Fraudes en ligne

Avec l’arrivée d’Internet, et aujourd’hui de l’intelligence artificielle (IA), de nouveaux types d’arnaques ont vu le jour. Déployant des procédés parfois très sophistiqués et difficilement détectables, il est important de savoir comment ces fraudes fonctionnent afin de s’en prémunir, et de savoir quoi faire si, malgré tout, on en est victime.

Qu’est-ce qu’une fraude en ligne ?

Une fraude en ligne consiste à tromper une personne physique ou morale via Internet ou des moyens numériques (SMS, appel, etc.) afin d’obtenir à son insu et à son préjudice (ou celui d’un tiers) de l’argent, des biens ou des services.

L’origine des fraudes en ligne est souvent la même : le vol de l’identité de l’internaute. La loi n° 2011-26 du 14/3/2011, dite loi LOPPSI 2, introduit dans le Code pénal le délit d’usurpation d’identité, punit d’1 an d’emprisonnement et de 15 000 € d’amende. Lorsqu’il est commis sur un réseau de communication au public en ligne, les peines envisagées sont les mêmes (C. pénal, Art. 226-4-1).

Au-delà des informations classiques (nom, prénom, date de naissance pour les personnes physiques et de la dénomination sociale pour les sociétés), l’identité du tiers inclut les « données de toute nature permettant de l’identifier », c’est-à-dire le mot de passe, le nom du compte informatique, le ou les pseudonymes virtuels, etc., permettant l’accès à des données à caractère privé.

Quelles sont les arnaques les plus fréquentes que l’on rencontre sur Internet ?

Sans que la liste soit exhaustive, les arnaques les plus courantes sont :

l’hameçonnage (phishing) ;
le piratage des comptes en ligne ;
l’arnaque au faux support technique ;
la fuite ou la violation des données personnelles ;
la fraude à la carte bancaire ou au faux RIB.

Si chaque procédé possède ses particularités, souvent le but consiste à récupérer les données personnelles de la victime, notamment de paiement, afin de récupérer son argent.

Le site officiel https://17cyber.gouv.fr répertorie tous les types de fraudes en ligne et indique la marche à suivre pour faire valoir ses droits ainsi que les personnes à contacter pour se faire aider dans ses démarches.

Qu’est-ce que le phishing, ou hameçonnage ?

L’arnaqueur vous contacte via courrier électronique, appel téléphonique ou SMS en se faisant passer pour un organisme que vous connaissez (banque, fournisseur d’énergie, artisan, site commerçant en ligne, administration, etc.). Il peut même faire afficher le bon numéro sur votre téléphone grâce à un piratage. Obtenant ainsi votre confiance, il inventera un prétexte (colis non livré, opérations bancaires suspectes, etc.) pour soutirer vos informations personnelles, jusqu’à votre numéro de carte bleue.

Une fois les informations personnelles collectées, elles vont être utilisées notamment pour effectuer des opérations financières (achats, virements, pseudo-placements, etc.) ou pour escroquer vos proches en utilisant votre identité.

Il faut réagir rapidement : contacter l’organisme concerné, faire opposition aux opérations et aux moyens de paiement, changer de mot de passe et porter plainte.

Comment se fait le piratage d’un compte en ligne ?

Mots de passe trop simples, message d’hameçonnage, utilisation du même mot de passe sur plusieurs sites, utilisation d’un virus voleur de mots de passe sont autant de moyens qui permettent le piratage de vos comptes en ligne.

Une fois les données récupérées, le cyberdélinquant peut les utiliser à son profit mais également les revendre sur le Dark Web (section d’Internet où la confidentialité et l’anonymat sont exclus et qui permet ainsi les activités illégales « en toute impunité »).

Vous devez contacter le service concerné et l’informer du piratage, vérifier que le numéro de téléphone et l’adresse e-mail de récupération sont bons, changer le mot de passe et prévenir vos contacts. Vérifiez également qu’aucune commande n’a été réalisée. Informez votre banquier et, enfin, déposez plainte.

Arnaque au faux support technique ou fraude à la réparation informatique

Lorsqu’apparaît un message anxiogène indiquant un problème technique grave qui risque de bloquer l’ordinateur, l’internaute peut perdre le recul nécessaire face à une proposition d’intervention sur un prétendu support technique officiel, comme Microsoft ou Apple, par exemple. Cet « avertissement » va parfois s’accompagner de bruits angoissants.

Cette proposition de pseudo-dépannage sera accompagnée de contrats et/ou de factures totalement dénués de toute véracité.

Devant cette situation, il faut éviter d’ouvrir la fenêtre de la fausse alerte, redémarrer l’ordinateur puis le nettoyer de tous les cookies.

Si ces réflexes n’ont pas été mis en œuvre et que cette mésaventure a été rendue possible par l’installation d’un logiciel de contrôle à distance accepté, il faut désinstaller le logiciel.

Enfin, il faut penser à faire des copies d’écran afin de se ménager des preuves pour accompagner la plainte.

Fuite ou vol de données personnelles, comment les éviter ?

Les données personnelles sont des informations qui permettent d’identifier directement, mais aussi indirectement, l’internaute. Photos, adresse postale ou IP, messagerie, numéro de téléphone, etc., sont autant de données qui peuvent être utilisées pour attenter à la vie privée, à l’image, ou à la notoriété de la victime.

Mais le risque ne s’arrête pas là : comme pour le piratage, les données récupérées peuvent se retrouver sur le Dark Web et être achetées, puis utilisées par des cyberdélinquants.

Pour éviter de pareilles mésaventures, il faut être vigilant et ne pas communiquer, de manière inconsidérée, les documents contenant des éléments de son identité : permis de conduire, passeport, fiches de paie, acte de vente, avis d’imposition ou RIB, etc. (voir Protection de la vie privée).

L’outil officiel « FiligraneFacile » permet d’ajouter facilement des filigranes à ses documents pour empêcher leur réutilisation frauduleuse lorsqu’ils sont communiqués à des tiers. Il est disponible sur https://filigrane.beta.gouv.fr.

Les fausses demandes de virement

Grâce à une fausse identité (celle d’une entreprise, d’une administration ou d’un artisan, etc.) le cyberdélinquant qui aura détecté une transaction imminente (échange de courriers, de devis, de contrats, etc.) va adresser, avec les coordonnées du créancier, une facture avec demande de virement sur un faux compte.

Pour éviter une telle mésaventure, il est préférable, avant de réaliser l’opération demandée, de téléphoner au créancier pour s’assurer qu’il est bien à l’origine de la demande, et de vérifier ses coordonnés bancaires.

Mon compte est débité, pourtant ma carte bleue n’a pas été volée ?

Les informations de paiement, situées à l’arrière de la carte bleue, sont nécessaires lors d’un paiement en ligne. Mais les communiquer sur un site non-sécurisé peut présenter des risques : elles peuvent être récupérées par des personnes malveillantes qui vont pouvoir procéder à des achats en ligne, voire faire des retraits à l’étranger. Si votre banque est vigilante, elle va vous alerter, mais ce n’est pas systématique. Vérifiez régulièrement les débits sur votre compte et, si malgré toutes ces précautions, la carte bleue a été utilisée à votre insu, il faut prévenir la banque et faire opposition.

Pour éviter de tels désagréments, il est préférable de faire des achats sur les sites dont l’adresse commence par « https:// » plutôt que par « http:// ». Le « s » est l’indication que la connexion est chiffrée (attention, cela ne garantit pas une totale sécurité). Il faut aussi se méfier des sites aux prix trop attractifs.

Certaines banques proposent de réaliser en toute sécurité des achats en ligne au moyen d’une « e-carte bleue » ou « carte bancaire virtuelle ». Cette carte, dédiée aux achats en ligne, génère des numéros de carte temporaires afin de ne pas utiliser son véritable numéro de carte bancaire. Ce service est gratuit ou payant, en fonction de l’offre des établissements bancaires.

Quels risques avec l’IA ?

Il est désormais possible de truquer un contenu audio ou vidéo grâce à l’intelligence artificielle et de propager une information qui a l’apparence de l’authenticité, mais dont le contenu a été réalisé de toutes pièces : c’est le deep fake, ou hypertrucage.

Pour ce faire, le deep fake utilise des algorithmes pour créer de faux contenus à partir d’images ou d’enregistrements réels en modifiant le visage ou les propos d’une personne. Théoriquement, il est alors possible de faire faire et dire n’importe quoi à n’importe qui. Si pour l’instant, un certain nombre d’éléments permettent de repérer un contenu généré par IA (regard vide, voix monotone, parties de l’image floues, mains mal faites, ombres incohérentes, etc.), l’essor rapide de l’IA grand public laisse à penser que des progrès sont à venir et qu’il sera bientôt plus difficile de ne pas se faire duper.

Or, non seulement le deep fake peut venir nuire à l’honorabilité de la victime, par exemple en lui faisant tenir des propos injurieux, mais il peut aussi, dans le cadre d’un procès, venir perturber la preuve nécessaire à établir la véracité des faits.

Depuis 2021, sur le plan politique, il existe en France un service de Vigilance et de Protection contre les Ingérences Numériques Étrangères (VIGINUM) qui tente de limiter les risques pendant les périodes électorales.

Sur le plan privé, il existe des outils de protection qui peuvent être installés sur des ordinateurs pour repérer automatiquement ces procédés. Certaines IA comme ChatGPT-40 parviennent à les détecter, mais pas en totalité. Ce problème, préoccupant et actuel, fait l’objet d’une réflexion gouvernementale internationale afin d’y apporter une réponse coordonnée.

Que peut-on faire pour se protéger contre les fraudes en ligne ?

Les plateformes de type Google, X, YouTube, Instagram, Snapchat, etc., utilisent des systèmes de détection automatisés pour retirer les contenus frauduleux. Néanmoins, ces derniers sont tellement abondants qu’il est impossible de tous les supprimer dès leur création. Une vigilance accrue est de mise : ne jamais cliquer sur un lien dans un e-mail, se méfier des offres alléchantes ou « trop belles », vérifier la fiabilité du site avec des sites d’avis spécialisés, etc.

À noter que les internautes eux-mêmes peuvent signaler un contenu frauduleux sur le site ou réseau social qu’ils fréquentent. Cela aide à la modération de ce type de contenu. Il est également possible de le signaler sur le site officiel PHAROS : https://internet-signalement.gouv.fr.

Par ailleurs, beaucoup de plateformes ont mis sur pied des actions éducatives et de sensibilisation et fournissent aux utilisateurs des clés pour comprendre et se prémunir contre des comportements malveillants.