Les arnaques sur Marketplace, toujours plus nombreuses et sophistiquées: «Cette personne a ruiné 4 ans d’économie»
Les arnaqueurs utilisent des techniques qui rendent obsolètes les conseils qui permettaient jusqu’ici d’être en sécurité sur Marketplace (Facebook). Pour y faire face, les autorités tentent de perfectionner leurs outils de lutte contre les fraudes et invitent à adopter de nouveaux réflexes.
Amazon a de quoi être jaloux. Avec ses 310 millions de clients mensuels en 2023, l’entreprise de Jeff Bezos fait pâle figure face à un autre géant du commerce en ligne: Facebook Marketplace. Selon un rapport publié en mars par l’agence Capital One Shopping Research, le site de Mark Zuckerberg attire 1,2 milliard de personnes, soit environ 40% des 3,07 milliards d’utilisateurs actifs de Facebook. Cela représente près d’un huitième de l’humanité entière.
Logiquement, les arnaqueurs sont de la partie. Cette année, plusieurs instances s’en sont inquiétées, suite aux témoignages parfois dramatiques qu’elles ont reçu. L’organisation de consommateurs Test-Achats s’est par exemple retrouvée à défendre une cliente, Nathalie, qui a été victime de phishing sur la plateforme. En cliquant sur un faux lien de Mondial Relay, elle a encodé les informations de sa carte bancaire. Elle s’est rendue compte très rapidement du piège, mais elle a entre temps perdu 2.400 euros.
Laurence a eu encore moins de chance. Comme elle l’a fait savoir au SPF Economie, elle est tombée exactement dans le même piège. «L’arnaqueur a alors fait intrusion sur mon compte bancaire, fait un virement interne de mon compte épargne à mon compte courant et a vidé la totalité de mes deux comptes. Cette personne a ruiné quatre ans d’économie et de travail, et le rêve de toute une famille», raconte-elle.
«On voit que le nombre de ces arnaques sur Marketplace augmente constamment», se désole Olivier Bogaert, commissaire à la Computer Crime Unit. Et ce n’est pas la seule mauvaise nouvelle. Les forces de l’ordre ont remarqué que les arnaqueurs ont récemment perfectionné leurs techniques, de telle sorte qu’il est de plus en plus difficile de différencier les vrais et les faux clients.
Des faux profils de plus en plus crédibles
Un des conseils que les autorités avaient par exemple l’habitude de donner, c’était de regarder le profil de l’acheteur ou du vendeur concerné. Si celui-ci avait été créé récemment et que ses évaluations étaient inexistantes ou mauvaises, il y avait des raisons de se méfier. Aujourd’hui, ce type de vérification ne fonctionne plus. «En 2021, Meta (la société mère de Facebook) a été victime d’une monstrueuse fuite de données, avec 533 millions de comptes concernés, rappelle Olivier Bogaert. Les arnaqueurs disposent aujourd’hui de ces informations et peuvent utiliser des profils appartenant à de véritables personnes. Il y a peu, une dame concernée m’a contacté. Une personne a pris le contrôle de son compte, a changé le mot de passe et a utilisé son identité pour proposer de faux produits sur Marketplace.»
Il est donc probable que de nombreux profils piratés soient aujourd’hui en «libre circulation» sur la plateforme, et ce pour longtemps. «Meta a l’obligation de faire régulièrement des contrôles, ajoute le commissaire. Le problème, c’est qu’il y a des millions d’utilisateurs à vérifier. Les équipes de modération sont surchargées et les arnaqueurs en profitent pour continuer leurs méfaits sur Marketplace.» Une enquête de l’organisme américain ProPublica le montre bien: l’entreprise de Mark Zuckerberg tente de faire face en employant 400 personnes auprès du cabinet de conseil Accenture. Mais la tâche est titanesque. C’est un peu David contre Goliath.
Quand l’IA s’en mêle
Dernièrement, Meta et d’autres géants du numérique a commencé à utiliser l’intelligence artificielle (IA) pour ergonomiser ce travail de contrôle et de vérification. Des tentatives de phishing peuvent être ainsi bloquées avant d’avoir pu atteindre leurs cibles. Le souci, c’est que les escrocs n’ont pas manqué d’adopter eux aussi l’IA, notamment pour créer des faux profils et des faux mails, non plus bourrés de fautes d’orthographes comme auparavant, mais en tous points semblables à des vrais, ce qui complexifie la problématique. Seuls de rares indices permettent de faire la différence, comme des incohérences dans l’URL d’un site ou l’expéditeur du mail (par exemple une adresse mail terminant par @gmail.com ou @hotmail.com, ce que n’aurait jamais une vraie banque ou entreprise postale).
Michele Rignanese, porte-parole du Centre for Cybersecurity Belgium, note que l’IA permet également aux escrocs de générer des textes et des images multilingues toujours plus crédibles. «Ils sont même capables de synthétiser des voix humaines, par exemple pour imiter celle de vos enfants dans le cas de la fraude à l’appel à l’aide.»
«Les faux vendeurs ou acheteurs utilisent également de plus en plus des cryptomonnaies et d’autres moyens de paiement difficilement traçables, note pour sa part Axel Legay, professeur de cybersécurité à l’UCLouvain. Citons aussi la multiplication des codes QR, que les gens scannent facilement. On a vraiment une évolution à ce niveau-là. Puis il y a l’attrape des soi-disant colis perdus, les surpaiements de faux acheteurs qui demandent à ce que le trop-perçu leur soit reversé pour tendre leurs pièges, ces « formulaires de la Poste » qui sont en réalité des tentatives de phishing, etc.» De manière globale, toute tentative de rediriger l’acheteur ou le vendeur vers un site tiers doit être considérée comme suspecte.
Un combat à mener au niveau mondial
Comme le note Axel Legay, il n’existe aucune statistique précise sur l’ampleur du phénomène, pour la simple et bonne raison que toutes les arnaques ne font pas l’objet de plaintes déposées à la police. Mais celle-ci remarque clairement que les escrocs viennent souvent de l’étranger. Avant, et encore en partie aujourd’hui, l’Afrique de l’Ouest était pointée du doigt, avec des hommes opérant depuis des cybercafés échappant à tout contrôle. «Mais au niveau des arnaques financières, ce sont souvent des pays asiatiques qui sont concernés, relève Olivier Bogaert. Je viens encore d’avoir un témoignage d’un monsieur qui avait reçu un « message de BNP Paribas Fortis ». Lorsque j’ai regardé avec lui, il s’est avéré que ça venait d’Inde.» Dans d’autres cas, le pays d’origine est la Russie ou la Corée du Nord, précise le commissaire.
Le professeur néolouvaniste confirme: «Il y a une diversification de la provenance des hackeurs, qui se professionnalisent en entreprises aux profils divers. En Russie, l’Etat est même impliqué, non pas directement comme avec les mercenaires de Poutine, mais en laissant faire, afin de permettre aux hors-la-loi de proliférer sur son territoire et de viser les Occidentaux. Je doute d’ailleurs qu’un procureur belge identifiant un arnaqueur russe puisse obtenir un suivi dans ce pays. En Chine et en Corée du Nord, par contre, l’Etat est directement impliqué dans l’organisation de ces arnaques. Côté indien, c’est un peu comme en Afrique, avec un manque de contrôle.»
Un manque de moyens
Axel Legay insiste: les policiers belges chargés de traquer ces personnes sont très qualifiés. «Le problème, c’est qu’ils sont en sous-effectif et qu’ils ne peuvent répondre qu’à un nombre réduit de demandes, en donnant la priorité aux gros poissons. C’est une première difficulté. La deuxième est à chercher du côté de la justice. Il faudrait un parquet du numérique, pour que les efforts des policiers soient suivis d’actions, mais ça reste limité pour l’instant. Il n’y a donc pas de manque de compétences mais de moyens pour agir efficacement.»
Après, il faudra encore coopérer avec le pays d’origine des arnaqueurs, ce qui demande un effort supplémentaire pour bien se comprendre, sans compter le fait que les problèmes qui se posent en Belgique se répètent souvent à l’étranger. Le chemin s’annonce donc long et difficile pour que les forces de l’ordre soient efficaces dans leur lutte contre la cybercriminalité.
Des citoyens bien armés face au danger
D’ici-là, pour lutter contre les escrocs, Axel Legay propose de renforcer l’éducation numérique de la population, afin que tout le monde ait les connaissances de base. Un effort à faire à grande échelle, que ce soit à l’école, via des émissions de télévision, des animations dans les méconnus espaces publics numériques (EPN), etc. «Je donne en ce sens une multitude de conférences tous les mois, notamment auprès des personnes âgées, en leur partageant des conseils», assure Olivier Bogaert.
Les citoyens disposent également d’outils anti-arnaques, comme la plate-forme safeonweb.be qui propose un kit d’outils pour sécuriser ses comptes ainsi qu’une application informant des campagnes frauduleuses en cours. Si une personne remarque un lien suspect, elle peut en référer à l’adresse mail suspect@safeonweb.be et en informer le site signal-arnaques.com. Pour finir, Olivier Bogaert redirige vers Scam Doc, un service qui permet d’analyser la fiabilité de sites et d’éviter les tentatives de phishing. Question d’agir avant qu’il ne soit trop tard.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici