L’arnaque aux billets d’avion


Joyeux anniversaire, Air France !

Lundi 12 février, un message se répand sur Whatsapp : Air France distribuerait gratuitement des centaines de billets d’avion pour fêter son 85ème anniversaire. Avant de vous ruer sur votre maillot de bain et d'annoncer à vos proches que vous partez au Mexique, mieux vaut y regarder à deux fois... A bon entendeur!

Ce message semblait tout à fait crédible : le logo et les couleurs d’Air France et surtout le site « http://www.airfrạnce.com/ »... En échange de la promesse de deux billets gratuits, le site pose deux questions banales et demande aux participants de renvoyer à leur tour l’annonce à 20 contacts. Les billets gratuits seraient retournés aux heureux gagnants dans les trois jours… Le message s’est diffusé sur le réseau comme une trainée de poudre. Des milliers de contacts Whatsapp ont ainsi été capturés. Et ceux à qui « on ne la fait pas », car ils savent lire les noms de domaine… se sont fait prendre les premiers ! La méthode s’appelle "hameçonnage" ou phishing.

Pourquoi tant de gens se font "hameçonner"?

Si, sur la forme, le message pouvait paraître crédible, sur le fond, il ne l’était pas du tout. Air France ne peut pas donner des centaines de billets sans contrepartie et sans même connaître les destinations. Pourquoi le 85ème anniversaire ? Pourquoi une campagne de promotion sur Whatsapp ? Enfin, pourquoi deux questions stupides : « Avez-vous voyagé sur Air France ?» et « En êtes-vous satisfait ?»... Je réponds à l’amie qui s’est fait piégée qu’il s’agit d’une arnaque. Mais, me dit-elle, « l’adresse du site est bonne » !

Cette affaire pose au moins deux questions. Pourquoi tant de gens se font prendre ? Et comment est-il possible qu’en ayant bien vérifié le nom du site, on puisse tomber dans un tel piège ?

La première question est celle de la crédibilité d’une information. Elle montre notre sensibilité aux « Fake News ». Lorsqu’on apprend quelque chose qui nous plaît –par exemple, obtenir des billets d’avions gratuits–, ou lorsque l’on voit un personnage politique qu’on déteste dire des absurdités, on est prêt à tout croire et, mieux encore, à le faire savoir. Et, avant même de s’interroger sur la véracité de l’info, on la diffuse.

La seconde question est celle de la sécurité d’Internet. Que s’est-il donc passé ? Air France a-t-il été piraté ? Observons à la loupe, le nom de domaine : http://www.airfrnce.com/, un point s’est glissé sous le a. Il est à peine visible, c’est un caractère vietnamien. Ce nom de domaine, « airfrnce.com » a été acheté en ligne par une équipe d’escrocs. Le coût est dérisoire : entre 10 et 20 USD.

Comment est-ce possible ? qui attribue ces noms ? Qui les contrôle ?

Les noms de domaine finissant par « .com » sont attribués et gérés par la société étasunienne « Verisign » qui s’affiche comme « A Leader In Domain Names And Internet Security ». Ce qui n’est pas guère rassurant ! Et pourtant vous verrez souvent le logo de cette société vous certifiant la qualité d’un site web…

Et qui contrôle et régule l’attribution de noms de domaine ? C’est l’ICANN (Internet Corporation For Assigned Names and Numbers ou, en français, Organisation pour l’attribution des noms et des numéros sur Internet), elle aussi une société étasunienne… Toutes deux sont des établissements privés, l’un commercial, l’autre « sans but lucratif ». On pourrait dire qu’ils présentent une forte consanguinité : ils partagent les mêmes intérêts et les mouvements de personnel de l’un à l’autre sont monnaie courante.

Multiplier les noms de domaines

Leur principe de base est le laisser-faire, en partant du principe que la « main invisible » du marché est là pour en garantir l'équilibre. Aucun contrôle n’est effectué à priori : ni sur la qualité de l’acheteur, ni sur le sens des noms de domaine. Ainsi, notre Internet est-il arbitré par des sociétés étasuniennes qui répondent devant les tribunaux étasuniens… Air France a mis trois jours à bloquer le site pirate. Et les responsables de cette arnaque ne seront probablement jamais inquiétés. Ils ont ramassé des milliers de carnets d’adresses qu’ils vont revendre à d’autres malfaiteurs du réseaux…

Parmi les piégés, beaucoup se sont dit « bon, ça n’a pas l’air sérieux, mais j’essaie tout de même... après tout qu’est-ce je que perds ? ». Ils ont tort. Le vol de données personnelles est une affaire sérieuse. L’identification Whatsapp permettra à des cyber-escrocs de se faire passer pour un ou une de leurs amis. Ils pourront alors obtenir d’autres informations, puis, peut être, accéder à des données financières ou rendre possible des chantages. Les conséquences peuvent prendre des formes inattendues et très inquiétantes, comme l’usurpation d’identité.

Mais, alors que les cyber-attaques se multiplient et occasionnent des préjudices tant aux particuliers qu’aux entreprises, pourquoi n’en vient-on pas à bout ?

Pourquoi les autorités ne prennent-elles pas de mesures ?

Nous sommes devant un problème du même type que l’instabilité financière ou la fraude fiscale. Tous les États ne souhaitent pas réguler et, s’il s’agit de le faire, chacun veut le faire à sa manière, en fonction de ses intérêts.

Les sociétés qui, aujourd'hui, « tiennent » l’internet sont toutes américaines. Sans être directement associées à l’Administration des États-Unis, elles sont liées à celle-ci, soit par contrat, soit de manière indirecte. Pourtant, s’il est incontestable que l’internet est né sur le sol Américain, il est tout aussi indéniable que le Réseau constitue désormais un bien mondial, au sein duquel la part américaine est très minoritaire, tant en nombre d’utilisateurs qu’en volume d’informations produites. D’après le site Internet World Statistics, les utilisateurs nord-américains ne représenteraient plus que 8,5% du total planétaire.

Toutefois, toutes les tentatives de régulation internationale ont, pour le moment, échouées. En 2003, un Sommet mondial sur la société de l’information, s’était tenu à Genève à l’initiative de l’ONU. Un des objectifs était justement de réguler cette question, celle de la gouvernance de l’Internet. Mais ce fut le principal échec du Sommet, car la diplomatie américaine s’est systématiquement opposée à toute décision contraignante.

Depuis, rien n’a avancé.

©Pascal Renaud, pour Masiosarey, 2018

Pascal Renaud est spécialiste des nouvelles technologies de l’information. Chef de la Mission informatique de l’ORSTOM (IRD) entre 1987 et 1995, il a participé à la mise en place des premiers relais de l’internet dans une dizaine de pays africains (projet RIO.net). En 1995, il rejoint l’UNITAR (Institut des Nations unies pour la formation et la recherche), où il crée le programme « Société de l’information et développement ». Chercheur à l’IRD, spécialiste des incidences des usages des TIC dans les sociétés en développement, il collabore avec des équipes de recherche mexicaines depuis 2010 (il a ainsi été représentant de l’IRD au Mexique en 2014). Pascal Renaud vit actuellement entre la France et le Mexique.

Verisign est une société fondée en 1995 en Californie et, depuis 2011, basée en Virginie. USA. Elle emploie environ 1.000 personnes et gère 2 des 13 "serveurs racines" (root servers) de l'internet mondial:

ICANN (Internet Corporation For Assigned Names and Numbers) est une société de droit californien à but non lucratif, fondée a Los Angeles en 1998 :

Internet World Statistics (IWS) est un site web très complet et actualisé sur le sujet, créé en 2002 en Colombie:

#internet #Arnaque #PascalRenaud

  • Gris Icono RSS
  • Gris Icono de Instagram
  • Gris LinkedIn Icon
  • Gris Facebook Icono
  • Gris Icono Twitter

© 2020 par PERTINENS MEDIA