L'escroquerie en ligne ou arnaque en ligne (online scam, cyberscam, scam, cyberfraud, online fraud, Internet scam et Internet fraud... en anglais)[1] est un type de criminalité qui utilise l'Internet[2]. L'escroquerie en ligne n'est pas considérée comme un crime distinctif, mais couvre une série d'actions illégales et illicites qui sont commises dans le cyberespace[2]. Elle se différencie toutefois du vol puisque, dans le cas d'escroquerie en ligne, la victime fournit volontairement et en connaissance de cause les informations, l'argent ou les biens au fraudeur[3]. Elle se distingue également par le fait qu'elle concerne des délinquants et des victimes séparés dans le temps et dans l'espace[4].
Selon le rapport du FBI sur la criminalité sur Internet de 2017, le Centre de plaintes pour les crimes sur Internet américain a reçu environ 300 000 plaintes et les victimes ont perdu plus de 1,4 milliard de dollars en 2017 en raison de l'escroquerie en ligne[5].
Selon une étude menée par le Center for Strategic and International Studies (CSIS) et McAfee, la cybercriminalité coute à l'économie mondiale jusqu'à 600 milliards de dollars, ce qui se traduit par 0,8 % du PIB mondial[6]. L'escroquerie en ligne se présente sous de nombreuses formes.
Elle peut se produire en partie sur Internet ou elle peut être principalement ou entièrement basée sur l'utilisation d'Internet.
Il existe une multitude de façons de frauder en ligne. La méthode la plus répandue est l'hameçonnage (phishing en anglais). Elle consiste, pour l'arnaqueur, à envoyer des courriels malveillants (spam), puis établir une relation de confiance avec sa victime en se faisant passer pour un tiers de confiance (une banque par exemple) afin de lui soutirer des informations personnelles. La victime se retrouve à investir dans le capital de sociétés dont l'identité a été usurpée.
Pour mettre en confiance leurs victimes, les arnaqueurs n'hésitent pas à les contacter par téléphone plusieurs fois par jour. Malgré de nombreuses alertes de l’Autorité des Marchés Financiers (AMF) et de la CNIL, personne n’est à l’abri de ces arnaques en ligne.
Exemples d'escroqueries par hameçonnage :
Un fraudeur utilise le web pour faire la publicité d'un véhicule inexistant, généralement une voiture de luxe ou de sport, à un prix inférieur à sa valeur marchande. Les détails du véhicule, y compris les photos et la description, sont généralement tirés de sites tels que Craigslist, AutoTrader.com (en) ou Cars.com (en). Un acheteur intéressé envoie un courriel au fraudeur, qui lui répond que la voiture est toujours disponible, mais se trouve à l'étranger, ou que le vendeur est à l'étranger, mais que la voiture se trouve chez une compagnie de transport. Le fraudeur demande alors à la victime d'envoyer un dépôt ou un paiement complet par virement bancaire pour lancer le processus d'expédition. Pour que la transaction paraisse plus légitime, le fraudeur demande parfois à l'acheteur d'envoyer l'argent à un faux agent ou à un autre tiers qui prétend assurer la protection de l'achat. Les victimes envoient les fonds par virement bancaire, mais ne reçoivent jamais le véhicule.
Pour informer les acheteurs de ce type de fraude, les sites de vente d'automobiles légitimes affichent souvent des avertissements aux acheteurs leur recommandant de ne pas accepter des offres dans lesquelles les véhicules sont expédiés, où les fonds sont payés par Western Union ou par virement bancaire.
L'arnaqueur se présente comme une organisation caritative sollicitant des dons pour aider les victimes d'une catastrophe naturelle, d'une attaque terroriste (comme les attentats du 11 septembre), d'un conflit régional ou d'une épidémie. L'ouragan Katrina et le tsunami de 2004 ont été de belles occasions pour les escrocs qui se livrent à des escroqueries caritatives. D'autres escroqueries caritatives plus intemporelles prétendent recueillir des fonds pour la recherche sur le cancer, le sida ou le virus Ebola, les orphelinats pour enfants (l'escroc prétend travailler pour l'orphelinat ou une organisation à but non lucratif qui lui est associée), ou se font passer pour des organisations caritatives telles que la Croix-Rouge ou Centraide. L'arnaqueur sollicite des dons, souvent en les reliant à des articles de presse en ligne pour renforcer son histoire de collecte de fonds.
Les victimes de l'arnaqueur sont des personnes charitables qui croient aider une cause valable et n'attendent rien en retour. Une fois envoyé, l'argent disparaît, de même que l'arnaqueur. La victime peut parfois se retrouver en difficulté juridique après avoir déduit ses supposés dons de ses impôts sur le revenu. La législation fiscale de plusieurs pays stipule que les dons de bienfaisance ne sont déductibles que s'ils sont faits à une organisation sans but lucratif qualifiée[7].
L'arnaqueur peut dire à la victime que son don est déductible et lui fournir toutes les preuves nécessaires, mais les informations fournies par l'arnaqueur sont fictives et, si elles sont vérifiées, la victime s'expose à de lourdes sanctions en raison de la fraude. Bien que ces escroqueries aient l'un des taux de réussite les plus élevés, notamment après une catastrophe majeure, et qu'elles soient utilisées par des escrocs du monde entier, la perte moyenne par victime est inférieure à celle des autres types de fraudes. Cela s'explique par le fait que, contrairement aux escroqueries impliquant une espérance de gain important, la victime est beaucoup moins susceptible d'emprunter de l'argent pour faire un don ou de donner plus que ce qu'elle peut épargner[8].
Une variante des ventes frauduleuses sur Internet consiste à offrir des billets pour des événements recherchés tels que des concerts, des spectacles et des manifestations sportives. Les billets sont faux ou ne sont jamais livrés. La prolifération des billetteries informatisées et l'existence de revendeurs de billets expérimentés et malhonnêtes ont alimenté ce type de fraude. Nombre de ces escroqueries sont gérées par des revendeurs de billets britanniques, bien qu'ils puissent baser leurs opérations dans d'autres pays[9].
Un excellent exemple est la fraude mondiale aux billets des Jeux olympiques de Pékin de 2008, gérée par la société américaine Xclusive Leisure and Hospitality, vendue par le biais d'un site Internet conçu par des professionnels sous le nom de Beijing 2008 Ticketing[10]. Le 4 août, le Sydney Morning Herald a rapporté que plus de 50 millions de dollars australiens de faux billets avaient été vendus sur le site Internet[11]. Le 6 août, le même journal a rapporté que la personne derrière cette arnaque, qui était entièrement basée en dehors de la Chine, était une vendeuse de billets britannique, Terance Shepherd[12].
Alors que les détaillants et les autres entreprises sont de plus en plus préoccupés par l'utilisation de cartes cadeaux achetées avec des cartes de crédit volées, les cybercriminels se sont récemment concentrés sur l'utilisation de cartes cadeaux frauduleuses[13].
Plus précisément, des pirates informatiques mettent la main sur des informations relatives à des cartes cadeaux qui ont été émises, mais non dépensées. Parmi les méthodes utilisées pour voler les données des cartes cadeaux, on trouve des robots automatisés qui lancent des attaques par force brute sur les systèmes qui stockent les cartes. Lorsqu'ils réussissent à percer un système, les pirates volent les données des cartes, vérifient le solde restant via le service en ligne du détaillant, puis utilisent les cartes pour acheter des biens ou vendent les cartes.
Le vol des informations de cartes cadeaux peut couter des milliers de dollars de revenu à un détaillant, nuire à sa réputation et nuire à l'expérience du client titulaire de la carte dont le solde a été détourné par le pirate.
Les gens ont tendance à divulguer beaucoup d'informations personnelles sur eux-mêmes (par exemple, leur date de naissance, leur adresse électronique, leur adresse postale, leur ville natale et l'état de leurs relations) dans leurs profils de réseautage social. Ces informations personnelles peuvent être utilisées par les fraudeurs pour voler l'identité des utilisateurs. La publication de ces informations sur les médias sociaux facilite grandement ce type de vol.
Le problème de l'authenticité des critiques en ligne est un problème de longue date et tenace. Lors d'un incident célèbre en 2004, le site canadien d'Amazon a accidentellement révélé la véritable identité de milliers de ses critiques de livres auparavant anonymes.
L'erreur a notamment révélé que de nombreux auteurs utilisaient de faux noms afin de donner à leurs propres livres des critiques favorables[14]. Ce type de fraude est efficace étant donné que 72 % des gens affirment que les avis positifs les amènent à faire davantage confiance à une entreprise, tandis que 88 % disent que dans certaines circonstances, ils font autant confiance aux avis en ligne qu'aux recommandations personnelles[14].
L'escroquerie sentimentale, aussi appelée « fraude sentimentale », « arnaque à la romance », « arnaque à l'amour », consiste à nourrir une relation amoureuse fictive avec la victime, en lui faisant miroiter un futur mariage, dans le but de lui soutirer de l'argent.
Ce genre d'arnaque peut être fait par des brouteurs
La fraude 419 (aussi appelée scam 419, ou arnaque nigériane) est une escroquerie répandue sur Internet.
Elle consiste à promettre l'obtention d'une grosse somme d'argent dans le futur, exigeant de la victime qu'elle communique des éléments d'identité bancaire ou qu'elle fasse un paiement en amont afin de permettre la réalisation du gain à venir.
Sur les réseaux sociaux, et notamment sur Instagram[15], de faux profils usurpant l’identité de célébrités sont créés. Les victimes se font convaincre, voire menacer, d'appeler des numéros surtaxés pour recevoir un prix (par exemple un iPhone) qui ne leur sera jamais envoyé.
Les brouteurs sur Facebook et Twitter peuvent se faire passer pour des célébrités comme Kendji Girac[16], Jean-Baptiste Guégan[17], David Hallyday[18], Cyril Féraud[19], Elsa Esnoult, Julien Doré[20], Patrick Bruel[21], etc. pour vendre des fausses cartes fans offrant des avantages et aussi faire de l'arnaque aux sentiments[22].
Sur les réseaux sociaux et sur les sites de rencontres adultes, les brouteurs peuvent se faire passer pour des escortes et ils demandent une avance sur le payement[22],[23]. Beaucoup des escrocs faisant ce type d'arnaque sont au Bénin[22].
Les arnaqueurs procèdent également par le biais de fausses annonces de logement à louer[24], en s'arrangeant pour obtenir un paiement avant la visite, visite qui ne se produira jamais. Ils peuvent aussi récupérer des papier d'identités, des quittance de loyer, des factures de téléphone, gaz, électricité, etc.[25]
Une technique très répandue utilise des e-mails aux apparences officielles, menaçant le destinataire d'une convocation judiciaire, notamment pour des accusations de pédophilie, détournement de mineurs, pédopornographie, etc. Un paiement est proposé pour éviter les poursuites et la supposée publication dans des médias de l'identité et des crimes de la victime[26]. Certains se font passer pour des faux policiers[27].
Alors que les escrocs profitent de plus en plus du pouvoir des médias sociaux pour mener des activités criminelles, les gestionnaires de risques avisés et leurs compagnies d'assurance trouvent également des moyens d'exploiter les informations des médias sociaux comme outil de lutte contre la fraude à l'assurance[28]. Par exemple, un travailleur blessé était sans emploi dans le cadre d'une demande d'indemnisation des travailleurs, mais ne pouvait pas résister à l'envie de pratiquer un sport de contact dans une équipe sportive semi-professionnelle. Grâce aux médias sociaux et aux recherches sur Internet, les enquêteurs ont découvert que le travailleur était inscrit sur la liste de l'équipe et qu'il jouait très bien[28].
Le croque-escroc est un internaute spécialisé dans la lutte contre les escroqueries en ligne, et notamment le scam fait par les brouteurs ou les faux supports techniques.
Il existe des plateformes de vérification qui permettent d'estimer la fiabilité d'un site[29].
Pour faire face à cette nouvelle délinquance, en France, une plateforme en ligne, baptisée Thésée permet depuis le aux victimes d’une « e-escroquerie » de déposer plainte via Internet. Thésée est l'acronyme de Traitement harmonisé des enquêtes et signalements pour les e-escroqueries, faisant suite à une expérimentation lancée le . Dans un premier temps, 17 agents reçoivent et valident (ou non) les plaintes ; et lancent de premières investigations[30].