Notre témoin habite Colfontaine, et se dit "méfiant et prudent". Pensant recevoir ses résultats de test PCR, il a baissé la garde et s'est fait avoir par des escrocs qui connaissent bien les ficelles de l'application d'identification itsme et de l'utilisation du boitier bancaire...
Si vous lisez régulièrement RTL info, vous n'ignorez pas que les tentatives d'arnaque se multiplient ces derniers mois, via divers canaux de communication: email, réseaux sociaux, appels téléphoniques et bien entendu, SMS. Herbert a reçu un SMS dernièrement, les escrocs "ont vidé mon compte", nous a-t-il écrit via le bouton orange Alertez-nous de RTL info. Une arnaque qui conjugue chance, timing parfait pour les escrocs, Digipass et Itsme. Explications.
Herbert attendait les résultats de son test PCR
Tout a commencé la semaine passée pour notre témoin qui habite la région de Colfontaine. "Jeudi dernier, sur le temps de midi, j'ai dû aller faire un test PCR chez mon médecin", précise Herbert, 39 ans. "Il m'avait que j'aurais les résultats dans la journée. Vendredi matin, n'ayant toujours rien reçu, j'ai rappelé mon médecin, qui m'a dit qu'ils étaient débordés pour l'instant, et que je ne devais pas m'inquiéter, que j'allais le recevoir dans la journée".
Je ne fais aucun paiement par téléphone, je fais tout depuis mon PC
C'est donc dans en pleine attente d'un SMS annonçant son résultat positif ou négatif, qu'Herbert a reçu un message de itsme, cette plateforme belge d'identification 'universelle' reconnue par des institutions, des banques, des entreprises. "Le message disait que pour recevoir les résultats, il fallait cliquer sur le lien". Ce que Herbert a donc fait, et on le comprend: itsme est utilisé, entre autres, pour s'identifier dans l'application CovidSafe belge, et montrer son pass sanitaire.
Pour s'identifier dans itsme, on peut effectivement utiliser son digipass et sa carte de banque
Notre témoin de la région de Mons se dit de nature "très prudente, je ne fais aucun paiement par téléphone, je fais tout depuis mon PC". Mais lorsqu'après avoir cliqué sur le lien du SMS, il est arrivé "sur une page qui commençait par www.itsme et puis quelque chose", il ne s'est pas méfié davantage.
Ni quand cette page lui a demandé d'utiliser sa carte de banque et son digipass. "Ma sœur était près de moi, et elle m'a dit qu'elle l'avait déjà fait, pour se créer un compte itsme, on peut utiliser ses accès de la banque". Effectivement, et c'est là que ça devient compliquer de s'y retrouver pour certains, pour s'identifier formellement dans l'application itsme, on peut utiliser un ordinateur et un lecteur de carte d'identité électronique, mais (pour faciliter les choses), on peut aussi utiliser ses accès bancaires, car itsme considère que c'est une preuve d'identification. Qui dit accès bancaire, dit utilisation du boitier (type Digipass) et de sa carte de banque :
400€ sur son compte à vue, 1.800€ avec sa carte de crédit
Pensant simplement créer son compte itsme afin de pouvoir obtenir ses résultats de test PCR, Herbert "appuyé sur OK, puis j'ai ma carte dans mon lecteur". En suivant la procédure à deux reprises, Herbert a fourni plusieurs fois les codes obtenus via son Digipass. "C'est revenu à la page d'accueil, donc je l'ai fait une deuxième fois, et puis c'est revenu une troisième fois. Là j'ai tout arrêté, j'ai tout supprimé, et je me suis dit que j'allais téléphoner à mon médecin plus tard pour obtenir mes résultats".
Hasard du calendrier, "30 minutes plus tard, j'ai reçu un SMS du laboratoire, me disant que mon test était négatif!". Herbert, du coup, ne comprenait pourquoi il avait reçu des messages de itsme auparavant, mais pensait simplement qu'il y avait un bug.
Hélas, "une heure et demie plus tard, je reçois un message de Worldline (intermédiaire de sécurisation des paiements et des transactions), me disant qu'il y avait eu une activité suspecte sur mon compte, et qu'ils avaient bloqué ma carte".
Notre témoin vérifie alors son compte, via un ordinateur. "Sur mon compte à vue, heureusement, il ne restait que 400€, qui avaient été débités, donc il était à 0€. J'ai téléphone à Worldline, et ils m'apprennent qu'ils ne s'occupent que de la carte de crédit, et qu'ils avaient vu une transaction suspecte de 1.800€".
Pas de piratage de données
Herbert accuse le coup. "J'ai rendez-vous à la police, tout doit se faire par rendez-vous désormais. Mais par téléphone, la banque m'a dit que les 1.800€ allaient sans doute m'être remboursés, car ils avaient considéré que c'était suspect, ils ont bloqué la somme. Je vais voir. Par contre, les 400€ de mon compte à vue, ils ont servi à un achat, donc ce sera plus compliqué de récupérer l'argent. Ils sont sans doute perdus…"
Comment les escrocs pouvaient savoir que j'allais recevoir des résultats ?
Agacé, notre témoin ne croit pas à une coïncidence, et se demande "comment les escrocs pouvaient savoir que j'allais recevoir des résultats covid ? Pour moi, mes données ont été piratées à la base, ou alors c'est un pur hasard, je ne comprends pas".
Herbert peut se rassurer: il n'y a pas eu de piratage des données au niveau du testing, nous en avons eu la confirmation auprès des autorités compétentes ("ça semble être un cas de smishing - SMS phishing"). Mais il est vrai qu'en France, par exemple (voir article de FranceInfo), un logiciel utilisé par les pharmaciens pratiquant les tests pour communiquer les résultats s'est révélé très peu sécurisé, et donc potentiellement piratable…
L'explication est sans doute bien plus simple. De nombreuses personnes ont contacté RTL info ces dernières semaines, pour dénoncer des tentatives d'arnaques par des SMS se disant liés à itsme. Il est donc probable que des escrocs ont envoyé des milliers de SMS similaires à celui reçu par Herbert, et que certains destinataires, comme notre témoin, étaient effectivement en attente de résultats de test PCR (on est actuellement à une moyenne de 54.000 tests par jour). Ils étaient donc potentiellement plus vulnérables…
Vos commentaires