"En voulant payer une facture depuis l’application e-finance de mon téléphone, j'ai reçu une notification de mauvais mot de passe. J'ai couru au Postomat le plus proche et c'est là que je me suis rendu compte que mes comptes étaient à zéro, que tout avait été vidé", témoigne une téléspectatrice de la RTS dans l’émission A Bon Entendeur. En quelques clics malheureux, celle-ci a perdu toutes ses économies: 80'000 francs.
La jeune femme a été victime d’une arnaque qui cible non pas les acheteurs mais les vendeurs de places de marché en ligne telles que Marketplace, Anibis ou Ricardo. Elle a mis quelques meubles en vente lors d’un déménagement, et c’est ainsi qu’elle a été repérée par les escrocs.
Faux site de La Poste
Ceux-ci l’ont contactée via WhatsApp avec un numéro suisse. La personne "m'a demandé si elle pouvait organiser un transporteur pour venir chercher le lit, vu qu'elle n'avait pas de voiture suffisamment grande pour le prendre, ce qui m'a paru assez cohérent", témoigne la trentenaire. En réalité, il s’agit d’une technique régulièrement utilisée par les malfrats: celle d’un système de livraison fictif.
Un piège qui se referme rapidement: la fausse acheteuse guide la jeune femme vers un pseudo site de La Poste à travers lequel elle prétend pouvoir organiser la livraison et le paiement du meuble. La Poste ne propose pas ce service, mais le faux site est très bien fait et la victime n’y voit que du feu. Elle y entre son nom, son adresse, son IBAN et le numéro ID de sa carte, ainsi qu’un code de vérification.
Sans qu’elle ne s’en aperçoive, les voleurs saisissent ainsi les informations permettant d’accéder à ses comptes, et les siphonnent à coups d’achats de plusieurs milliers de francs sur des sites tels que Microspot, Brack ou Galaxus. "Quand j'ai reçu les décomptes de la banque, j'ai vu que les quatre premières tentatives de paiement (…) avaient été stoppées. Le système anti-fraude FalconFraud les a identifiées comme suspicieuses et les a stoppées… Mais les dix suivantes ont passé", raconte la témoin.
PostFinance rejette la responsabilité
PostFinance n’explique pas pourquoi le système n’a contré que les premières tentatives. Mais pour l’établissement bancaire, la seule responsable de ce vol est sa cliente: "Il est établi que [la cliente] a contrevenu à ses devoirs de diligence en transmettant – à plusieurs reprises – ses données confidentielles à des tiers. La fraude dont [elle] fait valoir avoir été victime n’aurait pas eu lieu si elle n’avait pas divulgué tous les éléments de sécurité personnels à des tiers."
En Suisse, le volume d’arnaques en ligne est considérable: "Chaque année, 22'000 cyberescroqueries sont rapportées au corps de police", commente Olivier Beaudet-Labrecque, doyen de l’institut de lutte contre la criminalité économique de la Haute Ecole Arc à Neuchâtel. "On a une spécialisation des cybercriminels, y compris en Suisse romande puisque l’infraction est réalisée en français en utilisant le site de La Poste".
La police peine à endiguer le phénomène car de nombreux malfrats agissent depuis l’étranger. "L’approche que le Royaume-Uni met en place est intéressante", relève le spécialiste. "A partir de cette année, les banques y ont une responsabilité par rapport à leurs clients. En cas de fraude, elles devront les rembourser à hauteur d’un demi-million de francs maximum par fraude."
Clémentine Bugnon, Linda Bourget
Quelques conseils pour ne pas se faire avoir
Les escroqueries en ligne sont de mieux en mieux faites et de plus en plus difficiles à détecter : arnaqueurs qui s’expriment dans un français parfait, voleurs qui répondent à des numéros suisses, faux sites sans faute d’orthographe, etc.
"Ça peut arriver à n'importe qui, à vous, à moi, même aux personnes les plus aguerries qui auraient par exemple effectué une formation de prévention contre la cybercriminalité", avertit Jonathan Grossenbacher, porte-parole de la Police cantonale bernoise. "Soyez toujours sur vos gardes, méfiez-vous de ce que vous recevez, méfiez-vous des liens et si vous n’êtes pas sûrs, demandez un avis extérieur, enfin n'agissez pas sous le coup de l'émotion."
La Prévention suisse de la criminalité (PSC) souligne par ailleurs que les sites de petites annonces n’indiquent jamais travailler officiellement avec certains services de livraison ou coopérer avec La Poste ou DHL. Elle indique également que La Poste n’effectue jamais de transactions financières sur le pas de la porte – une "option" proposée par certains escrocs.
Au niveau de la vente en ligne, si la personne ne peut pas venir chercher le produit et insiste pour passer par un service de transport compliqué ou inconnu, "un signal d’alarme devrait se déclencher chez vous", résume la PSC.