EDF, CAF ou impôts : comment repérer les arnaques dans vos e-mails ?

"Vous avez le droit à 215 euros de remboursement de vos impôts." Un mail dans votre boîte envoyé par la CAF, avec logo et typographie officiels, vous demande de cliquer sur un lien inclus dans le message. Sur une page web qui ressemble fortement au site auquel vous êtes habitué, on vous invite alors à saisir vos coordonnées bancaires. Vous l'avez fait ? Vous venez d'être "hameçonné". Le groupe EDF est particulièrement touché, indiquait Le Parisien le 31 janvier : il est la cible de 200 à 300 cyberattaques par mois. Francetv info s'est penché sur cette pratique de "pêche aux victimes" via les réseaux de communication. 

Qu'est-ce que le phishing?

Le phishing (le terme est la contraction de "password harvest", collecte de mots de passe, et de "fishing", la pêche), ou hameçonnage en français, désigne une pratique d'escroquerie par e-mail. Une étude sur la cybercriminalité, publiée par Norton by Symantec en septembre 2012, a conclu qu'en France, un internaute majeur sur trois avait été victime de cybercriminalité sur les douze derniers mois, et que la perte financière moyenne par victime s'élevait à 247 euros.

La technique du hameçonnage consiste à vous faire croire que vous vous adressez à un tiers de confiance - banque, administration, CAF ou EDF, sites de vente tels que eBay ou services de paiement en ligne comme Paypal - afin de vous soutirer des renseignements personnels et, finalement, de vous voler de l’argent.

Gare aussi au "SMS phishing". Un sms ou un appel téléphonique, prétendument émis par votre banque, vous invite à contacter un serveur vocal et à vous identifier, pour récupérer ensuite vos codes d'accès. Le pirate peut alors effectuer des opérations sur votre compte, à votre insu. La CAF avertit également contre une application intitulée Mycaf et proposée pour les téléphones mobiles Android. "La CAF n'est pas à l'origine de cette application, et vous recommande de ne pas l'utiliser", conseille-t-on sur le site caf.fr. 

Comment déceler les e-mails frauduleux ?

Vous avez reçu un mail suspect ? EDF recommande de regarder méticuleusement l'adresse de l'expéditeur, l'URL du site internet dans la barre de navigation et celle de l'espace client. Si l'intitulé du lien semble suspect, ne cliquez pas dessus. 

Ces recommandations s'avèreront cependant inutiles si vous êtes victime de la tactique de phishing qui s'appelle pharming (en anglais). Soit c'est votre ordinateur qui est infecté par un virus, soit c'est le serveur DNS piraté qui vous dirige vers le faux site. Dans les deux cas, l'URL à laquelle vous accédez depuis le mail sera la même que celle du site officiel. Il faut se plonger alors dans le texte de l'e-mail : beaucoup de faux mails commencent par une formule de politesse générique, telle que "cher utilisateur/trice", alors que la banque et les services préfèrent utiliser des formules plus personnalisées. Souvent, ces mails exigent une action rapide de votre part et menacent de suspendre votre compte si vous ne mettez pas à jour vos données immédiatement. Il est possible également que le texte soit truffé de fautes d'orthographe et de grammaire.

De même, rappelez-vous : les banques ne demandent jamais d'informations sensibles par mail, et EDF vous demandera vos coordonnées bancaires (numéro de compte, numéro de carte bancaire, cryptogramme) uniquement dans votre espace client. 

Et si vous avez mordu à l'hameçon ?

Les consignes sont claires. Ne répondez pas à l'e-mail. Ne le transférez pas. Ne remplissez pas les données qui vous sont demandées. Vous avez cliqué trop vite ? Ou avez compris trop tard qu'il s’agissait d’une fraude ? Dans ce cas, réagissez immédiatement.

Faites tout de suite opposition sur votre carte bancaire auprès de votre banque. Avant de supprimer le mail de votre boîte, envoyez-le dans sa totalité à l’organisme concerné. En France, les internautes sont également invités à communiquer avec la cellule de veille de la police nationale pour signaler les sites au contenu illicite (ou une tentative de phishing) sur le site officiel. 

Votre banque vous remboursera-t-elle ? Oui, mais "elle va vous mettre des bâtons dans les roues", avertit Le Monde.fr. La réglementation relative à la protection du consommateur dans le domaine de la fraude à la carte bancaire est très poussée. "En cas d'opération de paiement non autorisée consécutive à la perte ou au vol de l'instrument de paiement, le payeur [i.e la banque] supporte, avant l'information prévue à l'article L. 133-17, les pertes liées à l'utilisation de cet instrument, dans la limite d'un plafond de 150 euros."

Pourtant, dans un rapport de février 2012 (PDF), l'association de consommateurs UFC-Que Choisir constate que de nombreux frais bancaires (de recherche, de remplacement de carte ou d’opposition) liés à la fraude ne sont pas remboursés. Très souvent, votre banque va vous demander de déposer plainte au commissariat (ce qui n'est pas obligatoire, selon la loi) pour gagner du temps. Et l'association de mettre en garde : "Certains banquiers n'hésitent pas à pratiquer la désinformation en prétendant à leurs clients que la souscription d'une assurance des moyens de paiement est le seul moyen d’être assuré du remboursement des sommes dérobées." Ce qui est une autre fraude.