Comment je me suis faite truander (mais j'ai réagi assez vite, j'espère)

Samedi 19 février

9h45

J'appelle Bouygues, car ma boite mail associée à ma Bbox m'envoi des mails indiquant qu'elle est pleine et que je ne peux plus recevoir de mail (ce qui est faux, d'ailleurs, puisque j'en reçois). Ça a commencé il y a quelques jours environ, j'ai fais du ménage dans la boite, mais le problème persiste et quand je me connecte directement sur la messagerie (au lieu de mon logiciel de messagerie), j'ai un message en rouge qui apparaît, m'indiquant que 102% de ma boite mail est utilisée... par 55 mails (sans pièces attachées).

Pour moi c'est plutôt source de blague avec les personnes que j'ai au bout du fil (on fait cheminer mon appel de services en services). Le conseiller technique me suggère de modifier le mot de passe de ma bal, je m'exécute, mais cela ne change rien. Du coup il me dit qu'il va enquêter sur le problème et va tout faire pour le résoudre. Il est 10h01 quand je raccroche.

10h16

Je reçois un appel sur mon mobile identifié "Service Client Byg".

La dame m'appelle par mon nom, m'affirme me rappeler par rapport au problème signalé avec ma boite mail, que en raison de la démarche qualité de Bouygues, son appel est susceptible d'être enregistré mais que je peux m'y opposer. Elle m'appelle par mon nom et mon prénom, me cite mon adresse mail bbox et m'encourage à procéder moi même à plusieurs manipulations depuis mon PC.

La "conseillère technique" est gentille et courtoise (un peu coincée niveau humour, par contre).

De fil en aiguille (rétrospectivement je me dis que c'est dingue ce qu'on arrive à faire faire aux gens avec de la malice, quand même!) elle en vient à me faire entrer une "url de dépannage" directement dans mon navigateur Internet. Il s'agit de télécharger un utilitaire de dépannage. Tout est hyper argumenté, elle arrive sur le coup à me faire gober que ma machine et mon téléphone mobile (avec lequel je relève également ma boite mail) sont vérolés par un programme malveillant, me parle de la lenteur de ma machine, etc.

En plus, j'avoue, je suis distraite par un boulot passionnant sur ma tablette (j'ai des notes de réunion à remettre en forme et à documenter).

Je vous passerais les détails, mais j'ai fais plein de trucs qu'il ne faut jamais, jamais, JAMAIS faire, entraînée par un verbiage hypnotique extrêmement bien construit.

- J'ai rentré une url qu'on me dictait par téléphone directement (sans vérifier sa fiabilité via Google ou autre);

- Je n'ai pas déconnecté mon gestionnaire de mots de passe (j'avais rentré le mot de passe Maître la veille... pour 14 jours);

- J'ai entré (arg!) mon numéro de CB sur une interface de paiement ouverte par la page dont on m'a fait entrer l'url en me la dictant (sans vérifier si c'était sécurisé d'une manière ou d'une autre). En théorie, c'est pour garantir mon identité par rapport au logiciel professionnel que je dois télécharger...

- J'ai téléchargé ce programme inconnu sans en connaître la nature et le fonctionnement;

- J'ai chargé une application sur mon téléphone sans en connaitre la nature et le fonctionnement;

- J'ai littéralement laissé une inconnue prendre la main sur mes appareils, à distance

- J'ai coupé toutes les notifications, sonneries, vibreur etc de mon téléphone "pour ne pas altérer le processus" et sans garder un œil sur l'écran de veille (qui me donne des aperçus des sms!)

Et summum de la connerie (et surtout du génie pervers de l'arnaqueuse):

- J'ai réussi à me faire extorquer le mot de passe de mon espace bancaire personnel.

Rassemblez tous ces ingrédients, touillez bien, et vous donnez aux voleurs les moyens de truander le système soi-disant super sécurisé de la double identification des paiements.

Quand cette aimable "assistante technique" a eut fini de me dire que tout était bon, que le problème de ma machine était résolu et que j'ai raccroché, j'ai regardé l'heure et je me suis dis que c'était impossible!

13h45!

J'ai eu une espèce de bouffée de chaleur, avec une sensation de profond malaise et d'angoisse, avec la conviction profonde que je venais de me faire truander. Allez comprendre pourquoi, ma première réaction a été de rappeler le service clients de Bouygues pour demander si on m'avait appelée pour dépanner ma boite mail.

La réponse est tombée, aimable, professionnel: non. On a ouvert un ticket incident, mais c'est en cours de traitement.

Bam!

Ok, j'ai accusé le coup. J'explique à mon interlocutrice ce qui vient de se passer, je lui dis que j'ai reçu un appel de leurs services. Elle m'explique que j'ai reçu un appel d'un portable (0653190919) à 10h16.

Je perd un temps précieux, j'en oublie de regarder mon mobile ou ma boite mail...

Je le fais... mon problème de message d'alerte est résolu mais... je n'ai plus aucun mail dans celle-ci!

Y compris les trucs que j'archivais depuis des lustres. Et imbécile que je suis, mes mails sont en IMAP dans mon gestionnaire de messagerie (donc supprimés aussi là).

Sur le mobile?

D'un seul coup je comprends pourquoi il fallait que je coupe toutes les sonneries y compris le vibreur "pour ne pas interrompre le processus" et que je ne touche pas du tout à mon appareil.

Mon mobile affiche 27 notifications de ma banque avec le code à 8 chiffre de validation de la transaction.

L'application MightyText sert à afficher ses SMS sur son PC, or j'ai laissée la main sur mon PC à une étrangère, sans voir ce qui se passait (écran noir avec un nom de programme à la place).

Je m'en veux et j'ai honte, mais vu les circonstances, ça n'est d'aucune utilité. Il faut faire vite!

Heureusement les SMS de notification comprennent systématiquement le numéro de mise en opposition des cartes bancaires. Je m'empresse de l'appeler.

Je commence à vraiment réaliser ce qu'il s'est passé et le choc me tombe dessus. Sur le coup, en regardant les SMS j'évalue les transactions à environ 500€

Je vous avoue que quand l'opératrice me demande mon numéro de carte bancaire, j'ai un temps d'arrêt. Elle m'explique, habituée, qu'elle sait que c'est dur, mais que c'est essentiel à la mise en opposition.

Oui, bien sûr.

Elle m'explique aussi qu'elle a un ami dont c'est le métier de former les gens en matière de sécurité en ligne qui s'est fait truander d'une manière similaire ces derniers mois, que c'est malheureusement fréquent, bref, elle me met un peu de baume au cœur face à ce viol de mon intimité numérique.

Carte bancaire mise en opposition.

Je n'ai plus de moyen de paiement sauf mon chéquier et un heureux billet de 20€ dans mon porte monnaie.

Je prend ma calculatrice et additionne les chiffres qui figurent dans les SMS.

J'ai la nausée au fur et à mesure que le chiffre augmente...

758,45€

Dont 17 fois 17,19€ (ce qui fait, sachez-le, 292,23€)

Ok ok.

J'ai fais opposition à ma CB.

Je fais quoi maintenant?

Je fais une pré-plainte en ligne, que j'irais signer au commissariat dans la semaine (inutile de faire perdre du temps aux policiers un samedi après-midi, alors que je peux moi même rédiger ma plainte et circonstancier les faits).

J'appelle aussi le service Visa Premier (qui me coûte une blinde), pour leur expliquer les choses. La conseillère que j'ai en ligne compatit à mon malheur et m'explique que je dois remplir un formulaire de contestation d'opérations bancaires, et petite consolation, me félicite de ma réactivité.

Dans l'intervalle, j'ai commencé à changer mes mots de passe essentiels.

La voleuse a eut largement le temps de copier toutes mes données, alors il me semble essentiel de tout sécuriser, surtout les sites "sensibles" (services publics, comptes Google, Microsoft, etc.). Toutefois il faut savoir que ces gens là privilégient tous les achats de produits dématérialisés, sans possibilité de traçabilité: recharges de téléphone, cryptomonnaies (style crédits de jeux en ligne) etc. Bref, des choses qui vont pouvoir être revendues sur Internet, de sorte à blanchir le produit de leurs méfaits.

Je télécharge et rempli le formulaire de contestation. Il ne comprend que 15 lignes d'opérations bancaires, or j'en ai subi presque le double. On est pas sensé cumuler plusieurs opérations sur la même ligne, mais en même temps, à part les notifications par SMS, je n'ai aucune idée des services concernés sauf Topengo (un service de paiements instantanés en ligne, dont j'ai reçu une notification sur mon mobile).

Après tout ça?

Il n'y a plus rien à faire.

J'ai du mal à être sur mon PC ou mon mobile.

Ce ne sont que des outils: c'est l'utilisation qu'on en fait qui en fait la dangerosité, mais je suis encore sous le choc.

J'ai besoin de parler à des personnes bienveillantes.

J'appelle mon père pendant plus d'une heure.

J'ai ensuite ma sœur au téléphone pour une demie heure, et me retrouve à expliquer à ma nièce de 7 ans et demi ce qu'est une arnaque (un vol qui s'appuie sur des mensonges).

Vers 19h30 j'arrive à manger un peu, pour la première fois depuis les 3 biscuits de 9h30.

À 20h10 je me met sur OCS et regarde 2 épisodes de Game of Thrones et l'épisode pilote de "Lovecraft" avant d'aller prendre une douche bien chaude, lire quelques pages de "La roue du temps" et sombrer dans un sommeil à peu près réparateur.

Dimanche 20 février, 5h20

Je me réveille avec de grosses douleurs dans la jambe droite, la vessie et les lombaires. Et tous les autres points douloureux habituels.

Bref, la vie continue.

J'ai fais ce que je pouvais samedi après midi. Le reste arrivera bien assez tôt...

Maintenant, j'ai d'autres priorités.