Carte Vitale, Vignette Crit'Air, livraison de colis, amende ou infraction... Les SMS frauduleux inondent chaque jour les téléphones portables. Voici quelques conseils pratiques pour éviter de tomber dans les pièges tendus par ces messages.

Comme des millions de Français, vous avez peut-être déjà reçu des SMS vous incitant à mettre à jour votre carte Vitale, vous équiper d'une vignette Crit'Air (alors que vous n'avez pas de voiture), payer une infraction (que vous n'avez pas commise) ou affranchir un colis (que vous n'attendez pas). Dans bien des cas, ces messages sont des arnaques destinées à récupérer vos données personnelles, à commencer par vos coordonnées bancaires. Comment les détecter ? A qui les signaler ? Faut-il porter plainte ? Franceinfo vous aide à vous prémunir contre ces escroqueries en ligne.

>> ENQUETE FRANCEINFO. Carte vitale, vignette Crit'air, livraison de colis... Derrière les arnaques par SMS, des escroqueries en kit montées par des voleurs parfois adolescents

1 Quels sont les indices qui doivent vous alerter ?

Ces SMS frauduleux usurpent l'identité d'un service ou d'une plateforme grand public et insistent sur l'urgence de la situation. La réception d'un colis, l'acquisition d'une vignette Crit'Air dans les 48 heures sous peine d'amende, l'expiration des crédits de votre compte personnel de formation ; la date de péremption de votre carte Vitale... Le ton pressant du SMS doit vous mettre la puce à l'oreille, surtout si c'est la première fois que l'on vous contacte à ce sujet.

Ces textos se veulent convaincants, mais ils ne sont pas toujours rédigés dans un français impeccable. Les cybercriminels qui vous les envoient sont parfois des jeunes lycéens qui n'excellent pas en orthographe. Scrutez donc leurs fautes. Mais sachez que les escrocs s'améliorent. Dans les groupes Telegram où ils achètent leurs outils de "hameçonnage", il existe maintenant des prestations certifiées "ultra haute qualité" avec des messages sans fautes et les plus vraisemblables possible.

Vous devez surtout vous méfier du lien sur lequel on vous demande de cliquer. Si on vous parle d'une vignette Crit'Air, le seul site légitime est certificat-air.gouv.fr. Si on vous demande de payer une contravention, le site de l'Agence nationale de traitement automatisé des infractions (ANTAI) est antai.gouv.fr et celui pour payer une amende est amendes.gouv.fr. Les escrocs inventent des adresses de sites très proches des originales, en jouant avec les pluriels ou les homophonies (amende ou amande), par exemple. Les adresses de ces sites internet se terminent parfois par ".net" ou ".org", au lieu de ".fr" ou ".com", ce qui peut aussi vous donner un indice de leur caractère suspect.

Dans d'autres cas encore, les escrocs les plus dégourdis vous demandent de cliquer sur un lien dont le nom vous semble correct, comme "apple.com". Mais en réalité, derrière les lettres qui forment le mot "apple", se cachent des caractères spéciaux, issus de l'alphabet cyrillique par exemple. On appelle ça le "typosquatting". Ce squat de typographie est destiné à vous berner.

Enfin, si vous êtes susceptible de devoir réellement réaliser une démarche, il existe une manière très simple de vérifier si la demande que vous avez reçue est légitime, sans cliquer sur le lien douteux : rendez-vous directement sur le site officiel de l'organisme ou de la marque depuis un moteur de recherche, puis connectez-vous à votre espace personnel.

2 Est-ce utile de répondre à ces textos ?

L'envie de répondre à l'escroc peut vous titiller, surtout quand il s'agit du dixième message du genre que vous recevez. Bien souvent, cela aura une utilité limitée, puisque les escrocs envoient leurs centaines, voire milliers de messages depuis des outils automatisés qui utilisent une carte SIM achetée pour l'occasion, ou même une carte SIM virtuelle. Vos réponses risquent donc de ne jamais être lues. Même si, parfois, répondre à ces messages peut être dissuasif, si vous travaillez au sein de la police ou de la gendarmerie...

Répondre à un SMS d'arnaque pourrait même causer du tort à des personnes qui n'ont rien demandé. Dans quelques cas, les cybercriminels utilisent des outils qui usurpent le numéro d'autres usagers, voire les téléphones d'autres personnes qui ont été préalablement infectés. Si vous répondez aux messages de "phishing" que vous recevez, il n'est pas impossible que vous vous adressiez à ces victimes intermédiaires, qui reçoivent bien malgré elles des messages ou des appels d'inconnus passablement énervés.

3 Comment signaler ces messages ?

Vous pouvez transférer les messages douteux que vous avez reçus au 33700, une plateforme de signalement mise en place par les principaux opérateurs de télécommunications, en partenariat avec l'Etat. Vous pourrez aussi transmettre à cette plateforme le numéro qui vous a envoyé le message. En 2022, l'AF2M, groupement d'intérêt public qui gère la plateforme, a reçu plus de deux millions de signalements, explique à franceinfo Pierre Trocmé, directeur des programmes de l'AF2M.

Ces remontées permettent aux opérateurs de prendre des mesures pour tenter de limiter le phénomène. Par exemple, si un numéro est détecté comme faisant de l'hameçonnage, un opérateur peut le "blacklister" à l'entrée dans son réseau, afin d'éviter que des utilisateurs au sein de son réseau ne reçoivent ses messages. "Mais c'est complexe, les opérateurs n'ont pas le droit à l'erreur", souligne Pierre Trocmé.

Vous pouvez aussi signaler le site frauduleux sur Pharos, la plateforme destinée au signalement de contenus illicites. En l'occurrence, un site qui usurpe l'identité d'un service public ou d'une entreprise, par exemple, entre dans cette catégorie. Vous y trouverez la catégorie "Spam", mais celle-ci renvoie à la plateforme signal-spam.fr, dédiée uniquement au spam par e-mail. Vous pourrez plutôt signaler le site frauduleux dans la catégorie "Escroquerie". La démarche peut néanmoins être fastidieuse : il faut consulter le site frauduleux, faire une capture d'écran et fournir de nombreuses informations.

4 Vous avez mordu à l'hameçon. Que faire ?

Si vous avez transmis vos coordonnées bancaires, vous pouvez faire immédiatement opposition auprès de votre banque, avant que votre carte bleue ne soit utilisée. "Il faut être très attentif dans les jours et semaines qui suivent, au cas où l'on reçoit un appel d'un faux conseiller bancaire, insiste Jean-Jacques Latour, directeur de l'expertise cybersécurité au sein de la plateforme gouvernementale cybermalveillance.gouv.fr. Ces appels, c'est la grande tendance du moment, et ça va de pair avec les hameçonnages par SMS. On appelle ça l'arnaque au 'allo'."

En général, ces appels téléphoniques tentent de mettre la victime en confiance, tout en se montrant insistant. Les "alloteurs" vont vous demander un code personnel qui, selon eux, va permettre d'annuler une opération. Il s'agit en réalité du code qui va leur donner la possibilité de valider un virement ou de s'introduire dans votre compte. Il faut garder en tête qu'un conseiller bancaire n'est jamais supposé vous demander des identifiants bancaires ou des mots de passe de sécurité par téléphone.

Vous pouvez aussi joindre de vous-même l'organisme qui est censé vous avoir contacté, via ses coordonnées officielles, pour confirmer la demande qui vous a été faite. Enfin, veillez à conserver les preuves, avec, par exemple, une capture d'écran du message de hameçonnage reçu.

5 Est-ce possible de porter plainte ?

Si vous avez constaté que vos données personnelles sont utilisées par d'autres personnes, ou des transactions frauduleuses sur votre compte bancaire, vous pouvez déposer une plainte au commissariat de police ou à la gendarmerie. "Plus il y a de plaintes, plus les services peuvent mettre des moyens sur le sujet", insiste Jean-Jacques Latour.

Si vous êtes victime de débits bancaires frauduleux mais que vous ne souhaitez pas porter plainte (dans le cas où la banque vous a remboursé, par exemple), une autre plateforme de signalement est disponible : Perceval. Il faut avoir fait opposition à votre carte bancaire et l'avoir toujours en votre possession pour y avoir recours. Le colonel Barnabé Watin-Augouard, chef de la division proximité numérique du commandement de la gendarmerie dans le cyberespace, précise à franceinfo que cette plateforme reçoit environ 320 000 signalements par an, lesquels représentent environ 150 millions d'euros de préjudice.