• Préambule
• Quels sont les pièges les plus courants ?
• Que faire pour ne pas se faire pièger : vigilance et prévention !
• Nos 7 conseils pour éviter le piratage
• Vos droits
• Vos droits et leurs limites
• Conclusion

Qu'est-ce qu'une escroquerie sur Internet ?

Les escroqueries sur Internet englobent diverses pratiques frauduleuses, employées par des cybercriminels sur le Web.  Les fraudes peuvent se présenter d'une multitude de manières différentes, par des messages de phishing, sur les réseaux sociaux, par SMS sur un téléphone portable, via de faux appels du support technique et par le biais de scarewares, entre autres. Le but de ces arnaques peut être de voler des informations bancaires, d'enregistrer des identifiants utilisateurs et des mots de passe, voire d'usurper des identités.

Types de fraude les plus fréquents

Phishing

La fraude en ligne la plus fréquente aujourd'hui est le phishing. Les voleurs s'attaquent à des utilisateurs qui ne se doutent de rien en leur envoyant des messages électroniques de phishing. Via ces messages, un cybercriminel tente de vous faire croire que vous vous connectez à un site web de confiance que vous avez l'habitude d'utiliser. Il peut s'agir d'une banque, d'un compte de réseau social, d'un site web d'achats en ligne, d'entreprises de livraison et de marques de stockage en cloud, par exemple. 

La fraude 419, aussi appelée arnaque nigériane, est également très connue.  Ces messages électroniques vous demandent d'envoyer de grosses sommes d'argent dans le pays, de toucher de faux mandats ou de transférer de l'argent au voleur. Le fraudeur commence par vous demander le paiement d'une petite somme car une somme plus importante est retenue. Vous pouvez être invité à payer des frais de virement électronique, des frais de traitement ou d'autres sommes complètement imaginaires.

Faux antivirus

Les scarewares, faux logiciels de sécurité, sont des arnaques qui touchent de plus près à notre domaine. Elles se manifestent par l'affichage de fenêtres contextuelles vous avertissant que vous êtes infecté par un virus. La fenêtre amène l'utilisateur à penser que, s'il clique sur le lien, l'infection sera supprimée. Les cybercriminels utilisent la promesse d'un « antivirus gratuit » pour implanter un malware sur l'appareil de la victime.

Fraudes sur réseaux sociaux

Ce type d'arnaque prend la forme de publications qui défilent dans votre fil d'actualité, dans le but de vous faire cliquer sur un lien hébergeant peut-être un malware. 

Fraudes mobiles

Les fraudes mobiles peuvent être très variées. Le plus souvent, il s'agit d'applications de phishing. Celles-ci sont conçues pour ressembler à des produits légitimes, tout comme un message électronique de phishing. Le principe est exactement le même, mis à part qu'au lieu d'être envoyé par message électronique, le malware est transmis par une application trompeuse. 

Fraudes par ingénierie sociale

L'ingénierie sociale est une technique par laquelle les cybercriminels exploitent les rapports humains pour inciter un internaute à divulguer des informations sensibles. Comme cette stratégie se fonde sur la nature humaine et les réactions émotionnelles, les attaquants disposent de nombreux moyens pour vous piéger, en ligne ou hors ligne.

Les sites marchands qui vous piègent :

Certains sites marchands (le plus souvent, le siège social est à l’étranger, Malte est un pays qui en abrite beaucoup) vous font remplir un questionnaire, mais même si vous n’allez pas jusqu’au bout de la transaction, vos données bancaires sont mémorisées et vous recevez des mails de relance vous intimant l’ordre de payer une certaine somme sous peine de pénalités …

Les sites marchands qui se font piéger :

En décembre 2017, plusieurs centaines de clients de Cdiscount ont été victimes d’une arnaque en ligne. Des escrocs ont réussi à usurper le compte de 491 clients et à commander pour 300 000 euros de marchandises.

L’arnaque se serait étalée sur une année. Cdiscount a déclaré être lui aussi été victime de ces escrocs (on peut supposer qu’ils ont utilisé une faiblesse dans le système informatique de gestion de leur base de données clients).

Un cas particulier : retrait frauduleux dans un Distributeur Automatique de Billets (DAB).

Un retrait frauduleux en espèces est un acte malveillant qui peut se produire de deux manières différentes :

• Depuis un distributeur automatique de billets
• À un guichet de votre banque

Dans les deux cas, vous remarquez un retrait inhabituel, sans vol de vos moyens de paiement dont vous êtes toujours en possession. Ça signifie que vous êtes victime d’un piratage et d’un retrait frauduleux. Il peut s’agir :

• Du détournement de votre carte bancaire, dupliquée puis utilisée
• D’une usurpation d’identité pour retirer de l’espèce au guichet

La réaction à adopter est différente selon le cas de figure, puisqu’une usurpation d’identité ne constitue pas une opération non autorisée dans le cadre de l’utilisation frauduleuse de votre carte bancaire.

Si vous êtes toujours en possession de votre carte bancaire et que vous constatez un retrait frauduleux, il peut s’agir de deux situations :

• Un abus de confiance: quelqu’un a utilisé votre carte et son code secret à votre insu
• La contrefaçon de votre carte bancaire, par une technique de « skimming », une méthode de piratage des DAB et des terminaux de paiement, comme les pompes de station-service ou les automates des parkings

Les escrocs utilisent un « skimmer » pour piéger le dispositif de lecture de carte, un appareil qui copie les données contenues sur les cartes insérées dans un DAB ou un terminal de paiement, avec parfois des caméras pour filmer la saisie du code.

Les données sont ensuite revendues puis copiées sur des cartes vierges qui sont utilisées en dehors de l’Europe, dans les pays qui n’utilisent pas l’authentification par puce, ou pour faire des achats en ligne. Si le code secret a été filmé, la carte peut être utilisée en France et en Europe.

Il existe d’autres techniques, qui visent à récupérer les données d’un terminal de paiement électronique (TPE) à distance grâce à la technologie Bluetooth. Dans tous les cas, le principe est le même : vous ne vous en apercevez pas quand vous en êtes victime.

Quand vous constatez un retrait indélicat, vous devez agir en trois temps :

1. Vous devez immédiatement faire opposition pour utilisation frauduleuse des données liées à votre carte bancaire et avertir votre conseiller.
2. Vous devez porter plainte au commissariat. Le dépôt de plainte est capital puisqu’il peut être demandé par votre banque dans le cadre de son enquête.
3. Rédigez un courrier à votre banque pour contester le retrait frauduleux, à envoyer en recommandé avec accusé de réception.

L’article L133-18 du Code monétaire et financier impose à votre banque de vous rembourser s’il s’agit d’une opération non autorisée qui n’est pas liée à une négligence de votre part.

L’exemple du site «telecharger-français.com» :

Comme son nom ne l’indique pas, telecharger-francais.com est une société enregistrée à Chypre avec un compte bancaire maltais. Le site laisse penser qu’il va donner accès à certains fichiers, films ou jeux, mais l’internaute doit d’abord renseigner un formulaire. Ce n’est qu’à la fin qu’il souscrit en réalité à un abonnement payant, d'un montant de 99 euros. Même s’il abandonne et ferme la page, les renseignements sont enregistrés. S’en suivent des mails indiquant la confirmation d’inscription, puis des relances pour les 99 euros, majorés de 12 euros de frais de retard à chaque mail de rappel. 

Conseils pour déjouer les pièges :

• Ne cédez jamais à la pression  ! Prenez le temps de vérifier les informations qui vous ont été envoyées. Si quelqu’un vous presse, c’est généralement pour les mauvaises raisons.
• Fuyez les vendeurs qui répondent de façon trop évasive à vos questions.
• Méfiez-vous des offres trop alléchantes. Comparez les prix sur d’autres sites.
• Ne donnez pas votre confiance par l’envoi d’une photocopie d’une pièce d’identité. Il peut s’agir de la pièce d’identité d’une précédente victime ou d’un document retravaillé à l’ordinateur.
• Méfiez-vous dès qu'il y a une multitude d'interlocuteurs et de pays. Cela permet aux fraudeurs de brouiller les pistes.
• Privilégiez le paiement par carte bancaire plutôt que par virement qui est lui irrévocable. Si votre interlocuteur vous demande de passer par un « tiers de confiance » non sécurisé, méfiez-vous et choisissez des services connus et offrant des garanties vérifiables.
• Ne communiquez JAMAIS une copie couleur recto-verso de votre pièce d’identité ou les numéros de votre carte bancaire.

Que faire si vous avez déjà payé ?

• Un virement est irrévocable mais contactez votre banque pour connaître les recours dont vous disposez.
• Si vous avez payé avec un autre moyen de paiement, contactez immédiatement le prestataire de paiement pour faire opposition à la transaction.
• Une fois le paiement débité de votre compte, vérifiez si vous pouvez bénéficier d’un chargeback.
• Déposez plainte au commissariat. Si vous ne connaissez pas l’auteur des faits, vous pouvez porter plainte contre X.
• Les sites qui ont pour seul objet de publier des annonces et de mettre en relation vendeurs et acheteurs ne sont ni des agences immobilières, ni des intermédiaires qui interviennent dans le contrat de location. Ils ne peuvent pas, en principe, être tenus responsables des litiges qui surviennent entre le locataire et le propriétaire, à moins qu'ils aient eu connaissance de réclamations précédentes et qu'ils aient laissé l'annonce en ligne. Consultez toutefois leurs conditions générales de vente pour voir s'ils proposent des solutions en cas de problème.

Réalisée chaque année depuis 2010, l’étude « Cadre de vie et sécurité » de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) met en perspective l’évolution alarmante des victimes d’escroquerie bancaire. Le taux des ménages victimes aurait plus que doublé en l’espace de 7 ans. En effet, 500 000 ménages déclaraient avoir subi au moins une escroquerie sur leur compte bancaire en 2010. En 2017, l’étude relève 1 210 000 ménages victimes !

Des préjudices souvent inférieurs à 300 €

En 2016, 64 % des ménages victimes d’escroquerie bancaire ont déclaré un préjudice d’un montant inférieur à 300 €. Ce taux s’accroît légèrement car il était de 63 % en 2015 et de 61 % en 2014. Les ménages victimes d’une escroquerie supérieure à 1 000 € représentent, quant à eux, 13 % des victimes déclarées.

Les victimes sont rarement alertées par leur banque !

Le relevé bancaire semble être la principale source d’information des victimes. En 2016, un peu plus de 834 000 ménages victimes de retraits frauduleux ont découvert le pot aux roses par ce biais. La part des ménages ayant été alertés du préjudice par leur établissement bancaire diminue au fil du temps : 29 % des ménages victimes en 2014 déclaraient avoir été prévenus par leur banque contre 28 % en 2015 et 22 % en 2016. Dans la majorité des cas, les personnes ayant subi le préjudice ignorent comment le fraudeur a procédé pour obtenir leurs coordonnées bancaires (64 %).

Des fraudes majoritairement sur des achats en ligne

Pour 68 % des ménages victimes en 2016, le débit frauduleux a servi à réaliser des achats. Et pour 58 % d’entre eux, il s’agit d’achats en ligne. Ce taux était de 51 % en 2014 et de 55 % en 2015. À noter que la part des achats effectués sur un site étranger augmente, passant de 16 % en 2014 à 21 % en 2015 pour atteindre 24 % en 2016. En revanche, les escroqueries effectuées à partir d’un distributeur piraté sont, en proportion, de moins en moins nombreuses : 13 % en 2014, un peu moins de 9 % en 2015, elles ne sont plus que 7 % en 2016.

1. Mettez vos coordonnées à jour

Si vous changez de numéro de portable, déménagez ou utilisez une autre adresse e-mail, demandez à votre conseiller bancaire de mettre vos coordonnées à jour. En cas de suspicion de fraude, il pourra ainsi vous joindre pour vérification. « Mon compte courant a été piraté durant mes vacances, mon dossier ne contenait que mon numéro de fixe. Constatant une demande de virement qui ne correspondait pas à mes habitudes, ma conseillère a tenté de me joindre à mon domicile et faute de réponse a donné le feu vert au débit frauduleux, j’ai dû attendre trois semaines pour me faire rembourser », tempête Jean P., retraité de 77 ans. Si vous partez en vacances, emportez avec vous les numéros de téléphone vous permettant de faire opposition, la ligne directe de votre conseiller et son e-mail pour le prévenir rapidement en cas de souci.

2. Protégez votre ordinateur

Protégez l’accès à l’ordinateur auquel vous vous connectez pour consulter vos comptes en ligne. Installez un mot de passe pour y accéder, cela n’empêchera pas un pirate d’y accéder, mais cela lui compliquera la tâche. Si vous utilisez également une tablette et un téléphone mobile, multipliez les mots de passe. Et ne les notez pas sur un post-it collé à l’écran, au dos de l’ordinateur ou dans le premier tiroir de votre bureau... Ensuite, installez un antivirus et téléchargez régulièrement ses mises à jour « officielles », provenant du site de l’éditeur du logiciel. Certains pirates rusés lancent en effet des « offres promotionnelles » pour des antivirus infectés. Acceptez également toutes les mises à jour des programmes installés sur votre ordinateur, elles réparent des vulnérabilités détectées par les éditeurs. Enfin, exécutez régulièrement le scan (ou analyse régulière) de votre ordinateur en lançant votre antivirus. Cela lui permet de vous signaler un fichier infecté et d’éviter la propagation du virus.

3. Protégez votre connexion Internet

Il faut aussi protéger votre connexion Wi-Fi, sur votre Box, avec un mot de passe complexe. Si vous utilisez du Wi-Fi en libre accès pour vous connecter sur des sites sensibles, cela revient à blinder votre porte et laisser toutes vos fenêtres ouvertes. Si vous recevez régulièrement des personnes chez vous, pensez à modifier le code de votre Wi-Fi après leur passage. Évitez d’utiliser un accès Wi-Fi ouvert à tous (aéroport, gare) ou un ordinateur en libre accès (bibliothèque…) pour vous connecter sur les services en ligne de votre banque : si des pirates se trouvent à proximité, ils n’auront aucun mal à récupérer vos données personnelles.

4. Gérez votre session

Prenez l’habitude de vous déconnecter systématiquement à la fin de vos opérations, que ce soit sur ordinateur ou via un téléphone portable. Il est dangereux de laisser une session ouverte trop longtemps, car un escroc peut profiter de ce laps de temps pour entrer sur votre compte. De la même façon, n’enregistrez pas votre identifiant sur les sites et refusez cette option, en général proposée en début de connexion. Si un voleur prend la main sur votre ordinateur, il accédera bien plus facilement à vos comptes. Même réflexe à prendre sur les sites de e-commerce : refusez d’enregistrer les coordonnées bancaires de votre carte (l’option est proposée pour vous éviter de les retaper à chaque achat). Sinon, en cas de piratage du serveur de l’entreprise, les voleurs auront accès à votre numéro de carte.

5. Multipliez les adresses e-mail

Ouvrez plusieurs adresses Internet à votre nom, ce procédé est gratuit. Servez-vous d’une adresse spécifique et sécurisée pour vos transactions importantes. Ne la communiquez qu’à des tiers de confiance : banque, service des impôts… et ne l’inscrivez sur aucun document susceptible d’être piraté. Ouvrez une deuxième adresse pour vos communications courantes. Enfin, un troisième e-mail sera lié à un compte « poubelle », vous l’utiliserez pour recevoir vos newsletters et offres promotionnelles et réaliser vos achats sur Internet… Comme cette adresse circulera sur le Net, elle a plus de chances d’être piratée. Mais les escrocs ne pourront rien en faire, puisqu’elle ne sera reliée à aucune donnée sensible. Bien entendu, chacune de vos adresses doit avoir un mot de passe différent.

6. Soyez méfiant, évitez d’être imprudent ou négligent !

Les pirates utilisent souvent des informations trouvées sur les réseaux sociaux pour vous piéger. Si, par exemple, un membre de votre famille est parti en vacances dans les Caraïbes, il postera sur Internet des photos de lui devant une eau turquoise. Peu de temps après, vous recevrez un e-mail angoissé de sa part vous demandant de lui virer des fonds parce qu’il s’est fait voler son portefeuille. Alerte ! Prenez le temps de vérifier que c’est bien le cas et non que son carnet d’adresses a été piraté à son insu. N’ouvrez jamais des documents en pièces jointes si vous ne connaissez pas l’expéditeur. Et faites preuve de méfiance si l’e-mail provient d’un membre de votre famille, des impôts ou d’un commerçant. Les pièces jointes peuvent transporter des virus, de type « cheval de Troie ». De manière générale, n’ouvrez pas de fichier en .exe, .pi, .scr, .hta, .cpl, .cmd, .bat… Si vous avez un doute sur un e-mail, supprimez-le et videz votre poubelle, sinon le fichier restera sur votre ordinateur.

7. Sécurisez votre téléphone

Si vous utilisez un smartphone avec un accès Internet et consultez vos comptes dessus, mêmes conseils. Protégez son accès par un code secret. En cas de vol ou de perte, l’escroc aura du mal à accéder à votre application bancaire et à vos données personnelles. Dès que vous constatez le vol ou la perte de votre portable, changez les mots de passe de vos boîtes mails si elles sont synchronisées sur votre mobile. Modifiez également le mot de passe d’accès à votre site bancaire. Enfin, prévenez votre opérateur pour qu’il déconnecte votre carte Sim et empêche le voleur de recevoir des codes de confirmation d’achat par SMS. Si vous utilisez la fonction Bluetooth ou Wi-Fi chez un ami ou dans un lieu public, désactivez-la après utilisation pour éviter les intrusions à distance dans votre appareil. Enfin, sachez que les derniers systèmes d’exploitation intègrent une fonction « effacer les données du téléphone à distance ».

Fraude à la carte bancaire :

La demande de remboursement du montant débité doit être adressée à votre banque.

Si vous avez signalé la fraude aux forces de l'ordre au moyen du service en ligne, il convient de lui transmettre le récépissé.

La banque est tenue de vous rembourser intégralement des sommes débitées ainsi que les agios éventuels qui en seraient la conséquence.

 À noter : cette obligation de remboursement pèse sur la banque, que l'utilisateur de la carte bancaire ait ou non contracté des garanties d'assurance spécifiques

Fraude à la carte bancaire en cas de vol ou de perte : une franchise revue à la baisse

Depuis le 13 janvier 2018, le titulaire d'une carte bancaire perdue ou volée, victime d'une fraude, doit payer une franchise de 50 € pour les opérations effectuées avant opposition (au delà de 50 €) et pour lesquelles le code confidentiel de la carte a été utilisé. La franchise qui était auparavant de 150 € diminue donc de 100 €. C'est ce que prévoit l'article 2 de l'ordonnance du 9 août 2017 relative aux services de paiement.

La procédure de "chargeback" (Mise à jour : Mai 2018)

Si suite à une commande en ligne payée par carte bancaire, vous n'avez jamais été livré et ce malgré vos relances, vous pouvez demander le remboursement des sommes versées via la procédure de chargeback.

La procédure dite de "chargeback" permet à un consommateur de revenir sur son ordre de paiement et d'être remboursé directement par l'émetteur de la carte bancaire ou de la banque lorsqu'un professionnel ne respecte pas les droits du consommateur. Par exemple en cas de :

• vol de la carte, 
• piratage de carte,
• escroquerie (sachez toutefois que dans la pratique, il peut s'avérer difficile de prouver formellement l'escroquerie auprès de votre émetteur de carte ou de votre banque), 
• faillite de la société, 
• ou encore de non-livraison par le professionnel. 

Le remboursement n’est pas automatique :

Pour la deuxième fois en quelques mois, la Cour de cassation a donné raison à une banque qui plaidait la négligence d'un client victime d'hameçonnage pour ne pas le rembourser. Une décision qui invite à redoubler de vigilance face aux courriers électroniques malveillants

Cette décision rappelle que l'acquittement des personnes victimes d'actes bancaires illicites à la suite d'une opération de phishing n'est pas automatique. Si la banque parvient à prouver la négligence du client, elle n'est pas tenue de le rembourser.

Tout ceci est vrai, c’est extrêmement pratique de tout gérer depuis chez soi au moment où on en a envie, quand on a le temps, de ne pas être astreint à des heures d’ouvertures de magasins, à la disponibilité d’un vendeur ou aux heures d’ouvertures d’un guichet administratif.

Mais derrière cette facilité apparente, Internet reste une « place de marché » où circulent de très nombreuses personnes dont certaines ont des intentions néfastes.

De la même manière qu’on ne laisse pas sans surveillance son portefeuille, son sac à main, ses clés... dans un restaurant, sur une place, dans n’importe quel endroit public, de la même manière qu’on ferme sa porte en quittant la maison ou qu’on verrouille sa voiture sur un parking… on doit agir avec la même prudence, la même circonspection quand on « circule » sur internet : on crée des « clés » différentes (des mots de passe) pour les différents sites sur lesquels on navigue, on n’ouvre pas les courriers suspects sans vérification préalable. Et comme pour sa voiture, sur laquelle on fait les révisions périodiques recommandées et on vérifie les éléments de sécurité sur son ordinateur et sa messagerie, on s’assure que l’antivirus est à jour et que le pare-feu est actif.