Arnaque à la vignette Crit’Air : un nouveau type d'escroquerie par "hameçonnage"

Ces derniers jours, vous avez peut-être reçu ce sms : "Nos agents ont constaté que vous n’étiez pas muni de la vignette réglementaire, veuillez la récupérer via : https://critair-circulation.fr". Il semble provenir de l'organisme qui délivre la vignette Crit'Air, cet autocollant qui classe les véhicules de 1 à 5, du moins au plus polluant. Le lien vous emmène vers ce qui ressemble à s'y méprendre à un site officiel de l'État avec son fond blanc, son macaron "République française" et la mention des textes de loi. 

Après avoir renseigné votre plaque d'immatriculation, vos nom, adresse, numéro de téléphone, vous accédez à une page qui vous propose de commander votre vignette en ligne pour la somme de 2,95 euros et de la recevoir par Chronopost d'ici 2 à 3 jours ouvrés. Pour cela, il vous faudra bien entendu entrer vos coordonnées bancaires. Pourtant attention, il s'agit bien d'une arnaque ! L'objectif de ce site frauduleux est simple : récupérer certaines de vos données confidentielles. 

C'est d'ailleurs ce que confirme un rapide coup d'œil au véritable site Internet du Certificat qualité de l’air, l'organisme qui délivre la vignette. Sur la page d'accueil, un encadré prévient l'internaute : "Attention aux escroqueries : le site officiel Crit’Air du ministère n’envoie pas de message SMS aux usagers pour acheter des vignettes." C'est d'ailleurs sur ce site officiel, dont l'adresse est www.certificat-air.gouv.fr, et nulle part ailleurs que vous pourrez commander votre précieux autocollant.

La technique de l'"hameçonnage", un type d'escroquerie de plus en plus courant

Ce type d'escroquerie a un nom, le "fishing" ou "hameçonnage" en Français. Au bout de l'hameçon : un sms, un email ou un appel qui semble venir d'un tiers de confiance comme votre banque, votre énergéticien ou votre opérateur téléphonique. Mais si vous mordez, vous transmettez vos informations confidentielles à un site frauduleux. Ces dernières années, les exemples de ce genre d'arnaques se multiplient : faux renouvellement de carte vitale, appels téléphoniques de faux organismes de formation qui en veulent à votre compte CPF, livraison imaginaire d'un colis de La Poste, etc.

Parmi les cas les plus récents on trouve ces emails censés provenir de Netflix qui prétendent que votre compte a été "suspendu". Là encore, un lien vous redirige vers un site qui ressemble de manière confondante à celui de la plateforme de streaming, sur lequel vous devez fournir vos identifiants, mot de passe et coordonnées bancaires. La multinationale a d'ailleurs alerté ses utilisateurs sur Twitter. 

⚠️ MESSAGE IMPORTANT ⚠️

Nous ne vous demanderons JAMAIS de saisir des informations personnelles dans un e-mail / SMS et de réaliser un paiement par l'intermédiaire d'un fournisseur ou site tiers.

Si vous n’êtes pas sûr d’un lien, ne cliquez pas.

— Netflix France (@NetflixFR) September 29, 2022

Quelques précautions pour se protéger du "fishing"

D'abord une règle simple : ne jamais communiquer d'informations confidentielles par téléphone ou sms. D'ailleurs sauf en cas d'arnaque, aucune administration publique ou site commercial ne vous demandera jamais des informations comme votre mot de passe ou vos coordonnées bancaires directement par ce biais. Ensuite, prêtez attention aux adresses des sites Internet sur lesquels vous vous rendez. Ceux des administrations publiques par exemple se finissent la plupart du temps par ".gouv.fr". Si ce n'est pas le cas soyez donc prudent, de même que si l'adresse qui s'affiche dans le navigateur est anormalement longue.

Si vous êtes sur votre ordinateur, avant de cliquer sur un lien contenu dans un email, vous pouvez passer la petite flèche de votre souris dessus. Cela vous affichera son adresse que vous pourrez alors vérifier. Enfin, vous pouvez aussi signaler un sms indésirable en envoyant un message au 33 700, le numéro sera alors bloqué. Ou signaler un site Internet frauduleux sur la plateforme internet-signalement.gouv.fr.