Tom Meilland* termine sa journée en se disant qu'il a fait une bonne affaire. En quelques clics, il a acquis de belles baskets pour 91,96 francs au lieu de 114,9, directement auprès de la filiale suisse d'une marque de sport allemande. Le jeune homme est satisfait.
Quelques jours plus tard, il reçoit un e-mail l'informant que ses chaussures sont en route. Suivi, peu après, par un SMS. L'expéditeur? «DHL-Track». Le livreur lui signale un problème: «Nous n'avons pas pu livrer votre colis aujourd'hui. Veuillez vous rendre sur www.ch-lieferung.net/786sr pour mettre à jour vos informations de livraison.»
Tom Meilland clique sur le lien. Il est aussitôt invité à saisir son adresse et à payer 2,45 francs pour une nouvelle livraison. L'opération paraît douteuse, mais le client passe à la caisse. Il entre sans réfléchir les données de sa carte de crédit. «Je connais les dangers des cybercriminels, se justifie-t-il auprès de Blick. Mais à ce moment-là, j'avoue que je ne pensais qu'à mes baskets...»
Quelques minutes plus tard, alors convaincu qu'il va bientôt recevoir ses chaussures, Tom Meilland reçoit un nouveau SMS. Mais cette fois-ci, l'expéditeur est sa banque. Celle-ci vient de refuser un débit de... 1579 euros.
Le jeune homme panique. «Là, j'ai bien sûr tout de suite compris que j'étais tombé dans le piège», soupire-t-il. Mais il a eu de la chance dans son malheur. Le système d'alerte de sa société de cartes de crédit a fonctionné. Tom Meilland ne récupérera pas les 2,45 qu'il a réglés, mais sa banque l'a protégée d'un dommage bien plus grand.
Numéro officiel de DHL comme expéditeur
Le Centre national de cybersécurité (NCSC) de la Confédération a-t-il connaissance de cette nouvelle escroquerie? Il semblerait que oui. Quatre autres Suisses sont tombés dans le panneau, explique-t-il à la demande de Blick. Les cybercriminels auraient un mode opératoire: ils utiliseraient fallacieusement un numéro DHL officiel.
Leur technique est bien rodée. Les experts appellent ce procédé une usurpation d'identité ou, en anglais, du spoofing. Sans cela, Tom Meilland est formel: il ne serait pas tombé dans le panneau. «J'ai fait confiance au SMS parce que l'expéditeur s'appelait DHL-Track», confirme le jeune homme. Même s'il reconnaît après coup qu'il s'agissait «d'une grande erreur».
DHL est apparemment aussi au courant de ces fraudes. Le livreur met en garde des victimes potentielles sur la page d'accueil sur son site. L'entreprise de logistique écrit que beaucoup de mails et de graphiques en circulation «semblent provenir de DHL»: «Veuillez noter que DHL ne demande en principe pas le paiement préalable de marchandises, avertit la boîte allemande. DHL ne fait que prélever des montants pour les frais d'expédition officiels liés à DHL.»
De nombreuses cibles potentielles
D'autres personnes risquent-elles de se faire rouler? Pour le moment, le danger semble écarté, selon la porte-parole du NCSC. «Le site de phishing (ndrl: technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité) est désormais bloqué», avance Manuela Sonderegger à Blick.
Selon le NCSC, l'arnaque est uniquement liée à la livraison. Le fait que le SMS des escrocs soit arrivé juste au moment où Tom Meilland attendait une véritable commande serait purement dû au hasard.
Alors, comment l'arnaque est-elle ficelée? Un huitième de la population suisse, soit environ un million de personnes, passe une commande en ligne par semaine, détaille Manuela Sonderegger. Si l'on imagine, d'un point de vue exclusivement statistique, que les pirates peuvent envoyer à peu près 100'000 e-mails ou SMS à des Suisses et Suissesses en une semaine, 12'500 personnes pourraient recevoir un message frauduleux correspondant la même semaine que celle où elles ont passé une commande en ligne, calcule la porte-parole.
Toujours est-il que les baskets sont arrivées. Et elles sont à la bonne taille.
*Nom modifié