Le 29 avril 2024, un gendarme de la Brigade départementale de renseignement et d’investigations judiciaires (BDRIJ) du Groupement de gendarmerie départementale (GGD) de Haute-Savoie reçoit un courrier qui attire son attention. Le document, orné d’un QR code, est la première étape d’une arnaque que l’on peut facilement éviter.
La plupart du temps aujourd’hui, les arnaques se déclinent sous forme numérique. C’est ce qui rend l’affaire que nous abordons un peu surprenante, puisque les malfaiteurs sont passés par le format papier en envoyant, le 29 avril 2024, un document courrier à Nicolas. Mais ce dernier se trouve être gendarme, adjudant-chef au sein de la Brigade départementale de renseignement et d’investigations judiciaires (BDRIJ) du Groupement de gendarmerie départementale de Haute-Savoie (GGD74).
« J’ai eu la surprise, en relevant mon courrier, de voir une sorte de carte postale, avec un contenu recto-verso. Au recto il y avait bien mes nom et prénom, mon adresse exacte… précisément les données qu’Amazon détient », commence l’adjudant-chef. C’est donc un courrier à l’en-tête d’Amazon, une invitation à tester un nouveau produit, que le gradé découvre dans sa boite aux lettres. Ce produit est gracieusement offert dans le cadre du test, assorti en complément d’une commission, dont le montant dépend du prix du l’article, et qui va jusqu’à 40 euros. Le destinataire de la carte est ensuite invité à scanner un QR code afin de transmettre diverses données en vue de recevoir la suite des informations. Outre ces éléments, une adresse mail apparaît également sur la carte.
« Au départ, je n’ai pas fait tellement attention, poursuit le gendarme. Mais une fois arrivé chez moi, je me suis penché sur le carton. L’impression était de mauvaise qualité, l’adresse mail ne correspond pas du tout à celle d’Amazon, et la clôture du messageindiquait : tous mes voeux… » Autant d’éléments indiquant que le carton n’est pas ce qu’il prétend et mérite d’être étudié de plus près.
Mettre la victime en confiance pour récupérer ses données
« Il ne faut surtout pas flasher le QR code, insiste l’adjudant-chef Nicolas, mais en tant qu’enquêteur nous l’avons fait pour investiguer sur le site. » Évidemment, les gendarmes ne trouvent aucun lien avec Amazon. Une fois sur le site, la future victime est invitée à fournir des éléments d’identité pour être recontactée.
« À partir de là c’est une manoeuvre que l’on connaît déjà, ajoute le gendarme, comme pour les arnaques au SMS à propos de votre abonnement Netflix, votre carte vitale, une amende ANTAI… L’objectif est de récupérer les éléments d’identité de la victime, ou en tout cas des premiers éléments, de rentrer en contact avec elle, la mettre en confiance. Ici, la somme de 40 euros permet de justifier la demande de récupérationdes données bancaires, voire le numéro de carte bancaire. »
Plusieurs possibilités ont ensuite été identifiées par les gendarmes de la BDRIJ pour ce type de dossier.
Il peut s’agir de vendeurs tiers Amazon qui souhaitent, par ce biais, récupérer toutes les informations relatives au client telles que les noms, prénoms, mails, numéros de carte bancaire, etc… avec pour but d’inviter ces personnes, en leur offrant des produits, à fausser le système de notation de leurs articles.
Mais le plus grand risque consiste dans la communication d’informations personnelles à des tiers qui agissent parfois au sein de véritables structures criminelles, en bandes organisées, pour revendre en masse ces informations sur le darknet.
Ainsi, munis de ces renseignements, d’autres équipes de délinquants poursuivront sur un autre type d’action : en se faisant passer, par exemple, pour de faux conseillers bancaires. Ils laissent ainsi s’écouler plusieurs semaines sans qu’il ne se passe rien, puis l’un d’eux appelle la victime en se présentant, par exemple, comme le service fraude Visa. « Il explique alors à la victime qu’on a détecté des opérations atypiques sur son compte et qu’il y a encore la possibilité de sécuriser ces éléments. Il lui fait confirmer son identité, ou encore les deux derniers chiffres de sa carte bancaire, lui donnant l’impression d’échanger avec un conseiller bancaire », explique le militaire. Quand l’individu lui propose de sécuriser ensemble son compte, et lui fait valider des opérations sur son application bancaire, la victime, ainsi mise en confiance, obtempère sans se douter de rien. Ses comptes peuvent alors se retrouver vidés, soit en France soit à l’étranger.