Les arnaques bien pernicieuses se multiplient sur les réseaux sociaux. Elles répondent souvent au doux nom de « phishing » et tablent sur notre curiosité. Explications avec Nicolas Diaz, spécialiste du Web.
Un matin, je reçois un message privé sur Twitter d’un de mes followers, qui me demande « did you see this pic of u?! » avec un lien. Le stresse monte. Je clique. J’atterris alors sur une page Twitter sur laquelle on me demande mon mot de passe et mon mail. Je crois comprendre que je me suis fait avoir et que Twitter essaye de s’assurer que je suis bien l’auteur du compte avant de m’en donner l’accès. Je remplis donc (très naïvement) tous les champs demandés. Plus tard dans la journée je reçois des messages passablement agacés de personnes que je suis ou qui me suivent sur Twitter. Apparemment, tout le monde ou presque a reçu un message privé de moi leur demandant « did you see this pic of u ?! » avec là encore un lien. En allant sur mon profil je découvre deux posts que je n’ai jamais publiés à propos de régime. Je m’empresse de les supprimer et de changer mon mot de passe. Au moins trois fois, histoire d’être sure.
{"type":"Pave-Haut2-Desktop"}
Cette technique s’appelle « phishing » ou « hameçonnage » en français et n’a rien de nouveau. Quand vous recevez un mail de votre banque vous demandant vos coordonnées bancaires, ou un mail d’EDF vous expliquant que vous n’avez pas payé vos factures et que vous devez vous en acquitter immédiatement en ligne, c’est du « phishing ». Tous ces cas de figure reposent sur le même principe : faire croire à l’internaute qu’il s’adresse à un tiers de confiance afin de lui soutirer des informations personnelles. La page Twitter sur laquelle j’ai atterri après avoir cliqué sur le lien que l’on m’avait envoyé était donc fausse. Les escrocs avaient reproduit à l’identique une page du réseau social. En gros, je me suis fait pigeonner.
« On suscite les bas instincts de la victime »
Pour Nicolas Diaz, spécialiste du Web et Webmaster à la FIDH, il y a quatre types de phishing :
-Le phishing qui cible le bancaire avec de fausses pages de banques. Le client est invité à donner ses codes. « Ce qui est improbable de la part d’une entité bancaire » rappelle Nicolas Diaz.
-Le phishing qui relève de la tendance des « brouteurs ». Ces escrocs envoient des mails dans lesquels ils promettent monts et merveille. Le but : nous amener à transférer de l’argent via Western Union. Certains vont jusqu’à la rencontre. Exemple : vous recevez un mail d’une « belle Ivoirienne » qui souhaite se marier avec vous. Vous prenez rendez-vous avec elle sur Skype, et, surprise, c’est bien une « belle Ivoirienne » qui se pointe. « En fait c’est surement la cousine de l’escroc. Tu peux alors rentrer dans un cercle vicieux de chantage s’ils savent que tu es déjà marié » explique Diaz.
– Le logiciel de rançon appelé « ransomware » qui consiste à bloquer l’ordinateur de la victime avant de lui demander, sous couvert du « FBI » ou de « la répression des fraudes » de payer une « rançon » pour le débloquer. « C’est assez bien fait » commente Diaz.
-Le phishing sur Twitter, Facebook et Youtube qui fonctionne par rebonds : en cliquant sur le lien, l’internaute envoie le lien en question à tous ses contacts, qui vont à leur tour cliquer dessus. On retrouve cette technique à l’origine de « l’arnaque Justin Bieber » sur Facebook qui consiste à proposer à l’internaute de regarder une vidéo du chanteur (ou d’une autre célébrité) nu ou en pleine session de strip-tease devant une webcam. Un clic sur la vidéo renvoie vers une autre page sur laquelle nous sont demandées, la plupart du temps, des informations personnelles. Et ce n’est pas tout : en cliquant sur la vidéo, on la partage ou on la « like » automatiquement. « On suscite les bas instincts de la victime et on fait tout pour qu’il y ait un clic. Même s’il n’y a pas de transfert d’argent derrière, le phishing est réussi » précise Nicolas Diaz. Car le but n’est pas toujours de nous soutirer directement de l’argent. Le phishing sur les réseaux sociaux est souvent destiné à utiliser le compte de l’utilisateur comme relais de promotion d’un service (sites pornographiques, produits de grande consommation…). « Les escrocs commercialisent les mots de passe à des sociétés. On peut tout vendre, notamment les données ».
Un conseil : n’installez pas l’application « qui a visité votre profil Facebook? »
Nicolas Diaz met aussi en garde contre les applications. Vous avez installé sur votre compte Facebook l’application permettant (soi-disant) de voir qui a visité votre profil ? Il est grand temps de la supprimer. Ce type d’application qui ne tient pas ses promesses est une passerelle utilisée par les arnaqueurs du Web pour avoir accès à certaines données de votre compte. « Il y a donc plusieurs portes d’entrées : l’organique et la technologique. L’organique c’est quand la victime cède à la curiosité. C’est technique quand une appli promet tel ou tel service mais ne fournit rien, arrive à choper des données et infecte le profil voire l’ordinateur » résume Nicolas Diaz.
Quels recours juridiques ?
Inutile de rêver, il y a très peu moyen de coincer ceux qui se cachent derrière ces arnaques. « Il faudrait coincer ces mecs en flagrant délit et les identifier, explique Nicolas Diaz, le problème c’est qu’ils font souvent ça de cyber cafés… ». Quant au type de phishing dont j’ai été victime, j’aurais, d’après Diaz, pu demander à Twitter quelle application avait utiliser mon compte. « Mais bon, s’il est basé en Russie ou ailleurs…. » Conseil de l’expert: supprimer toutes les applications qui me paraissent suspectes et changer de système d’exploitation. « Windows c’est le système le plus répandu au monde donc le plus piraté… »
{"type":"Banniere-Basse"}
