Des victimes d’une violation de données qui deviennent la cible d’une nouvelle escroquerie exploitant ces mêmes données volées : le serpent se mord la queue.
Des associations fantômes promettent aux vitimes de violations de données d’effacer leurs informations des plateformes en ligne, armées de leurs propres coordonnées pour mieux les convaincre. La CNIL tire la sonnette d’alarme sur une mécanique frauduleuse d’une redoutable sophistication.
Une arnaque qui se nourrit du vol initial
Ce qui frappe dans ce schéma, c’est son cynisme technique. Les expéditeurs ne travaillent pas à l’aveugle : ils disposent des fichiers issus des violations de données elles-mêmes. Résultat, les courriels reçus par les victimes contiennent leurs véritables informations personnelles, nom, adresse postale, voire IBAN. C’est précisément cette précision qui rend le piège si efficace. Recevoir un message qui vous cite avec exactitude, c’est recevoir une preuve apparente de la légitimité de l’expéditeur. La donnée volée devient l’instrument de la manipulation.
Ces expéditeurs se présentent sous des appellations soigneusement construites pour inspirer confiance : « Ligue de défense des données personnelles », « Ligue de protection des données personnelles », ou encore « Association de protection des données personnelles ». Des noms qui résonnent comme des recours légitimes pour des personnes déjà fragilisées par une première atteinte à leur vie privée.
Le numéro de la CNIL comme caution frauduleuse
Le procédé ne s’arrête pas là. Certains de ces messages mentionnent le numéro de téléphone officiel de la CNIL, laissant croire à un lien institutionnel qui n’existe pas. Usurper la crédibilité du régulateur lui-même, c’est ajouter une couche d’ingénierie sociale à une arnaque déjà sophistiquée. La CNIL est formelle : elle n’est en aucun cas à l’origine de ces démarches et n’entretient aucun lien avec ces organismes.
Vigilance systématique face aux offres de suppression en ligne
Les bases de données exfiltrées ne servent pas qu’à la revente ou à la fraude directe. Elles alimentent des campagnes de phishing ultra-ciblées, d’autant plus crédibles qu’elles s’appuient sur des données réelles.
La CNIL recommande une vigilance générale face à tout service proposant d’intervenir pour obtenir la suppression de données en ligne, sans égard pour la forme ou l’apparente légitimité de l’interlocuteur.
