Arnaque Leboncoin : attention au paiement par QR code !
Attention à l'approche des fêtes de Noël, une nouvelle arnaque sévit sur Leboncoin ! Les escrocs utilisent les QR codes pour détourner le système de paiement sécurisé de la plateforme et soutirer de l'argent à leurs victimes..
Longtemps réservé à quelques initiés, le QR code a gagné en popularité ces dernières années, au point qu'il pourrait bientôt remplacer les codes-barres. On le retrouve aujourd'hui décliné sous toutes les formes, sur les menus des restaurants, les titres de transport, les emballages de produits alimentaires, les notices des médicaments, les affiches dans le métro, les étiquettes de vêtements, les publicités des magazines, les panneaux d'information, les cartes de visite ou encore à la télévision, nous invitant à télécharger directement une application ou nous renvoyant vers un site Web. Une démocratisation d'autant plus rapide que ce système est très simple d'utilisation.
Malheureusement, comme à chaque fois qu'une nouvelle technologie se popularise, les cybercriminels s'en emparent. Comme la plupart des gens ne connaissent pas encore très bien le fonctionnement de ce système, il est bien plus facile de les leurrer. On assiste donc à une multiplication de QR codes frauduleux, dans le but de voler les données des utilisateurs ou d'installer un logiciel malveillant sur leurs appareils. C'est le cas par exemple de fausses contraventions, contenant le fameux QR code, que l'on retrouve sur son pare-brise (voir notre article). Mais les escrocs n'hésitent pas à se montrer encore plus créatifs, utilisant le petit graphique pour soutirer de l'argent à des acheteurs sur Leboncoin, en contournant la page de paiement.
Arnaque Leboncoin : une plateforme qui attire les escrocs
L'UFC-Que Choisir tire la sonnette d'alarme dans un communiqué, où elle relate la mésaventure d'Anne P., qui a été victime de cette arnaque sur le site de petites annonces. Celle-ci a répondu à une offre à 650 € (667 € avec les frais de port) pour acquérir un tour de poterie. Le vendeur, Tigratop42, accepte et lui envoie un QR code à scanner pour procéder au paiement. La victime s'exécute et atterrit sur une fausse page de paiement Leboncoin, qui ressemble effectivement à une page officielle, avec la même charte graphique et le logo du site officiel. Elle ne se méfie pas et rentre ses informations bancaires, avant de réaliser l'authentification forte avec son application bancaire – pour valider la transaction en ligne afin que la banque soit sûre qu'elle en est bien l'auteure. Et là... rien ne se passe. L'escroc lui fait alors croire qu'un autre acheteur intéressé a payé au même moment et que cela a court-circuité le processus. Il lui demande de renouveler l'offre et elle renvoie un autre QR code. Résultat : elle a payé trois fois. Au total, il lui aura soutiré 1 334 € – la banque a heureusement bloqué la troisième tentative, soupçonnant une fraude.
Par la suite, Leboncoin a refusé de rembourser la victime, le paiement ayant été réalisé en dehors du site, de même que la banque de celle-ci, arguant qu'elle avait bien validé l'authentification forte. Anne P. a depuis porté plainte et espère bien obtenir gain de cause et être remboursée par sa banque, ce qui est tout à fait possible. En effet, le code monétaire et financier (article L133-18) impose aux établissements bancaires de rétablir immédiatement le compte des victimes, sauf en cas de négligence grave. "Dans les cas de phishing, dont le quishing (phishing par QR code) est une déclinaison, le droit s'appuie sur ce qu'on appelle le faisceau d'indices, c'est-à-dire sur tous les éléments graphiques, conversationnels, qui permettront de juger si le consommateur a été négligent ou si, au contraire, n'importe qui se serait fait piéger", explique Mélanie Saldanha, juriste au sein de l'UFC-Que Choisir. La Banque de France a d'ailleurs récemment rappelé que l'authentification forte n'est pas infaillible, et qu'un client peut être manipulé par un arnaqueur sans qu'il puisse ne être accusé de négligence (voir notre article). L'existence d'une authentification forte n'est pas suffisante pour considérer que la transaction a été autorisée par le client. Donc si vous êtes, vous aussi, victime de ce type d'arnaque, ne lâchez rien et exigez de votre établissement bancaire qu'il vous rembourse !