De faux concours sur Facebook pour voler les données des Canadiens
Facebook a confirmé avoir supprimé les 17 pages frauduleuses identifiées par les Décrypteurs
Ce faux concours a été partagé plus de 20 000 fois.
Photo : Capture d'écran - Facebook
Prenez note que cet article publié en 2019 pourrait contenir des informations qui ne sont plus à jour.
Un réseau de pages Facebook affirme faussement que vous pouvez gagner une auto, une piscine ou encore un ensemble de meubles en participant à des concours. Une analyse des Décrypteurs montre que plus de 20 000 Canadiens ont potentiellement mis leurs données personnelles en danger au cours des dernières semaines en y participant.
Mise à jour (10 juin, 2020) : Un autre faux concours, cette fois-ci provenant de la page Facebook Van & Adventures, a été partagé plus de 69 000 fois en moins de 24 heures le 10 juin. Les précautions détaillées dans cet article s'imposent, puisque le faux concours en question semble suivre le même stratagème que le réseau découvert par les Décrypteurs en août 2019.
« Voulez-vous gagner ce prix directement chez vous? Partager maintenant cette photo et écrire "je participe" dans les commentaires. Mettre un "like” sur cette page. Envoyer “Fait” en message privé », peut-on lire dans de soi-disant concours publiés par plusieurs pages Facebook. On propose toute une gamme de prix alléchants.
Or, ces concours sont trompeurs et il est impossible de gagner. Pire, ils peuvent servir à voler les données des participants.
Décrypteurs est l'équipe de Radio-Canada dédiée à la lutte contre la désinformation. Vous pouvez consulter tous les articles des Décrypteurs en cliquant ici.
Les Décrypteurs ont trouvé 17 pages partageant ces concours identiques en français depuis plusieurs mois, voire des années. Elles sont gérées depuis la France, la Belgique et l'Espagne. Certaines d'entre elles, telles 1Day1Deal ou Hot Deals, ont plusieurs dizaines de milliers d'abonnés. Un concours ayant circulé au cours des dernières semaines, supposément pour gagner un véhicule récréatif, a été partagé plus de 35 000 fois sur Facebook.
Différentes pages offrent des concours identiques.
Photo : Capture d'écran - Facebook
Bon nombre de francophones, y compris du Québec, ont « participé » à ces concours. Nombre d'entre eux ont commenté sur ces pages qu'il n'y a « jamais de gagnants ». D'autres ont affirmé avoir été arnaqués par les gestionnaires de ces pages.
En décembre dernier, Mandy, qui habite à Charleville-Mézières, en France, a participé à un concours sur la page Hot Deals pour gagner un chariot d'épicerie rempli de cadeaux. « Vu que c'était en période de Noël et que je suis seule avec ma fille, j'y ai cru », nous a-t-elle raconté.
Elle a obtempéré aux exigences du « concours », et a reçu un message de la page lui apprenant qu'elle avait gagné. On lui demandait d'appeler plusieurs fois un numéro de téléphone pour obtenir un code de validation. Elle a reçu une facture salée pour ces appels. « Je suis allée voir mon relevé trois jours plus tard et j'ai vu qu'ils m'avaient facturé les appels 100 euros », se désole-t-elle. On lui a aussi demandé d'envoyer à la page des photos de ses pièces d'identification, supposément pour valider son identité.
Mandy a porté plainte aux policiers. Ces derniers lui ont dit qu'avec les informations qu'elle a transmises aux arnaqueurs, ces derniers pourraient facilement ouvrir une carte de crédit en son nom. On lui a conseillé de surveiller ses finances.
Vols de données et fraude potentielle
Nous avons tenté de participer à un concours offert par une page appartenant au réseau, StiffStake. Très rapidement, les personnes derrière cette page ont cherché à obtenir des informations personnelles et sensibles.
Comme exigé par la page, nous avons aimé et partagé l'image, puis envoyé un message privé pour indiquer que nous participions au tirage. Quelques minutes plus tard, nous avons reçu un message nous demandant de cliquer un lien pour « valider notre participation ».
Ce lien nous a menés vers une page, reproduisant l'habillage de Facebook, qui nous demandait une gamme d'informations personnelles : adresse courriel, mot de passe, nom, date de naissance et adresse.
Le formulaire du concours imite l'habillage graphique de Facebook.
Photo : Capture d'écran
Selon l'expert en sécurité web Jean-Philippe Décarie-Mathieu, ces informations pourraient exposer une personne à un vol de son identité numérique.
Par exemple, beaucoup de gens utilisent le même mot de passe sur tous leurs services. Il est donc fort probable que des gens aient entré le mot de passe qu'ils utilisent pour leur courriel ou leur compte Facebook lorsqu'on leur en a demandé un pour participer au concours. Les fraudeurs seraient alors en possession de l'adresse courriel et du mot de passe de leurs victimes, ce qui pourrait leur permettre d'accéder à toute une gamme de services en ligne, explique l'expert, qui est chef de la cybersécurité aux Commissionnaires du Québec.
Même si on n'entre pas notre mot de passe, les informations sensibles demandées, telles que la date de naissance, le nom et l'adresse, pourraient aussi être utilisées dans plusieurs types de fraude, met en garde M. Décarie-Mathieu.
« Pour une fraude de type phishing (hameçonnage), on vient de leur donner beaucoup d'informations, se désole-t-il. Plus un arnaqueur a de points de données sur une personne, plus il peut faire quelque chose contre elle. »
Une personne qui entre toutes ces données pourrait se mettre dans la merde.
Ces informations pourraient aussi permettre de deviner des questions de sécurité ou de se faire passer pour quelqu'un, ajoute-t-il.
Le fait que ce site imite l'environnement de Facebook indique probablement que les fraudeurs cherchent à tromper les personnes les plus vulnérables du web en leur faisant croire qu'elles sont toujours sur un site auquel elles font confiance, croit-il.
Les Décrypteurs ont entré de fausses données dans le formulaire qui nous a été envoyé par la page Facebook. Le site nous a ensuite envoyés vers une autre page web où on nous a demandé d'entrer notre numéro de carte de crédit, supposément pour « valider notre âge ». On assure qu'aucuns frais ne seront engagés, mais en parcourant les petits caractères du site, nous voyons que celui-ci inscrit automatiquement l'internaute à un abonnement coûtant 60 $ par mois.
Nous avons continué à participer à d'autres concours, et d'autres pages du réseau nous ont envoyé d'autres liens à cliquer. Dans tous les cas, on nous demandait nos informations personnelles et notre numéro de carte de crédit.
Les Décrypteurs ont identifié 18 pages Facebook francophones appartenant à ce réseau :
Concessionnaire MultiMarque, Buco Offers, StiffStake, Pyjama Party, Rising Curve, Soaring Deals, 1Day1Deal, Summer Deals, Best Deals Club, Like Deals, Love Deals, Sunny Deals, Summer Concours, Leo Concours, Funny Deals, Hot Concours, Hot Deals et Le Génie du high tech.
Des Canadiens visés
En utilisant des outils spécialisés, les Décrypteurs ont pu déterminer que la majorité des gens ayant cliqué sur ces liens habitent le Canada. Le concours le plus populaire a été cliqué par plus de 15 000 personnes, dont 13 400 habitant au Canada. Un autre concours a été cliqué plus de 7300 fois, dont plus de 6300 fois par des Canadiens.
La Régie des alcools, des courses et des jeux (RACJ) du Québec explique que tout tirage dont la valeur du prix dépasse 2000 $ doit être inscrit dans le registre des avis de concours publicitaires (Nouvelle fenêtre). De plus, si la valeur dépasse 100 $, les règlements du concours doivent être accessibles au public. La RACJ rappelle aussi que le participant doit pouvoir facilement identifier l'entreprise qui organise le concours, et qu'il n'est jamais permis de demander de l'argent pour pouvoir participer.
Le Centre antifraude du Canada a recensé 196 cas de fraude liés à des concours sur les réseaux sociaux en 2018, et 132 dans les 7 premiers mois de 2019. Par contre, ces signalements comprennent seulement les cas où on a demandé de l'argent à un internaute pour participer à un concours.
Après avoir été contacté par les Décrypteurs, Facebook a retiré 16 des 17 pages pour avoir enfreint ses conditions d'utilisation en matière de pollupostage (spam). Le réseau social a aussi retiré des publications provenant d'une autre page. (NDLR : Facebook a confirmé jeudi après-midi avoir supprimé la 17e page identifiée par les Décrypteurs.)
« Nous prenons au sérieux nos conditions d'utilisation. Grâce aux signalements de la part de notre communauté, à la technologie et à la révision de nos modérateurs, nous retirons les contenus, les profils et les pages qui violent nos politiques lorsque l'on nous l'en avertit », a expliqué un porte-parole de Facebook.
Ironiquement, les Décrypteurs ont pu trouver plusieurs pages du réseau en suivant les suggestions de l'algorithme de Facebook. Lorsque l'on clique sur une page Facebook, l'algorithme nous propose des « pages associées », souvent des pages qui proposent du contenu semblable ou qui sont gérées par les mêmes personnes.
L'algorithme qui suggère des pages associées à la page Summer Deals montre trois pages faisant aussi partie du réseau de faux concours.
Photo : Capture d'écran - Facebook / Radio-Canada
Dans le cas des pages dans le réseau de faux concours, la section « pages associées » nous proposait souvent de nous abonner à d'autres pages appartenant au réseau. Cela indique que l'algorithme de Facebook a détecté qu'il existait un lien entre ces pages. Facebook n'a pas répondu à nos questions à ce sujet.
Il a été impossible d'identifier les personnes derrière le réseau de faux concours. Le site web utilisé par ces pages pour recueillir de l'information a été enregistré de façon anonyme. Des questions envoyées au réseau par Facebook sont restées sans réponse.
