complémentaires : l'adresse postale et un numéro de téléphone (voir l'image ci-dessous).

Avec ces renseignements, les arnaqueurs peuvent créer un compte à votre insu, avec vos coordonnées qui sont réelles.

Je ne suis pas allé plus loin dans l'investigation.

Détecter l'arnaque

La 2^e page du faux site

Dans le courriel reçu, plusieurs indices peuvent dévoiler l'arnaque :

l'adresse de l'expéditeur : cette adresse nides.waerboot@smtpa․newsletter․autolidarite․fr n'a aucun rapport avec l'organisme de santé (ameli.fr) qui gère les cartes vitales ;
le sujet : comme dit plus haut, la version 3 de cette carte n'existe pas, mais tout le monde ne le sait pas forcément ;
le texte : plusieurs fautes de ponctuation, d'orthographe et une tournure de phrase assez curieuse : C'est très simple à réaliser remplir les formulaire s ci-dessous et cela ne vous prendra qu'une minute rend ce message suspect ;
le lien : en posant la souris sur le lien Demander en ligne (sans cliquer), l'adresse du site web visé apparaît : https://ita.chaslers.com/jojonama et n'a pas de rapport avec un site de santé français.

Dans le site web, si vous avez cliqué sur le lien (ce qu'il vaut mieux éviter de faire), d'autres indices sont visibles :

l'adresse du site : https://recoismacartevitalev3.com/v3opj/vitale/ n'a rien de commun avec l'adresse du lien pour arriver sur cette page, mais cela peut arriver (ça s'appelle une redirection), mais rarement sur un site officiel ;
le texte : sur la première page, aucune erreur n'est perceptible, mais sur la page suivante (voir l'image de droite), les fraudeurs n'ont pas été assez vigilants et de très nombreuses fautes sont visibles.

À noter que sur les sites d'arnaques venant de pays anglo-saxons les caractères accentués dans le texte sont souvent absents, comme c'est le cas ici.

Exemple 3 : menace de poursuite judiciaire

Courriel du 23 octobre 2021

Le contexte

Ce courriel, reçu le 23 octobre 2021, semble émaner de la police et soupçonne le destinataire de délinquance sexuelle.

Pour éviter son arrestation, il est prié de justifier, par courriel, qu'il n'est pas un cybercriminel.

Le sujet, sensible, est destiné à faire peur et provoquer la honte pour amener le destinataire à répondre par courriel, sans en parler à son entourage.

Détecter l'arnaque

Tout d'abord, une remarque générale : les services de l'État n'envoient jamais de convocation ou de demande de justification par courriel.

Un autre exemple de courriel reçu

En observant ce courriel (image du haut), nous pouvons faire les observations suivantes :

l'adresse de l'expéditeur : elle se termine par @sfr.fr, or, la police et la gendarmerie ont leurs propres serveurs de courriels. L'adresse officielle se termine par @interieur.gouv.fr ;
l'adresse du destinataire : ce n'est pas vous, mais une entité nommée infos.gouv.brigade.des.mineurs@gmail․com, en référence à un organisme officiel (la brigade des mineurs qui s'appelle en réalité la Brigade de protection des mineurs) qui utiliserai le service de messagerie de Google (@gmail.com). Comme signalé ci-dessus, les services de l'État ont leurs propres serveurs de messagerie ;
le destinataire : le message est anonyme. La personne concernée n'est nulle part mentionnée dans le texte, ce qui pour le moins étonnant lorsqu'on s'adresse à une personne en particulier. Si vous avez reçu le courriel, votre nom devrait apparaître, ainsi, sans doute, qu'un numéro de référence de message ;
la réponse demandée : vous êtes invité à vous justifier par courriel, donc en utilisant l'adresse courriel du champ « Pour » de l'en-tête du message, qui est la seule disponible. S'il s'agissait d'un courriel officiel, l'adresse de réponse serait plus explicite.

Remarque : comme cela arrive de plus en plus souvent, ce courriel est rédigé en bon français, pratiquement sans faute d'orthographe ni de ponctuation (à part une virgule excédentaire).

Ci-contre, un autre exemple de courriel reçu le 17 décembre 2021, où l'imitation d'un document officiel est très bien faite, mais ce message est quand même un faux !

Comment procèdent les arnaqueurs

Le but de cette arnaque, comme de la plupart d'entre elles, est de vous soutirer de l'argent.

Votre adresse courriel a été récupérée, avec des milliers d'autres, de différentes façons (arnaques, vols, etc.), mais les fraudeurs ne savent pas si votre adresse est réelle ou s'il s'agit d'une fausse adresse. Les fraudeurs, qui ont peut-être acheté les listes d'adresses, peuvent aussi se faire arnaquer !

Si vous répondez à l'adresse infos.gouv.brigade.des.mineurs@gmail․com, votre adresse courriel sera enregistrée par les fraudeurs et peut-être vos nom et prénom si vous vous êtes identifiés dans votre message. .

À partir de ce moment, vous pouvez vous attendre à recevoir d'autres courriels, avec les références que vous avez fournies dans votre réponse (nom, prénom...). Dans ces messages, il vous sera proposé un règlement amiable : contre une amende à payer sur un compte en ligne, les poursuites seront abandonnées.

Le but des arnaqueurs est atteint : vous avez payé sans avoir averti votre entourage ni les autorités officielles (police ou gendarmerie).

Exemple 4 : amende pour stationnement

Le contexte

Courriel reçu le 13 avril 2023

Comme tout conducteur (ou presque), il m'est arrivé d'écoper d'une amende pour excès de vitesse ou pour mauvais stationnement. Et comme la plupart des personnes dans ce cas, je paie l'amende, même de mauvaise grâce...

Aussi j'ai été surpris lorsque, ouvrant ma messagerie, je découvre un rappel d'amende impayée. C'est la première fois que je reçois un tel rappel par ma messagerie. De plus, je ne me souviens pas d'avoir reçu le premier avis de paiement qui doit normalement arriver avant le rappel. S'agirait-il d'une arnaque ?

Détecter l'arnaque

Un petit tour sur le site service-public.fr m'apprend que le FPS (forfait post stationnement) peut être notifié par courriel au titulaire de la carte grise, mais doit être accompagné d'une possibilité de contestation de l'amende appelée RAPO (recours administratif préalable obligatoire). L'avis de paiement du FPS doit comporter de nombreux renseignements qui n'apparaissent pas sur le courriel reçu à 4h07 du matin (ils sont matinaux dans ce service).

Analysons le message reçu :

l'adresse de l'expéditeur : ANTAI <vince@verdugoroofing.com>. Si l'ANTAI existe bien (c'est l'Agence nationale de traitement automatisé des infractions), son adresse courriel doit se terminer par @antai.fr et non pas par l'adresse improbable ci-dessus ;
l'adresse du destinataire : dans le cas présent, il s'agit bien d'une de mes adresses courriel, ce qui peut induire en erreur une personne non avisée ;
le texte du message : très bien rédigé, sans fautes d'orthographes et dans un langage administratif correct, il ne précise cependant aucune information sur l'infraction, à part un numéro de dossier bidon. Or, un avis de contravention pour stationnement, ou son rappel, doit comporter tous les renseignement relatifs à l'infraction, tels que : date et heure du constat, adresse de la constatation de stationnement, numéro d'immatriculation du véhicule, heure de fin de validité du FPS, etc.
le lien dans le message : En positionnant la souris sur le lien "Régler" (sans cliquer), l'adresse du site web visé apparaît : https://bartleywood.com/maman.html, ce qui n'a aucun rapport avec le site de l'ANTAI.

Fausses pages de l'ANTAI

Tous ses indices montrent qu'il s'agit bien d'une arnaque. La bonne solution est donc de détruire ce message.

Comme je suis joueur, j'ai cliqué sur le lien pour voir comment s'y prennent les arnaqueurs (je vous engage à ne pas le faire). L'adresse finale du site est changée en https://amendes-impaye.com/certificat/obligation.php suivie de plusieurs variables et la page reproduit celle de l'ANTAI (voir la partie gauche de l'illustration ci-contre).

Un clic sur le bouton Payer présente la page suivante (voir la partie droite de l'illustration) où vous êtes amené à remplir le formulaire, c'est à dire à donner les renseignements permettant d'usurper votre identité. Après avoir rempli ce formulaire avec une fausse identité, la page suivante indique le montant à régler (35 €) et le formulaire demande le numéro de carte bancaire, la date d'expiration et le cryptogramme.

Un dernier clic sur le bouton Confirmer le paiement et les arnaqueurs empochent 35 € de votre compte, sans compter qu'avec les données de votre carte bancaire, ils peuvent aussi débiter d'autres sommes sur votre compte.

Note : depuis le premier janvier 2018 les collectivités territoriales peuvent gérer et recouvrer les amendes de stationnement ou déléguer cette gestion à l'ANTAI, mais dans ce cas, l'adresse du site pour payer en ligne est https://www.stationnement.gouv.fr/fps et non pas l'adresse citée plus haut. Le site du Sénat explique les modalités de recouvrement des amendes de circulation et de FPS.

Exemple 5 : remboursement des impôts

Le contexte

Courriel reçu le 21 février 2022

Enfin une bonne nouvelle : la DGFiP (Direction générale des Finances publiques) va me rembourser une partie des impôts !
La preuve, ce courriel reçu le 21 février 2022 à 3h48 du matin (ils travaillent tard aux impôts).

Sauf que... il s'agit bien sûr d'une arnaque.

Autre courriel reçu le 31 octobre 2021

Détecter l'arnaque

Il faut savoir que le trop prélevé des impôts est remboursé automatiquement par les services de l'État, sans aucune action de la part du contribuable.

Mais examinons quand même ce message :

l'adresse de l'expéditeur : elle se termine par @ac-grenoble․fr, ce qui ne correspond à aucune adresse connue. L'adresse officielle des impôts se termine par @dgfip.finances.gouv․fr. Souvent, un message de la DGFiP se termine par l'avertissement suivant : « Vérifiez toujours l'adresse de l'expéditeur. Pour les messages de la DGFiP, si sa partie droite n'est pas égale à @dgfip.finances.gouv.fr, c'est que le message est un faux. » ;
l'adresse du destinataire : n'est pas précisée (destinataires inconnus). Si ce message était authentique, c'est votre adresse courriel qui serait indiquée ;
le destinataire : le message est anonyme. Lorsque le service des impôts vous contacte, votre identité (prénom et nom de famille) est clairement indiquée en début de message. Ici, aucun nom n'est présent ;
le texte du message : en plus des fautes d'orthographe, la tournure des phrases est assez curieuse et aucun service officiel n'utiliserait un tel charabia ;
le lien dans le message : En positionnant la souris sur le lien "cliquez-ici" (sans cliquer), l'adresse du site web visé apparaît : https://sites.google.com/view/dgfi-fr/accueil?authuser=3, ce qui n'a aucun rapport avec le site des impôts qui n'utilise évidemment pas les services de Google pour gérer leur site. Seul le lien vers l'anti-virus Avast (qui n'est pas utilisé par la DGFiP) est correct. Le lien amène vers une page qui imite la page de connexion du site et redirige ensuite (sans entrer d'identifiant de connexion) vers une page de formulaire à remplir. Les renseignements demandés sont, entre autres, le numéro de votre carte bancaire, avec son cryptogramme et sa date d'expiration. Il ne faut bien sûr jamais donner ces renseignements.

Dans le second exemple, seule l'adresse du destinataire est correcte (c'est une de mes adresses courriel qui a dû être achetée à une banque d'adresses). Les critères des autres points cités ci-dessus sont aussi vérifiés. Noter aussi dans les deux exemples que la somme indiquée comporte des centimes d'euro alors que les services des impôts arrondissent toujours les sommes dues ou remboursées à l'euro (sans les centimes).

Ce qu'il faut faire

Cas général

Pour chaque courriel reçu, si vous ne connaissez pas personnellement l'expéditeur, ou même si vous le connaissez, mais qu'il vous demande de l'argent (si c'est inhabituel de sa part - voir le paragraphe suivant sur le spoofing), analysez le message, comme expliqué dans les exemples précédents.

Si votre analyse confirme une arnaque :

ne répondez pas au message ;
marquez ce courriel comme indésirable : les suivants seront filtrés par votre messagerie ;
et ensuite seulement supprimez-le.

Si vous voulez aller plus loin, vous pouvez signaler cette fraude :

sur le site de Cybermalveillance.gouv.fr qui a pour missions d'assister les particuliers, les entreprises, les associations, les collectivités et les administrations victimes de cybermalveillance, de les informer sur les menaces numériques et les moyens de s'en protéger ;
et par courriel à fraude-bretic@interieur.gouv.fr.

Si vous avez répondu au message, ou pire, si vous avez payé :

portez plainte le plus tôt possible auprès des services de police ou de gendarmerie le plus proche de chez vous. Pour cela, faites une copie informatique ou papier des messages reçus et envoyés ;
contactez votre banque pour essayer de vous faire rembourser. Certaines banques exigeront la preuve du dépôt de plainte pour instruire votre demande.

Vous pouvez être accompagné gratuitement dans cette démarche par une association de France victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice.

Règles

Les sites institutionnels, les banques et les FAI ne vous demanderont jamais vos coordonnées par courriel pour mettre à jour leurs fichiers. Ils vous informeront éventuellement d'un trop perçu et, le cas échéant, vous rembourseront automatiquement sans aucune démarche de votre part.

Ne jamais fournir vos identifiants et mots de passe par la messagerie pour plusieurs raisons :

s'ils sont demandés, c'est sûrement une arnaque ;
dans tous les cas, les messages transitent en clair sur le réseau Internet (ils peuvent donc être interceptés) ;
vous ne pouvez pas savoir ce que le destinataire va faire du message (le laisser traîner, le dupliquer...) ;
les serveurs par lesquels ce message transite jusqu'au destinataire peuvent être eux-mêmes piratés (ce que l'on voit parfois sur la presse spécialisée).

L'usurpation ou spoofing

Exemple : un ami a besoin d'aide

Note : exceptionnellement, je n'ai pas conservé ces messages et je ne peux donc pas montrer les illustrations correspondantes.

Le contexte

Il y a quelque temps, j'ai reçu un courriel d'une amie me disant qu'elle était en vacances dans un pays d'Afrique, qu'elle venant d'avoir un accident et qu'elle devait être opérée en urgence. Mais pour cela elle devait payer une certaine somme de suite et elle ne pouvait pas retirer cet argent localement. Elle me demandait donc de lui faire un virement bancaire à l'adresse indiquée dans ce message et que, bien évidemment, elle me rembourserait dès son retour.

Le courriel est très bien tourné, comme lorsqu'on parle à un ami (en me disant que cette démarche est très gênante et en citant mon prénom). Comme de nombreuses adresses courriel sont constituées d'un prénom et d'un nom de famille, il est assez facile d'isoler le prénom du destinataire et de l'inclure dans le texte.

Je savais que ce courriel était une arnaque car le matin même je croisais cette amie dans la rue alors qu'elle se rendait à son travail. Elle ne pouvait donc pas être en Afrique quelques heures plus tard et y avoir eu un accident, puis être hospitalisée.

Détecter l'arnaque

J'ai donc analysé le courriel et un examen attentif m'a permis de voir la supercherie : l'adresse de l'émetteur ne pouvant pas être celle de mon amie, car elle n'avait pas été piratée, était une adresse très ressemblante à la sienne. Si l'on y prête pas attention, la différence passe inaperçue.

Cette méthode, connue sous le terme de spoofing (qui signifie « usurpation ») consiste à imiter une adresse connue, récupérée par l'envoi d'un message d'hameçonnage ou d'une liste de contacts piratée. L'imitation ressemble à l'adresse d'origine, comme par exemple :

adresse réelle : albert․dupond@wanadoo․fr
adresses imitées : albert_dupond@wanadoo․fr ou albert.dupond@wannadoo․fr

Si une boite mail est piratée, les fraudeurs accèdent alors à la liste des contacts du propriétaire de cette boite. Il leur suffit alors, d'une part d'imiter une des adresses de cette liste qui servira d'adresse d'expéditeur et d'autre part, d'expédier le message voulu aux autres contacts de cette liste (les destinataires), en espérant que certains seront assez compatissants (ou crédules) pour expédier l'argent demandé.

Ce qu'il faut faire

Au minimum, avertir la personne dont l'adresse a été usurpée, qu'elle est victime d'usurpation d'adresse courriel afin qu'elle envoie un message à tous ses contacts pour les prévenir de cette arnaque. Pour cela, utilisez bien sa bonne adresse courriel, sinon votre message n'a aucune chance de lui parvenir. Si possible, joignez une copie du message reçu.

Ensuite, déclarez ce message comme indésirable, puis supprimez-le.

Protection contre les sites frauduleux

Les navigateurs web ont à leur disposition des listes de sites frauduleux et peuvent vous avertir lorsque l'adresse demandée est trompeuse. À chacun de tenir compte de cet avertissement ou de passer outre et d'accéder quand même au site demandé, à ces risques et périls.

Exemple de site frauduleux détecté

Courriel reçu le 29 novembre 2021

Message d'avertissement de Firefox

L'illustration ci-contre montre, à gauche, un courriel reçu dans ma messagerie, qui semble expédié par la société de vente en ligne Amazon. Ce message contient un lien Vérifier mon compte sur lequel j'ai cliqué, tout en sachant qu'il s'agit d'une arnaque, car je n'ai pas de compte chez eux.

Ce lien me dirige vers un site frauduleux, mais mon navigateur (Firefox) envoie la page d'avertissement (illustration de droite) au lieu d'accéder au site demandé par le lien.

Pour faire cela, le navigateur consulte une liste de sites contrefaits, et seulement si le site demandé n'est pas dans cette liste, il accède au site et affiche la page demandée.

Cette liste est alimentée régulièrement par les internautes qui signalent ce type de site.

Un moyen de signaler un site frauduleux est d'utiliser le site Phishing-Initiative (voir le paragraphe suivant).

Le projet Phishing-Initiative

Depuis février 2011, le projet Phishing-Initiative créé par le Cert-Lexsi, Microsoft et Paypal, permet de lutter contre l'hameçonnage.

Le principe est le suivant : l'internaute se rend sur le site du projet et entre l'adresse complète du site frauduleux. Après vérification, le site frauduleux est bloqué pour les navigateurs participants (Firefox, Internet Explorer, Edge, Safari et Chrome) dans un délai court (quelques minutes). Une demande est ensuite envoyée au gestionnaire du site frauduleux pour le faire fermer définitivement.

Malheureusement, pendant longtemps, le navigateur Internet Explorer n'affichait aucun message de détection de site frauduleux, alors que Microsoft a été à l'origine de ce projet. Ce n'est plus le cas actuellement avec IE11 et Edge.