Une nouvelle fraude tellement bien ficelée que même un expert en cybersécurité a failli se faire prendre

André Charbonneau travaille dans le domaine de la cybersécurité depuis des années. Il voit passer des tentatives d'hameçonnage et des stratagèmes d'ingénierie sociale pratiquement chaque semaine. Pourtant, un jeudi en fin de journée, alors qu'il s'affairait aux activités familiales avant une pratique sportive de ses enfants, il a vécu ce qu'il qualifie lui-même de tentative de fraude la plus crédible et la mieux exécutée de toute sa carrière. Son témoignage, partagé d'abord sur les réseaux sociaux puis relaté au micro du 98.5 FM dans le cadre de l'émission de Marie-Eve Tremblay ainsi qu'à QUB Radio, a rapidement fait le tour du Québec et mis en lumière une menace d'un niveau inédit.

Une mise en scène quasi parfaite au nom de Desjardins

Tout a débuté lorsque le téléphone d'André Charbonneau a sonné en affichant le nom et le numéro officiel du service de prévention de la fraude de Desjardins. Étant devant son ordinateur, il a immédiatement vérifié le numéro en ligne et constaté qu'il correspondait exactement à celui inscrit au dos de sa carte de débit. Cette technique, connue sous le nom de « spoofing », permet aux criminels de falsifier l'identité affichée sur l'écran du destinataire, rendant l'appel pratiquement impossible à distinguer d'un véritable appel de l'institution financière.

L'interlocuteur au bout du fil s'exprimait dans un français irréprochable, avec un accent québécois tout à fait naturel. Aucun bruit de centre d'appel en arrière-plan, aucune musique d'attente douteuse. Le ton était calme, professionnel et rassurant. On lui a expliqué qu'un virement de 300 dollars provenant de la région de Gatineau avait été bloqué par mesure de sécurité et on lui a demandé s'il en était l'auteur. André a répondu par la négative.

Ce qui a particulièrement déstabilisé l'expert, c'est l'absence totale de sentiment d'urgence, un marqueur pourtant habituel des arnaques téléphoniques classiques. Le fraudeur a mené la conversation de manière progressive, posant des questions anodines sur d'éventuelles pertes de carte, l'utilisation d'ordinateurs publics ou le partage d'informations personnelles. Rien ne sonnait faux. Plus troublant encore, lorsqu'André a exprimé des doutes sur la légitimité de l'appel, le supposé agent lui a suggéré avec un détachement total de raccrocher et de se rendre directement en succursale pour régler la situation. Cette invitation à quitter l'appel constituait, selon l'expert, le véritable coup de maître des fraudeurs. Quelle personne malveillante inviterait sa cible à aller vérifier auprès de sa banque en personne? Ce désintérêt apparent visait précisément à faire tomber les dernières barrières de méfiance.

Au fil de la discussion, quelques éléments ont toutefois commencé à éveiller les soupçons de l'expert. Le fraudeur a mentionné une ancienne adresse courriel qu'André n'utilisait plus, possiblement tirée de fuites de données antérieures. Puis est venu le moment décisif. L'interlocuteur a invoqué une prétendue nouvelle technologie d'authentification par la voix et a demandé à André de fournir son numéro de carte de débit pour « corroborer » son identité. Sachant pertinemment que son institution possédait déjà cette information et n'avait aucune raison de la réclamer de cette façon, André Charbonneau a décidé de raccrocher. Voyez ce qu'André Charbonneau a mentionné au micro de Mario Dumont avant de poursuivre la lecture:

Un signal d'alarme pour tous les Québécois

Même après avoir mis fin à l'appel, le doute persistait tant la mise en scène était convaincante. André s'est rendu physiquement dans une caisse Desjardins pour vérifier l'état de ses comptes. Les employés sur place n'ont détecté aucune anomalie et l'ont orienté vers le véritable service de prévention de la fraude. La confirmation est alors tombée sans ambiguïté : aucun blocage, aucune intrusion, aucun dossier actif. L'appel reçu était bel et bien une tentative d'hameçonnage extrêmement sophistiquée. Le personnel de l'institution a d'ailleurs reconnu que le discours des fraudeurs était « parfait » et que cette tactique se répandait de plus en plus.

André Charbonneau n'a pas pu s'empêcher d'ironiser en constatant que le service offert par les fraudeurs surpassait, d'une certaine manière, bien des expériences légitimes qu'il avait vécues avec de véritables services à la clientèle. Mais derrière l'humour se cache une réalité préoccupante. Après avoir partagé publiquement son histoire, il a reçu de nombreux messages de responsables de la fraude au sein de grandes institutions financières qui l'ont remercié pour sa démarche. Selon ces professionnels, des centaines de personnes tombent chaque semaine dans ce type de piège, engendrant des pertes se chiffrant en centaines de milliers de dollars.

Si Desjardins revient souvent dans ces récits, c'est principalement en raison de l'ampleur de sa clientèle au Québec, ce qui en fait une cible statistique de choix pour les criminels exploitant des bases de données issues de fuites massives. Mais ce type de fraude ne se limite pas à une seule institution.

Le message d'André Charbonneau est limpide : puisqu'il est désormais impossible de se fier à l'afficheur, à l'accent de l'interlocuteur ou même à l'absence de pression, la seule protection efficace reste la méfiance systématique. Au moindre doute, il faut raccrocher et rappeler soi-même le numéro officiel de son institution. L'expert note avec une pointe de tristesse que ses propres enfants refusent désormais de répondre au téléphone, préférant les messages textes, signe que la confiance envers ce mode de communication est profondément ébranlée. Si un professionnel aguerri de la cybersécurité peut passer si près du piège, personne n'est véritablement à l'abri.