Attention à ces publications sur d'"horribles accidents" qui renvoient vers des escroqueries

Copyright AFP 2017-2022. Droits de reproduction réservés.

Photos à l'appui, des dizaines de publications partagées sur Facebook prétendent faire état d'accidents de la route récents, et renvoient les internautes vers des sites qui leur permettraient d'identifier les victimes "pour vérifier qu'il ne s'agit pas d'un proche". Ce sont des tentatives d'hameçonnage visant à extorquer les données personnelles des internautes, et les images utilisées montrent toutes des accidents anciens.

"ATTENTION!!!!!!! ALERTE ATTENTION ACCIDENT GRAVE CE MATIN DANS LE 67!!!!Il s'est produit ce matin un accident grave dans le 67.Il y a 13 morts et 7 blessés, ça fait très mal voici quelques photos des personnes blessés non identifiés, connectez vous pour voir si vous reconnaissez des personnes", prétend une publication assortie de photos, partagée le 3 mars sur le groupe Facebook aux 40.000 membres, "Le bon coin du 67".

Deux autres posts parfaitement semblables avaient déjà été partagés le 13 février, sur le même groupe ainsi que sur son équivalent aux plus de 30.000 membres "Leboncoin 67 68". Un texte quasi-identique, à l'exception près du numéro de département mentionné, apparaissait le même jour dans le groupe "Vend donne echange dans le 54", et avait été publié deux jours plus tôt dans le groupe "Brocante du 54 environ", regroupant près de 100.000 membres.

Capture d'écran Facebook, prise le 17/02/2022
Capture d'écran Facebook, prise le 17/02/2022
Capture d'écran Facebook, prise le 17/02/2022

 

 

D'autres messages aussi alarmistes, employant des formulations différentes mais faisant toujours état d'accidents de la route, "graves" voire "horribles", images à l'appui, mentionnant des morts et des blessés, et renvoyant vers des liens pour identifier les victimes, sont régulièrement partagés massivement sur Facebook. On en retrouve sur des groupes divers, allant de "Florent Pagny officiel", aux "Amis de Gauthier Capuçon", en passant par "Bons plans Nantes", "Recettes faciles", "Relooking meubles" et bien d'autres (1, 2, 3, 4, 5, 6, 7, 8), regroupant des dizaines de milliers de personnes.

Ce type d'arnaques visant les données personnelles des utilisateurs sur Facebook n'est pas nouveau : en 2019 déjà, des publications semblables avaient fait l'objet d'un article de vérification de l'AFP, et dès 2016, plusieurs médias, dont SudInfo.be, avaient signalé ce phénomène.

Des photos toujours décontextualisées

En effectuant des recherches d'images inversées sur Google (dont le principe est expliqué dans la vidéo en dessous), on remarque que les photos utilisées pour illustrer les posts montrent en réalité systématiquement des accidents antérieurs, qui ont la plupart du temps été relayés dans la presse locale.

Par exemple, la première photo montrant prétendument un accident dans le "67" (le Bas-Rhin) ou le "54" (la Meurthe-et-Moselle) apparaissait en réalité déjà début décembre 2021 dans La Voix du Nord, pour illustrer un accident à Ruitz, dans le Pas-de-Calais.

Capture d'écran Facebook, prise le 17/02/2022
Capture d'écran de La Voix du Nord, prise le 17/02/2022

 

 

La deuxième photo apparaissant dans les posts Facebook avait quant à elle été utilisée dans un article de France 3 Occitanie pour illustrer un accident de la route survenu en juillet 2018 dans le Gers.

Capture d'écran Facebook, prise le 17/02/2022
Capture d'écran de France 3 Occitanie, prise le 17/02/2022

 

 

Dans aucune des publications du même type repérées par l'AFP, les photos utilisées ne correspondaient aux descriptions des publications. 

Cette publication Facebook décrivant un "horrible accident à Nantes" utilise ainsi une image que l'on peut retrouver dans La Voix du Nord sur un accident à Maubeuge en octobre 2021. Cet autre prétendu "horrible accident" survenu dans le 67 est quant à lui associé avec une photo illustrant un accident survenu à Aulnay-sous-Bois, en Île-de-France, parue dans le Parisien en avril 2021. On peut d'ailleurs repérer les mots "sapeurs-pompiers de Paris" sur le véhicule des secours apparaissant dans l'image.

Capture d'écran Facebook, prise le 17/02/2022

Tentatives d'hameçonnage

Les publications se terminent invariablement avec une invitation à consulter des liens "pour voir si vous reconnaissez des personnes", voire pour "identifier vos proches". Ces derniers renvoient généralement vers des pages qui ressemblent fortement à la page de connexion à Facebook, invitant l'internaute à entrer son identifiant et son mot de passe.

Cependant, les pages ne sont que des copies, qu'il est possible de repérer à l'aide de quelques indices. Premièrement, les adresses URL des pages, que l'on retrouve dans la barre de navigateur, ne correspondent pas à celle de Facebook, qui comporte les mots "facebook.com".

Les pages ne comportent par ailleurs aucune autre information, dont la possibilité de changer la langue de saisie, comme c'est le cas sur la vraie page de connexion à Facebook. Il est aussi impossible de cliquer sur autre chose que le mot "connexion" sur les fausses pages, les mots "comptes oubliés" ou "centre d'aide", qui devraient normalement renvoyer vers d'autres pages, ne fonctionnent pas.

Capture d'écran de la tentative d'hameçonnage, prise le 17/02/2022
Capture d'écran de la tentative d'hameçonnage, prise le 17/02/2022

 

 

Capture d'écran de la vraie page de connexion à Facebook, prise le 17/02/2022

Une fois ses données personnelles renseignées sur les sites, l'utilisateur est redirigé vers une page de publicité, ou vers une page qui semble se charger à l'infini. En réalité, la connexion a permis aux escrocs de récupérer les identifiants et mots de passe renseignés, qui pourront ensuite être réutilisés ou vendus.

Avec ces données, les fraudeurs auront accès aux comptes Facebook de leurs victimes, et pourront par exemple fouiller dans les messages à la recherche d'informations bancaires, voire interroger des amis sous couvert de l'identité usurpée à ce sujet, leur demander d'envoyer de l'argent, ou encore relayer la publication d'origine pour faire de nouvelles victimes.

Ce procédé, destiné à leurrer les internautes en les incitant à communiquer des données personnelles est appelé "hameçonnage" ou "phishing" en anglais, comme le détaille sur son site "Cybermalveillance.gouv.fr", le dispositif national de sensibilisation, prévention et d'assistance aux victimes d'actes de cybermalveillance. 

L'hameçonnage, première cause des signalements de cybermalveillance 

En 2021, plus de 173.000 demandes d'assistance en ligne ont été enregistrées sur ce site, ce qui correspond à une "augmentation de 65 % par rapport à l’année précédente", note le rapport d'activité 2021 publié par la plateforme le 8 mars 2022. Les signalements d'hammeçonnage constituaient la première catégorie, en termes de volume de signalements, parmi les 47 formes de cybermalveillance signalées via la plateforme. 

"L'hameçonnage, ou phishing en anglais, reste en 2021 la principale cybermalveillance rencontrée, tous publics confondus, en hausse de +143 % par rapport à l'année précédente (...) En 2021, 1,3 million de personnes sont venues chercher de l'information et de l'assistance sur Cybermalveillance.gouv.fr pour des faits apparentés à de l’hameçonnage, soit plus de 50 % du trafic global de la plateforme", note ce rapport.

Les principaux types d'hameçonnage signalés via la plateforme Cybermalveillance, capture d'écran du rapport d'activité 2021

Il est aussi possible de signaler l'adresse d'un site frauduleux sur la plateforme Phishing Initiative. Des ressources pour se protéger des escroqueries en ligne sont mises à disposition par plusieurs entités. Facebook propose par exemple une page de conseils spécifiques en cas de hameçonnage. Il y est notamment recommandé de réinitialiser son mot de passe en cas de suspicion de hameçonnage, et de bien penser à se déconnecter de sa session Facebook depuis les appareils non-personnels. 

La Commission nationale de l’informatique et des libertés (CNIL) dispose aussi de plusieurs pages dédiées aux escroqueries comme le phishing, et aux conseils pour s'en prémunir

9 mars 2022 Correction de la coquille dans la date de publication du rapport de Cybermalveillance : 8 mars 2022 au lieu de 2021