•  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

Des arnaques aux faux passeports vaccinaux promues à l’aide de publicités Facebook

Les publicités ont été en ligne pendant plus de deux semaines avant d’être retirées par le réseau social, quand nous avons alerté Facebook de leur existence.

Un téléphone cellulaire avec la preuve vaccinale du gourvernement du Québec est déposé sur une table, à côté d'un clavier de travail.

Le passeport vaccinal est entré en vigueur au Québec le 1er septembre.

Photo : Radio-Canada / Olivia Laperrière-Roy

« Souhaitez-vous ne pas vous faire vacciner? Procurez-vous une attestation valide sans aucune injection. » C’est ce qu’on peut lire sur la publicité Facebook de la page « Médecin pour la liberté », qui se décrit comme « un collectif de médecins et d'infirmiers » contre le passeport vaccinal actif sur le réseau social depuis juillet. « Nous vous convions à faire vos attestations sans vous faire vacciner pour un Québec et un Canada libres comme nous l’avons fait en France », se vante-t-il.

La publicité promet aux clients potentiels qu’ils pourront obtenir un code QR fonctionnant avec VaxiCode Vérif, l’application officielle du gouvernement du Québec, pour la somme de 300 $. Pour ce faire, il suffit de joindre Médecin pour la liberté sur les plateformes de messagerie WhatsApp ou Telegram et d’envoyer l’argent par carte de crédit prépayée ou par Bitcoin. Les informations de contact sont incluses dans la publicité, et nous avons vu des comptes dans des groupes contre les mesures sanitaires faire la promotion de faux passeports vaccinaux en partageant ces mêmes hyperliens et numéros de téléphone.

Une publicité Facebook faisant la promotion de faux passeports vaccinaux québécois.

Des publicités de Médecin pour la liberté ont été en ligne pendant plus de deux semaines.

Photo :  (Facebook/Megan Snell/Service de police de Calgary)

Vérification faite : il s’agit d’une arnaque. Nous avons nous-mêmes tenté l’expérience et n’avons pas réussi à obtenir de code QR après avoir pourtant versé les fonds demandés. Le vendeur nous a plutôt montré une preuve vaccinale forgée avec un code QR caviardé en exigeant davantage d’argent pour l’avoir immédiatement ou de patienter encore. Nous avons choisi de patienter, et cinq jours plus tard, nous n'avions toujours pas reçu de code QR.

Une fausse preuve vaccinale.

La fausse preuve vaccinale envoyée par Médecin pour la liberté. Certains éléments, comme la police de caractère du logo du ministère de la Santé et des Services sociaux, ne correspondent pas à ceux des vraies preuves vaccinales.

Photo : Capture d'écran

Le vendeur se défend malgré tout de perpétrer une arnaque. Joint au téléphone par les Décrypteurs, il affirme que l’organisme est en contact avec des médecins qui font de faux passeports vaccinaux.

Selon les informations de transparence disponibles sur la page Facebook de Médecin pour la liberté, les deux administrateurs résident au Cameroun et le site web est enregistré au Cameroun. Malgré tout, le principal intéressé nie qu’il vit dans ce pays d’Afrique centrale. Nous avons brouillé les pistes pour ne pas nous faire repérer, s’est-il défendu au bout du fil.

Les cartes de crédit prépayées et la cryptomonnaie sont des modes de paiement de choix pour les arnaqueurs en raison de l’anonymat qu’elles garantissent ainsi que de leur facilité d’utilisation transfrontalière, explique le chef de la prévention de la fraude de Nuance Communications, Simon Marchand.

À partir du moment où le numéro d’une carte prépayée est transmis, les fonds sont disponibles tout de suite et seront transférés à une autre carte prépayée ou seront utilisés immédiatement. Même chose pour la cryptomonnaie : ça s’en va directement dans un portefeuille anonyme. C’est comme donner de l’argent comptant à quelqu’un qui disparaît ensuite. On ne peut pas le retracer, dit M. Marchand.

Passeport infalsifiable

En principe, le passeport vaccinal québécois est infalsifiable parce qu’il est signé cryptographiquement par le gouvernement du Québec. Cela veut dire que VaxiCode Vérif rejettera d’emblée tout code QR qui ne contient pas cette signature.

Un code QR, c’est très facile à générer, mais si on fait un faux code QR de preuve vaccinale, on ne peut pas falsifier la signature cryptographique unique du gouvernement, résume l’analyste en cybersécurité Steven Lachance.

À ce jour, rien n’indique que la sécurité du code QR a été compromise, soutient l’expert. Tout service qui prétend vendre de faux codes QR québécois est donc fort probablement une arnaque, à moins que le vendeur ait accès à une source interne pouvant émettre des codes QR authentiques en passant par le système informatique des centres de vaccination.

Quelqu'un tient un téléphone intelligent. On aperçoit la preuve vaccinale sur l'écran.

VaxiCode Vérif rejettera d’emblée tout code QR qui ne contient pas la signature cryptographique du gouvernement.

Photo : Gouvernement du Québec

À la fin d'août, une faille de VaxiCode Vérif permettait à l’application de valider des codes QR qui n’étaient pas signés cryptographiquement par le gouvernement du Québec, mais celle-ci a été réparée deux jours plus tard. Ce n’était pas la sécurité du système qui avait été compromise. C’était plutôt l’équivalent d’un agent de sécurité qui avait oublié de verrouiller la porte après son quart. Ils l’ont verrouillée, et maintenant, le dossier est clos, illustre Steven Lachance.

Sinon, La Presse a révélé la semaine dernière que plusieurs Québécois ont réussi à faire homologuer de faux certificats de vaccination ontariens (Nouvelle fenêtre) auprès de responsables de centres de vaccination afin d’obtenir des codes QR officiels. Mais il s’agit là d’un stratagème totalement différent qui n’implique pas l’obtention de codes QR contrefaits.

Une personne qui tenterait d’utiliser ou de fabriquer un faux passeport vaccinal s’exposerait à des risques de poursuites et de sanctions importantes, avertit le ministère de la Santé et des Services sociaux (MSSS) dans une déclaration fournie aux Décrypteurs.

Le Centre antifraude du Canada dit avoir reçu 18 rapports au sujet de faux passeports vaccinaux entre le 1er juillet et le 29 septembre.

Des publicités autorisées par Facebook

La page de Médecin pour la liberté ainsi qu’une page identique (mais avec le mot médecin écrit au pluriel) ont été supprimées par Facebook le 15 octobre, quand nous avons signalé leur existence au réseau social.

Une publicité de Médecin pour la liberté faisant la promotion de faux passeports sanitaires,Agrandir l’image (Nouvelle fenêtre)

Cette image qui mène à Médecin pour la liberté circule dans les groupes Facebook antimesures sanitaires.

Photo : Facebook

Un représentant du réseau social a affirmé que les pages ont été supprimées parce qu’elles enfreignaient ses politiques liées à la COVID-19 (Nouvelle fenêtre). Mais il est également interdit de promouvoir sur Facebook des produits ou des services illégaux et des produits ou des services conçus pour permettre aux utilisateurs de commettre une fraude, ou encore de dissuader les gens de se faire vacciner ou se prononcer contre les vaccins, selon ses politiques publicitaires (Nouvelle fenêtre).

Les deux pages diffusaient des publicités au Canada depuis au moins le 30 septembre, mais elles existaient depuis la fin de juillet et avaient également mis en ligne des publications visant les Français et les Belges, entre autres.

Facebook n’a pas répondu à nos questions spécifiques sur les raisons pour lesquelles ces publicités ont été permises sur la plateforme pendant plus de deux semaines, bien qu’elles aient enfreint plus d’une règle. Selon les politiques du réseau social (Nouvelle fenêtre), son processus d’examen repose principalement sur des outils automatiques visant à vérifier la conformité des publicités.

Les arnaques pullulent sur Facebook

En décembre dernier, BuzzFeed News a rapporté (Nouvelle fenêtre) que les arnaques profitant du système de publicités de Facebook abondent sur la plateforme et que des employés censés modérer le contenu publicitaire avaient parfois reçu l'ordre d'ignorer les comportements suspects à moins qu'ils entraînent des pertes financières pour Facebook. Le média s’était alors entretenu avec huit employés et sous-contractants anciens et actuels, en plus de consulter des messages et des documents internes.

BuzzFeed News a également rapporté que les problèmes sont exacerbés par le fait que Facebook se fie sur une petite armée de sous-traitants mal payés et sans pouvoir pour gérer un assaut quotidien de décisions de modération des publicités.

Une jeune fille regarde un écran de téléphone intelligent devant un logo géant de Facebook.

Facebook a généré des revenus de plus de 85 G$ US en 2020.

Photo : afp via getty images / OLIVIER DOULIERY

À l’époque, le porte-parole de Facebook Joe Osborne avait contesté les informations rapportées par BuzzFeed News en affirmant que les mauvaises publicités coûtent de l'argent à Facebook et créent des expériences que les gens ne veulent pas. Nous avons tous les incitatifs – financiers et autres – pour prévenir les abus et offrir une expérience publicitaire positive sur Facebook. Suggérer le contraire est une méconnaissance fondamentale de notre modèle commercial et de notre mission, avait-il déclaré.

Facebook n’a pas voulu nous fournir de statistiques quant au nombre de modérateurs francophones que l’entreprise a à son emploi ou quant à la façon dont leur nombre se compare à celui des modérateurs anglophones.

Des statistiques à elles seules ne reflètent pas le nombre de personnes travaillant à une révision de contenu pour un pays particulier à un moment donné, nous a expliqué un porte-parole par courriel. L’entreprise ne fournit pas non plus d’informations sur les modérateurs dans un pays particulier pour des raisons de sécurité et de sûreté.

Des arnaqueurs actifs dans les groupes d'adoption d’animaux

Les personnes responsables de Médecin pour la liberté sont également à l'origine de certaines des arnaques liées à l’adoption d’animaux qui ont fait couler beaucoup d’encre depuis des années.

En utilisant l’outil d’analyse web DomainTools, nous avons pu déterminer que le site web de Médecin pour la liberté a la même adresse courriel d’administrateur que plusieurs sites de prétendus refuges d’animaux, qu'un prétendu site de transport animalier et que de prétendus sites de vente d’armes et de drogues.

Nous n’avons pas été en mesure de trouver des publications Facebook liées aux sites de vente d’armes et de drogues, mais les sites de refuges d’animaux (qui sont tous identiques, mais ont des noms différents) ont été mentionnés dans plusieurs groupes de vente ou de don d’animaux de compagnie sur Facebook.

Un chien content à l'arrière-plan d'un site web qui propose d'adopter un animal de compagnie.

L'un des sites de refuges d'animaux exploités par les personnes à l'origine de Médecin pour la liberté.

Photo :  Facebook (capture d'écran)

La citoyenne française Annie Balducci, qui a monté une liste de plus de 600 faux profils Facebook perpétrant des arnaques dans ces groupes, connaît bien les sites web en question et dit que le stratagème qu’ils emploient est toujours le même.

L’arnaqueur met une annonce en disant qu’il a un chaton disponible et demande aux gens de le contacter par Messenger. Ensuite, il leur donne un lien vers le site, qui n’offre que des animaux de race, que les associations ne donnent pas habituellement, raconte-t-elle.

Une fois que la victime contacte le faux refuge, l’arnaqueur lui explique qu’elle devra débourser quelques centaines de dollars (en carte de crédit prépayée ou en cryptomonnaie) pour acheter l’animal et pour le faire livrer à l’aide d’un service de transport animalier.

Un commentaire faisant la promotion d'un chaton à donner.

Une arnaque typique dans un groupe d'adoption d'animaux

Photo : Facebook

Cette sorte d’arnaque est très commune sur Facebook et a été l’objet de nombreux reportages. Elle se fait souvent directement sur Messenger, donc le fait que ces arnaqueurs basés au Cameroun fassent passer les victimes par un site web pourrait indiquer qu’il s’agit d’un réseau plus sophistiqué employant plusieurs personnes.

Nous avons repéré des dizaines de publications frauduleuses dans des groupes de vente et de don d’animaux québécois. L’un d’entre eux avait plus de 15 000 membres, aucun modérateur, et était complètement inondé d’arnaques. Facebook a supprimé le groupe peu après que nous lui avons signalé son existence, mais n’a pas répondu à nos questions sur le sujet avant l’heure de tombée.

Mme Balducci dit avoir signalé de nombreux faux profils à Facebook dans les deux dernières années, toujours sans succès. J’ai arrêté de signaler des profils parce que Facebook dit toujours que ça ne va pas à l’encontre de ses standards. Par contre, les annonces, je les signale pour arnaque et Facebook les supprime. Donc, le problème de fond n’est pas résolu : l’annonce part, mais ils la remettent tout de suite après parce que le profil est toujours existant, se désole-t-elle.

Selon Simon Marchand, Facebook n’en fait pas assez pour freiner la propagation de ces arnaques. Ils ont le pouvoir et les données pour repérer de nouveaux comptes créés en masse, qui ont des modèles d’intervention similaires et qui vont lancer plein de conversations simultanées. Ils auraient les moyens de détecter les comptes à risque. Et pour un citoyen normal qui sent l’arnaque, Facebook ne réagit pas rapidement, analyse l'expert en prévention de la fraude.

« Sans dire qu’il facilite les arnaques, Facebook ne sent pas le besoin ou l’obligation d’agir, selon moi. »

— Une citation de  Simon Marchand, chef de la prévention de la fraude de Nuance Communications

Les informations d’enregistrement de l’un des sites de ce réseau d'arnaque contenaient l’adresse courriel et le numéro de téléphone d’un jeune ingénieur logiciel camerounais, qui a ces mêmes informations de contact sur son site personnel. Nous avons tenté de le joindre par téléphone, mais la personne au bout du fil a affirmé ne pas savoir de quoi nous parlions. Nos courriels sont restés sans réponse.

Decrypteurs. Marie-Pier Élie, Jeff Yates, Nicholas De Rosa et Alexis De Lancer.

Vos commentaires

Veuillez noter que Radio-Canada ne cautionne pas les opinions exprimées. Vos commentaires seront modérés, et publiés s’ils respectent la nétiquette. Bonne discussion !