Ce soir, je pense que j'ai failli être victime d'une grave arnaque sur @Blablacar, qui implique (peut-être) des hackers russes. J'ai envie de vous raconter ça au cas vous vous retrouveriez dans la même situation
(1/trop)

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Après que mon train Paris/Douai a été annulé en raison de la tempête Eunice, je décide de me tourner vers Blablacar. Je vois un trajet pour 9 euros (pas cher), proposé par "Tiphaine". Sur son profil, aucune photo et aucune note. Vous trouvez ça louche ? Vous avez raison pic.twitter.com/6yXAuE3CKs

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Naïvement, je réserve le trajet, et j'attends confirmation. 1h30 plus tard, je reçois un premier mail qui m'indique que Tiphaine a accepté la réservation, puis un second qui me dit au contraire qu'elle a annulé le voyage, et que je vais être remboursé

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Perplexe, je compose le numéro de mon interlocutrice (Blablacar fournit cette donnée une fois la réservation confirmée) pour tenter d'avoir plus d'informations, mais une réponse automatique me souhaite la bienvenue sur Lycamobile et me renvoie vers un répondeur…

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Intrigué mais pas inquiété, j'abandonne et je cherche un autre Blablacar pour le lendemain. Je tombe ainsi sur Sophia, qui propose un trajet similaire, pour 13 euros. Sophia n'a jamais été notée non plus, mais elle affiche une photo qui semble réglo

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Je réserve, Sophia confirme dans la minute, mais une demi-heure plus tard, je reçois un mail qui m'informe que le trajet a, à nouveau, été annulé. Diantre. Cette fois, c'est Sophia qui me contacte via WhatsApp (jolie photo de profil chaton), voici le début de notre échange : pic.twitter.com/1OC6ZqfyWF

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Innocemment, je clique sur le lien, et là je tombe sur une page qui ressemble en tous points à Blablacar. Innocemment (encore), je remplis les informations demandées, et je passe au paiement. Je suis ensuite redirigé vers une page où on me demande mon code de carte bleue pic.twitter.com/ZIX1LNGYUc

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

A l'étape d'après, on me demande de rentrer le code que j'ai reçu par SMS pour valider le paiement, une sécurité devenue assez habituelle aujourd'hui. Mais c'est là que ça devient croustillant : dans mes SMS ma banque me dit que le code en question correspond à…

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

… Un paiement de 900,89 BYN (roubles russes). Très très chelou.
Je recontacte Sophia pour lui dire que je préfère la payer en liquide car je ne suis pas en confiance, en mentionnant les roubles. Elle me demande le code, mais je ne suis pas crédule à ce point pic.twitter.com/uqOOy22x82

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Entre temps, je décide de chercher un autre Blablacar, et je tombe sur des détails très troublants. Tout d'abord, je remarque le trajet proposé par Karina, qui elle non plus n'a jamais été notée. Je suis loin d'être un expert et je peux me tromper, mais comme j'écris un peu…

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

… Sur la tech et la cyber, sa photo m'a fait immédiatement penser au site https://t.co/Lzf7Z3fJ47, où une intelligence artificielle crée des visages qui n'existent pas. Encore une fois je ne suis pas sûr à 100%, mais il y a plusieurs éléments douteux pic.twitter.com/XHL1awgprk

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

(Pour plus d'infos à ce sujet : https://t.co/NIsto5xXVr )

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Bye bye Karina, je tombe ensuite sur Monica. Image plus floue mais très suspecte elle aussi. D'ailleurs, l'annonce a rapidement été supprimée après que j'ai mentionné son nom auprès de "Sophia" pic.twitter.com/1cawbGT8EW

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Au fait, entre temps "Tiphaine" m'a elle aussi recontacté sur WhatsApp, pour me demander si je souhaitais faire le trajet avec elle malgré tout. Sa photo de profil ? Macaulay Culkin (l'acteur de Maman j'ai raté l'avion)

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Bref, tout ça pour dire que j'ai peut-être failli tomber dans une arnaque qui m'avait l'air bien huilée, et qui m'amène à m'interroger sur la position de #Blablacar. Surtout dans un contexte de tempête, où de nombreux passagers de la SNCF ont dû se rabattre sur le covoiturage

— Valentin Hamon–Beugin (@BeuginHamon) February 18, 2022

Petite modification : BYN ce sont des roubles biélorusses. Donc 900 BYN = 300€…

— Valentin Hamon–Beugin (@BeuginHamon) February 19, 2022

Update : j'ai bien sûr fait opposition auprès de ma banque, et Blablacar m'a contacté par mail ce matin pour me dire qu'ils sont navrés de cet incident, et que les comptes en question ont été suspendus

— Valentin Hamon–Beugin (@BeuginHamon) February 19, 2022

"Assurez-vous que vos paiements soient toujours bien réalisés depuis notre page web, notre site mobile ou notre appli. Il est important de ne jamais procéder au paiement de vos réservations depuis d’autres sites que le nôtre", ajoutent-ils

— Valentin Hamon–Beugin (@BeuginHamon) February 19, 2022

Quelques précisions pour clore ce thread : comme beaucoup d'entre vous l'ont souligné, il ne s'agissait pas d'un piratage au sens propre mais d'une tentative de phishing (hameçonnage en bon français), une pratique malveillante qui consiste à tromper l’internaute pour…

— Valentin Hamon–Beugin (@BeuginHamon) February 20, 2022

… l’inciter à communiquer des données personnelles (en l'occurrence, des codes de carte bleue). Dans le doute, une règle d'or à retenir : ne jamais cliquer sur des liens envoyés par des inconnus.https://t.co/DSMTVlG4E2

— Valentin Hamon–Beugin (@BeuginHamon) February 20, 2022

Pourtant, même si je connaissais déjà les bonnes pratiques, je me suis fait avoir. Stress, fatigue, inattention… Il existe une multitude de facteurs qui peuvent nous pousser à fermer les yeux sur les différentes alertes et à commettre une erreur.

— Valentin Hamon–Beugin (@BeuginHamon) February 20, 2022

Les dizaines de témoignages similaires au mien montrent bien l'ampleur du phénomène. L'idée, je pense, n'est pas de culpabiliser ou de jeter la pierre aux victimes, mais de continuer à sensibiliser au maximum pour que l'hygiène numérique devienne un véritable réflexe

— Valentin Hamon–Beugin (@BeuginHamon) February 20, 2022