Marie Bourdellès
Assurance maladieL’arnaque au renouvellement de la carte Vitale fait des ravages
Depuis quelques mois, des SMS malveillants invitant leurs destinataires à renouveler leur carte Vitale pullulent sur les smartphones. Des appels de faux conseillers bancaires parachèvent l’escroquerie. Méfiance avec ce piège redoutable.
Il s’agit d’une technique de phishing (ou « hameçonnage », à savoir le vol de données personnelles) classique, comme les centaines qui se nichent constamment dans nos boîtes mails ou nos smartphones. Mais l’ampleur de cette fraude à la carte Vitale n’a, elle, rien d’ordinaire. « Elle est dans le top 3 des phishings depuis le mois de décembre 2021. Elle n’a pas détrôné le mail frauduleux sur la pédopornographie, mais elle n’est pas loin derrière », constate Jean-Jacques Latour, responsable expertise cybersécurité de la plateforme gouvernementale Cybermalveillance. Un palmarès inquiétant, quand on sait que le portail recense en ce moment 1 000 consultations par jour concernant cette arnaque à la brigade des mineurs.
Les nombreux témoignages recensés par nos services ou nos associations locales attestent également d’un phénomène prolifique.
Mode opératoire
Comment fonctionne ce énième piège visant à vous soutirer non seulement des informations personnelles mais aussi de l’argent ? Vous recevez sur votre smartphone un message indiquant que votre nouvelle carte Vitale est disponible. Soi-disant afin de la récupérer, un lien vous renvoie vers une première page, puis une deuxième, une troisième… dans lesquelles vous êtes invité à renseigner vos données (nom, adresse, date de naissance, numéro de Sécurité sociale, etc.). Ces pages usurpent l’identité visuelle de l’assurance maladie, et sont dotées d’URL plus ou moins approchantes de l’originale (aide-ameli.fr, publicvitalev3.com…). Après cette étape, les scénarios diffèrent.
Première possibilité : le parcours Internet s’arrête là, vous êtes victime d’un vol d’informations personnelles, destinées à être revendues.
Deuxième subterfuge : un pseudo-conseiller bancaire, après avoir récolté ce premier butin, vous appelle aux horaires de fermeture de votre agence, pour vous indiquer que votre carte bancaire fait l’objet d’un piratage et que vous devez transmettre les codes que vous recevez par SMS pour bloquer les paiements en cours. Communiquer les codes provoque l’inverse, à savoir la validation d’achats en ligne frauduleux que l’escroc est en train d’effectuer.
Troisième attaque que nous avons pu recenser : vous atterrissez sur une dernière page de demande de paiement, au titre des frais de livraison de la carte Vitale. Après avoir renseigné vos coordonnées bancaires, vous saisissez un code envoyé par SMS par votre banque… et réalisez trop tard que vous venez de vous faire dérober une grosse somme, pour le compte d’une enseigne connue (Boulanger, Darty, Leroy Merlin…). Ce stratagème s’opère grâce au pillage en temps réel des données inscrites en ligne.
Les banques ne veulent pas rembourser
Ce troisième mode opératoire sévissait davantage avant la vague actuelle, avec un appât sous forme d’e-mail, prétextant lui aussi le renouvellement de la carte Vitale. Monsieur C. en a été victime, il s’est fait voler 1 518,99 € (achat d’un smartphone chez Darty). Aujourd’hui en contact avec l’UFC-Que Choisir de Clermont-Ferrand pour résoudre son litige, il continue de se heurter au refus de remboursement de son agence du Crédit agricole. Lorsqu’il s’est rendu compte de la supercherie, soit le lendemain de l’escroquerie, il a contacté son banquier, puis Darty afin de bloquer la procédure d’achat ; il a fait un signalement sur la plateforme Perceval et déposé plainte auprès de la police. Aucune solution n’a été apportée, l’achat a été validé et Monsieur C. n’a pas été recrédité de la somme perdue. « Malgré 35 ans de fidélité, [ma banque] ne peut rien faire pour moi, aucune indemnisation […], alors qu’ils font partie des acteurs de cette transaction et qu’au moment des faits, ils possédaient plus d’éléments que moi sur le bénéficiaire et les références du mouvement bancaire », souligne cet homme dans son dossier déposé auprès de l’association locale auvergnate. « J’ai fait opposition dans les 10 minutes mais 4 jours après, la somme a été prélevée sous le nom de Leroy Merlin ! La banque ne veut rien me rembourser car j’ai fait le code envoyé par SMS », témoigne une autre consommatrice abusée de la même façon.
Les établissements, pour justifier le refus de reverser l’argent volé, indiquent généralement aux victimes qu’elles ont fait preuve de négligence, leur opposant notamment d’avoir transmis leurs données personnelles. Or, l’arnaque en question est très fine, et les contenus frauduleux très ressemblants à ceux des organismes cités. De plus, la législation oblige les banques à rembourser des paiements non autorisés dès lors qu’ils n’ont pas été validés par la double authentification (dans ces exemples, il s’agit d’un système 3D Secure).
Le SMS plébiscité par les arnaqueurs
Aujourd’hui, le procédé d’appel d’un faux conseiller bancaire domine. L’arnaque démarre avec un SMS malveillant, qui comporte un lien vers un faux site de l’assurance maladie. Ce message est envoyé en masse, à des milliers de personnes. « Depuis la fin décembre 2021, on assiste à une véritable recrudescence qui ne s’arrête pas. Plusieurs dizaines de faux sites sont signalés chaque jour, à nous ou à l’assurance maladie. Actuellement, 90 % des messages [frauduleux] proviennent de SMS », détaille Jean-Jacques Latour. Cet expert précise que les SMS sont préférés par les escrocs car les informations concernant les sites sur lesquels les victimes se rendent sont plus difficiles à identifier sur un smartphone que sur un ordinateur. De plus, la réception d’un SMS est davantage rassurante pour les consommateurs que celle d’un e-mail. Mais un pirate informatique peut accéder tant à un numéro de téléphone qu’à une adresse e-mail.
Citons également l’une des pièces maîtresses de ce piège redoutable : le spoofing (le numéro de l’appelant qui apparaît sur votre écran n’est pas le vrai). Quand un faux conseiller vous appelle en affichant le numéro de votre agence, il devient très difficile de détecter l’escroquerie. Pourtant, là encore, les consommateurs restent très souvent confrontés au refus de remboursement de la part de leurs banques.
Nos conseils
Ne transmettez jamais d’informations personnelles avant d’avoir vérifié la véracité d’un message. Dans cet exemple, contactez l’assurance maladie pour savoir si l’information reçue est authentique. Ils vous répondront notamment que l’actualisation de la carte Vitale ne s’effectue jamais en ligne.
Si vous avez été piégé, déposez plainte à la gendarmerie. C’est un prérequis pour se faire rembourser par la banque. De plus, en cas de nombreuses plaintes, une enquête peut être déclenchée.
Signalez l’escroquerie dont vous avez été victime sur le portail Cybermalveillance, qui délivre des conseils sur les réflexes à adopter et les démarches à réaliser. Vous pouvez aussi faire un signalement sur la plateforme Perceval et déposer plainte sur le nouvel outil Thésée.