Mardi 13 octobre, 10h06, mon smartphone sonne. L’écran affiche un numéro belge. Ça doit probablement être pour le boulot! Ni une, ni deux, je décroche. «Bonjour Madame Sury, ici la société PayPal, nous vous appelons, car dans le cadre de votre compte professionnel, vous pouvez bénéficier du gaz et de l'électricité à un prix réduit.»
Première nouvelle, PayPal est devenu fournisseur d’électricité. Seconde nouvelle, j’ignorais totalement que j’avais un compte professionnel chez PayPal. Continuons cette conversation, ça risque d’être instructif. «Ah bon, PayPal offre ce service désormais, c’est incroyable ça!»
Sans hésiter, elle me répond: «Oui, vous pouvez vérifier sur Internet, ça fait 4 ans que PayPal propose ce service gratuit.» Ce qu’elle ne sait pas, c’est que je suis incollable sur les services proposés par PayPal en Belgique. Curieuse, je lui demande: «Et ça se passe comment?»
«Nous pouvons venir chez vous la semaine prochaine et analyser vos factures ensemble pour voir s’il n’est pas possible de trouver moins cher.» J’ai été tellement étonnée par sa réponse que j’ai juste répondu: «Mais lol! Non, merci et au revoir.»
Après coup, je m’en suis voulu d’avoir aussi vite mis fin à cette conversation, j’aurais dû la continuer afin de découvrir ses intentions réelles: mon interlocutrice voulait-elle juste obtenir quelques données me concernant ou a-t-elle agi pour le compte d’une bande d’escrocs qui cherchent une manière de s’introduire dans mon domicile?
Lire aussi | Faut-il fermer son compte PayPal ?
Récolte de données
Pour Olivier Bogaert, commissaire à la Computer Crime Unit (CCU) de la Police fédérale, ces deux hypothèses sont valables. «Un tel appel sert parfois à récolter des données comme votre nom, votre adresse et peut-être votre e-mail afin de vous escroquer plus tard ou afin de les consigner dans une base de données qui sera ensuite revendue à des sociétés de télémarketing.»
"Un tel appel sert parfois à récolter des données afin de vous escroquer plus tard ou afin de les consigner dans une base de données qui sera ensuite revendue à des sociétés de télémarketing."
Et dans ce cas, il est certain que le nombre d’appels intempestifs augmentera sensiblement, et cela même pour ceux qui ont pris la peine de s’inscrire sur la liste «Ne m’appelez plus» (dncm.be). Si tel est le cas – c’est-à-dire si vous continuez à recevoir des appels téléphoniques non sollicités – vous pouvez porter plainte auprès de l’inspection économique du SPF Economie ou via la plateforme pointdecontact.belgique.be (en choisissant la rubrique «démarchage téléphonique»).
«Cela dit, il n’est pas impossible que la personne au bout du fil prenne réellement rendez-vous avec vous. Il y a eu des cas où des escrocs se sont fait passer au téléphone pour un fournisseur d’énergie afin d’augmenter la confiance de la victime. D’autres se font carrément passer pour une institution publique comme le fisc pour jouer aussi sur la peur.»
Lorsque ces escrocs arrivent à leurs fins et qu’ils passent le pas de votre porte, leurs intentions peuvent être diverses. «Soit ils viennent pour récolter diverses données personnelles en analysant soi-disant vos factures d’énergie. Soit ils viennent pour vous dérober des affaires lorsque vous aurez le dos tourné. Notamment parce que vous serez partis chercher un document quelconque à leur demande.»
Autrement dit, même si vous êtes en ligne avec une société sérieuse, on n’est jamais trop prudent: au moindre appel non sollicité, ne discutez pas et mettez rapidement un terme à la conversation. Si vous avez vraiment envie – par exemple – de profiter de l’énergie à prix réduit, prenez l’initiative vous-même en utilisant des comparateurs en ligne.
Lire aussi | Quand un "avocat" vous menace par téléphone...
Fuite de données
Reste une question: comment expliquer que la personne que j’ai eue au bout du fil m’ait appelée par mon nom de famille? «Probablement parce que votre numéro de téléphone et votre nom apparaissent dans une liste de données personnelles.»
Vos données pourraient avoir fuité? Vérifiez depuis le site Firefox Monitor.
C’est impossible, je fais très attention et suis sur la liste «Ne m’appelez plus». «Qu’à cela ne tienne, vos données ont peut-être fuité», répond Olivier Bogaert.
Pour le savoir, le commissaire conseille de se rendre sur Firefox Monitor. Et bingo. Il apparaît que mon adresse professionnelle a fuité depuis deux plateformes. La première, je l’utilise tous les jours et, d’après ce qui est indiqué, la fuite concerne mon mot de passe ainsi que mon adresse électronique. Cette fuite date de 2017, heureusement, j’ai changé quelques fois mon mot de passe depuis.
En revanche, je n’ai jamais vu, utilisé ou entendu parler de la deuxième plateforme: «Apollo». Et c’est justement depuis celle-ci que mon numéro de téléphone et mon courriel ont fuité. D’après les explications de Firefox Monitor, cette plateforme est un agrégateur de données. «Il s’agit d’un courtier qui collecte des données publiques ou qui les achète auprès d’entreprises. Ils compilent ces données pour les revendre à des entreprises dans le but de les utiliser à des fins marketing. Les victimes de ces fuites de données sont moins susceptibles d’être victimes d’escroqueries financières, mais les pirates pourraient utiliser ces données pour usurper leur identité ou les profiler.»
Conseils
Comment se protéger contre la fuite des données, les appels – mais aussi les e-mails – intempestifs qui en découlent, ainsi que les potentielles tentatives d’escroquerie ?
Tout d’abord, évitez de partager votre numéro de téléphone. Lorsque vous vous inscrivez sur une plateforme en ligne, celui-ci est systématiquement demandé (et il est même parfois obligatoire pour passer à l’étape suivante de l’inscription). Gardez à l’esprit que même s’il s’agit d’une plateforme fiable, celle-ci n’est jamais à l’abri d’une fuite de données.
Par conséquent, la première solution consiste à donner un numéro inexistant. Mais cela pourrait ne pas vous rendre service, notamment si la plateforme en question fonctionne avec une identification à deux facteurs: votre mot de passe et l’envoi d’un code par SMS.
"Le SMS qu’on reçoit alors qu’on ne se connecte pas est une bonne alerte de tentative d’intrusion."
«Pour résoudre ce problème», répond Olivier Bogaert, «j’ai opté pour un téléphone double SIM. J’ai donc deux numéros et le second est celui que j’indique systématiquement en ligne. Comme ça, si mon téléphone sonne depuis ce numéro, je ne décroche jamais vu qu’il est inconnu de mes proches et de mes relations professionnelles. Notez d’ailleurs que le SMS qu’on reçoit alors qu’on ne se connecte pas est une bonne alerte de tentative d’intrusion.»
Enfin, changez régulièrement de mot de passe et n’utilisez pas le même mot de passe pour les différentes plateformes que vous utilisez, sinon, à la moindre fuite de donnée, n’importe quel pirate informatique pourra accéder à toutes les plateformes que vous utilisez, dont par exemple Amazon (où il y a de fortes chances que les données de votre carte de crédit soient enregistrées). Pour vous aider dans cette tâche, privilégiez l’utilisation d’un coffre-fort à mots de passe.
