L'arnaque à la vignette Crit'air revient en force par le biais de SMS très convaincants

Une campagne de SMS frauduleux appelle à l'achat de vignette Crit'Air. Problème : le message de phishing renvoie vers un site contrôlé par des escrocs, avec pour objectif de voler les données personnelles et les informations de carte bancaire des victimes. Explications.

François Manens

11 Oct 2022, 6:36

Le ministère de la Transition écologique, en charge du dispositif, fait de la prévention sur le sujet, en rappelant qu'il n'envoie jamais de SMS pour acheter des vignettes, sans trouver un écho important. (Crédits : DR)

Le flot de SMS d'escroquerie continue de se déverser. Après une année 2022 marquée par des campagnes usurpant l'identité du CPF, d'Ameli, de La Poste ou encore de Netflix, c'est au tour des faux appels à l'achat de vignettes Crit'Air de revenir sur le devant de la scène.

« Nos agents ont constaté que votre véhicule n'était pas équipé de la vignette Crit'Air 2022. Veuillez la récupérer sous peine de contravention dans les prochaines 48h sur le lien ci-joint », ordonne un SMS largement partagé sur les réseaux sociaux, racolant vers un site frauduleux convaincant, toujours actif au 10 octobre. Une fois que la victime a cliqué sur le lien, les escrocs vont droit au but, avec trois formulaires successifs pour lui demander la plaque d'immatriculation de son véhicule, ses données personnelles (nom, prénom, adresse, téléphone, date de naissance) puis ses informations de carte bancaire.

Crit'Air, cible facile

Les arnaques à la vignette Crit'Air (certificat qualité de l'air) sont apparues presque en même temps que le dispositif, en 2017. Et pour cause : c'est une cible de choix. Nécessaires pour circuler dans les secteurs désignés comme Zone à Faibles Emissions (ZFE), les vignettes affichent une note de 1 à 5 (du moins au plus polluant) selon le modèle du véhicule concerné. Le plus souvent, les chiffres les plus élevés (5, parfois 4) sont interdits à la circulation.

Puisque plus de 86% des Français possèderaient une voiture, ce sont donc des dizaines de millions de personnes qui sont potentiellement concernées par un éventuel achat de vignette, même si toutes ne circulent pas dans des ZFE. Pour les escrocs, c'est une aubaine : même s'ils envoient leur arnaque à des listes de numéros français aléatoires (comme il est très facile d'en trouver en ligne gratuitement ou contre quelques euros), ils ont de grandes chances que la cible se sentent au moins concernée par le message.

Malheureusement, peu de personnes savent que la vignette est achetable uniquement sur le site gouvernemental officiel, et qu'elle coûte systématiquement 3,70 euros à l'envoi. Le ministère de la Transition écologique, en charge du dispositif, fait de la prévention sur le sujet, en rappelant qu'il n'envoie jamais de SMS pour acheter des vignettes, sans trouver un écho important.

Résultat : l'arnaque à la vignette Crit'Air revient à intervalles réguliers, le plus souvent à l'occasion d'annonces de l'ouverture de nouvelles ZFE. Mais parfois, il s'agit simplement d'un effet cyclique, les escrocs changeant leur modèle régulièrement pour contrer les fruits de la prévention.

Plus c'est propre, plus c'est efficace

Le faux SMS analysé par La Tribune remplit toutes les bonnes pratiques de l'escroc : le message ne comporte aucune faute d'orthographe, et renvoie vers un site en apparence crédible, « critair-france[.]com ». Dans le jargon, on parle alors de typosquatting : les malfaiteurs utilisent un nom de domaine qui peut facilement être confondu avec l'officiel. Certes, les personnes les plus averties sauront que les dispositifs gouvernementaux utilisent presque tout le temps des adresses en « .gouv.fr », mais ce n'est pas une évidence pour beaucoup.

Deuxième ficelle tirée par les arnaqueurs, celle de l'urgence. Ils appellent les victimes à agir sous 48 heures, sans quoi ils prétendent qu'une contravention leur serait infligée. Ce genre d'incitation a pour objectif de les pousser à la faute. Moins les victimes réfléchiront à la cohérence de la situation et aux détails mal faits, plus ils auront de risques de tomber dans le piège tendu par les escrocs.

Pour finir la mise en page du site est presque impeccable : elle reprend les codes couleurs du site officiel, et intègre des liens vers des ressources gouvernementales. Les malfrats ont même pris le soin de créer une page de transition avec le logo du ministère de la Transition écologique entre chaque formulaire. Cerise sur le gâteau : une fois la dernière page remplie avec les informations bancaires, la victime aboutit sur le site officiel du dispositif Crit'Air, de sorte qu'il a peu de chance qu'elle se rende compte immédiatement de la supercherie.

Sujets les + lus

Sujets les + commentés

« Quand nous mettrons le pied sur l'accélérateur, nous serons difficiles à égaler » (Joelle Pineau, directrice de la recherche en IA chez Meta)

Rheinmetall, le géant allemand de l’armement, va ouvrir une usine d’obus de calibre 155 mm en Lituanie

Guerre en Ukraine : face à l'augmentation des frappes russes, l'Allemagne envoie un autre système de défense antiaérienne Patriot

Frédéric Valletoux : « Nous allons créer la consultation en soins infirmiers »

Les profits du colossal fonds souverain de la Norvège bondissent : plus d'un milliard d’euros par jour depuis janvier

Commentaire 1

Photo73 à écrit le 12/10/2022 à 17:46

Signaler

"les vignettes affichent une note de 1 à 5 (du moins au plus polluant)" voire 0 aussi, pour l'électrique (à batterie ou hydrogène/pile à combustible (qui a aussi une batterie mais plus modeste)). "la vignette Crit'Air 2022" ben oui, il faut la chang...

Merci pour votre commentaire. Il sera visible prochainement sous réserve de validation.

Informatique

L'arnaque à la vignette Crit'air revient en force par le biais de SMS très convaincants

Crit'Air, cible facile

Plus c'est propre, plus c'est efficace

Newsletter - Tech & Médias