Le recours aux IA explose dans les escroqueries en ligne. Mais l'artisanat de l'arnaque en ligne subsiste avec d'étonnantes spécificités locales.
Victor Baissait est un éminent « chasseur de brouteurs ». Cet enseignant en tech, web et design et aussi un lanceur d'alerte d'arnaques. Sa chaîne YouTube est dédiée à la prévention sur le sujet. Avec lui, on fait le point sur l'évolution du paysage des arnaques en ligne.
Vous faites partie du milieu confidentiel des chasseurs de brouteurs, ces escrocs opérant sur Internet. Comment procédez-vous ?
Victor Baissait : Avec notre équipe, nous avons de faux comptes sur les réseaux sociaux pour discuter avec ce que l'on appelle trivialement nos targets (cibles). On poste un commentaire, puis on attend que les arnaqueurs mordent à l'hameçon, qu'ils nous parlent. On essaie ensuite de les localiser s'ils n'utilisent pas de VPN. Cela nous permet de savoir de quel type d'arnaque il s'agit, et d'anticiper ce que les escrocs peuvent faire. On parvient aussi à infiltrer les ordinateurs qu'ils utilisent dans les cybercafés ou chez eux pour observer leurs pratiques.
Il nous arrive de les embobiner en reproduisant leur argot, leurs codes. Je me fais passer pour un "vieux père", nom qu'ils donnent aux brouteurs expérimentés. Je fais semblant de les aider à dénicher de nouveaux clients ou mails (comprenez victimes d'arnaque), mais je trouve toujours un prétexte pour les dissuader d'agir, en leur faisant peur. Je les redirige aussi vers la streameuse Arnaque-moi si tu peux, qui leur fait perdre leur temps sous une fausse identité. Elle parvient parfois à les accaparer pendant plusieurs mois, en leur faisant croire qu'ils vont recevoir de l'argent de sa part. Pendant ce temps, ils ne font pas de nouvelle victime.
Vous dites que localiser l'arnaqueur vous permet d'identifier l'escroquerie. Malgré la mondialisation, il n'y a donc pas d'uniformisation des arnaques partout dans le monde ?
Non, chaque pays a son propre type d'arnaque. Une partie des arnaqueurs travaille de manière artisanale. En ce qui concerne les brouteurs par exemple, les "grands frères" au sens large du terme transmettent leurs tuyaux aux plus jeunes, qui ont parfois 7 ou 8 ans. Ils reproduisent ce qu'on leur a appris, sans s'informer sur ce qui se fait ailleurs.
Avez-vous des exemples d'arnaques typiques de certains pays ou de certaines régions du monde ?
L'arnaque au sentiment est caractéristique des brouteurs de Côte d'Ivoire, quand elle est en langue française. Elle vise à rendre la victime amoureuse, sous emprise pour lui extorquer de l'argent etc. L'arnaque de prêt entre particuliers est typique des brouteurs du Bénin. [Ils proposent de prêter de l'argent à des particuliers qui ne peuvent faire un emprunt à la banque pour leur voler des documents personnels et leur soutirer de l'argent avec des frais de dossier]. Le pig butchering [littéralement abattage de cochons] est plus caractéristique des pays d'Asie. Elle débute souvent par des messages qui simulent une erreur de destinataire, comme « bonjour, Tom, est-ce que le train est bien à 10h25 ? ». Une fois l'accroche faite, le faux compte poursuit la conversation jusqu'à gagner la confiance de la victime pour lui proposer d'investir dans la cryptomonnaie ou autre, et l'arnaquer. Le pig butchering est notamment réalisé par des agents enfermés dans des centres ou des prisons d'Asie du Sud-Est, qui sont victimes de maltraitance s'ils n'atteignent pas les quotas fixés.
Le terme "brouteur" s'est démocratisé, mais il renvoie en réalité à une partie seulement des arnaqueurs en ligne ?
Oui, les gens ont tendance à utiliser les mots "arnaqueur" et "brouteur" comme synonymes. "Brouteur" désigne quasi exclusivement un escroc d'Afrique de l'Ouest, même si certains brouteurs congolais ou ivoiriens migrent en Inde ou ont des complices dans des pays européens. Ils ont une manière de s'exprimer et de procéder reconnaissable, car ils utilisent des "formates", c'est-à-dire des scripts de conversation qu'ils s'échangent entre eux. Les messages comme « coucou, magnifique, femme incroyable », ou « je suis tombé par hasard sur votre profil », proviennent presque à coup sûr d'un brouteur. Généralement, ils se rendent sur une page publique et envoient des messages en masse à tous les abonnés jusqu'à ce qu'ils piègent quelqu'un (d'où l'appellation consacrée "pages de rajout"). Ils recourent fréquemment à des photos d'actrices pornographiques, comme Tanya Tate, pour pratiquer l'escroquerie aux sentiments. Cela leur permet, au fil des échanges, d'envoyer des photos de plus en plus suggestives à leurs cibles. Ils espèrent récupérer des photos intimes en contrepartie pour faire de la sextorsion (faire chanter les victimes en les menaçant de divulguer les photos). Au-delà d'un type et d'une forme d'arnaque spécifiques, être un brouteur c'est un mode de vie qu'on ne retrouve pas forcément dans d'autres pays. Cela passe par le fait de montrer qu'on a réussi socialement en s'exhibant dans les fêtes et en flambant l'argent volé. Beaucoup de gens crient aux brouteurs dès qu'ils repèrent une arnaque en ligne, mais elles peuvent être commises par des Indiens, des Asiatiques, des mafias organisées, etc.
Pourquoi certains brouteurs partent-ils vivre en Inde ? Comment expliquez-vous ces migrations de travail de l'arnaque ?
Ils parcourent des distances faramineuses pour obtenir de meilleures conditions de vie, et s'installer dans le pays où se pratique l'arnaque au faux support technique. Des brouteurs immigrés en Inde s'adonnent désormais à ce type d'arnaque, qui était auparavant l'apanage de la Tunisie ou de la Turquie. Elle consiste à faire apparaître sur l'écran d'ordinateur d'un usager un message signalant un problème de sécurité et indiquant un numéro d'urgence à appeler. La victime tombe alors sur un faux support technique qui tente de lui facturer un dépannage informatique imaginaire. L'Inde est devenue le pays numéro un dans les arnaques en ligne, du moins anglophones, en raison de la maîtrise de l'anglais, une des deux langues officielles du pays avec l'hindi. Les arnaqueurs indiens ont la possibilité de cibler les usagers de nombreux pays : les États-Unis, l'Angleterre, l'Irlande, l'Australie, la Nouvelle-Zélande, le Canada.
Pourtant, avec les traducteurs et les IA, n'est-il pas aisé de traduire un message dans toutes les langues et d'escroquer des usagers du monde entier ? De manière générale, quel est l'impact de la démocratisation des IA dans l'évolution des arnaques en ligne ?
Oui, les arnaqueurs savent très bien utiliser les outils de traduction, mais ils restent plus à l'aise dans leur langue d'origine. Ils ne sont pas non plus en reste dans l'usage des IA. Ils ont recours à ChatGPT, au clonage de voix, aux deepfakes etc. Escroquer quelqu'un est de plus en plus facile et de moins en moins coûteux. Désormais, en possédant 30 secondes de la voix de quelqu'un, on peut la cloner à peu près correctement selon le streamer centholebest interrogé durant un JT de TF1.
Les digital immigrants, et notamment les personnes âgées, sont-elles les principales victimes des messages d'arnaque et de faux contenus, ou cela touche-t-il toutes les catégories d'âge ?
Penser que seules les personnes âgées ou vulnérables se font avoir, c'est un raisonnement dangereux, parce que beaucoup de personnes vont être superconfiantes et baisser leur garde. N'importe qui peut se faire avoir par une arnaque, moi y compris. C'est très dépendant du contexte. Par exemple, si vous conduisez, que vous vous faites flasher, et que vous recevez par hasard dans les 48 h un SMS vous demandant de payer une amende, vous êtes plus susceptible de vous faire avoir que si le SMS indique que votre abonnement Netflix a expiré, alors que vous n'en possédez pas. Certains brouteurs qui se font passer pour une célébrité parviennent aussi à obtenir un compte certifié sur les réseaux, ce qui atténue la méfiance des gens.
Quelle est la responsabilité des plateformes dans la prolifération d'arnaques en ligne et de faux contenus ?
Les plateformes sont responsables. On a, par exemple, vu fleurir de fausses vidéos du footballeur Kylian Mbappé, promouvant des jeux d'argent en ligne. Meta les retire de plus en plus, mais il y a encore quelques mois, cela pouvait rester des semaines sur la plateforme. Des gens paient pour afficher ces publicités contrefaites, et Meta est tiraillé entre gagner de l'argent et ne pas se mettre à dos l'opinion publique. Il a fallu attendre que les usagers se plaignent et que des médias s'emparent du sujet pour que la multinationale commence à agir. Les signalements ne sont pas toujours pris en compte. Lorsqu'on signale le faux compte d'une célébrité comme le chanteur Kendji Girac, on peut parvenir à le faire sauter, mais pour d'autres cas moins évidents d'usurpation d'identité, c'est plus compliqué d'obtenir la coopération de Meta. On a tenté de faire sauter le faux compte du manager de l'humoriste Guillaume Meurice, qui pratique l'escroquerie aux sentiments. Sans succès.
Participer à la conversation