Si vous souhaitez que je continue à partager mes écrits en français, je vous serais reconnaissant de transmettre cette publication à trois amis et de les inviter à s’abonner.

- Yascha

Partager

L’appel est arrivé à un moment inopportun, comme c’est toujours le cas, je suppose.

C’était une journée d’automne parfaite. Le temps était juste assez doux pour donner envie de passer du temps dehors, et juste assez frais pour que l’on sache au fond de soi que l’on ne retrouverait pas cette sensation avant plusieurs mois. J’étais à Paris avec l’un de mes meilleurs amis d’université, un professionnel très occupé avec un jeune enfant, profitant d’un après-midi rare où nous pouvions simplement nous promener dans une belle ville et discuter du monde. Nous étions dans le Marais, l’un des quartiers les plus touristiques, même si mon ami m’avait emmené là pour me montrer la conversion d’une tour de bureaux brutaliste qu’il admirait plutôt que pour boire un verre dans l’un des nombreux bars à vin, lorsque mon téléphone a sonné : « Google », indiquait l’écran.

Ma première réaction a été d’ignorer l’appel. Mais je n’avais jamais reçu d’appel de Google auparavant. Puis je me suis souvenu que j’avais reçu une demande étrange d’approuver une tentative de connexion via l’application YouTube un peu plus tôt dans la journée. J’avais supposé que cette notification était l’une de ces tentatives de phishing que l’on reçoit parfois, et je ne m’en étais pas trop préoccupé. Mais cette coïncidence apparente m’a fait penser que je ferais mieux de prendre l’appel.

L’homme à l’autre bout du fil était très professionnel. Dans un anglais américain sans accent, il s’est présenté comme membre de l’équipe de sécurité de Google. Il a commencé par vérifier mon identité : « Êtes-vous Yascha [deuxième prénom] Mounk ? » J’ai confirmé que c’était bien moi. « Résidez-vous à [adresse] ? » J’ai confirmé que oui. « Les quatre derniers chiffres de votre numéro de sécurité sociale sont-ils [XXXX] ? »1 J’ai confirmé que oui.

« Il y a environ une demi-heure, quelqu’un a contacté Google avec une copie de votre permis de conduire et d’autres informations d’identification afin de récupérer l’accès à un compte dont vous auriez été exclu. Nous vous appelons par courtoisie pour nous assurer que c’était bien vous. » J’ai expliqué que ce n’était en fait pas moi.

L’interlocuteur m’a alors expliqué qu’il craignait que ce soit le cas. Le nombre et la sophistication des tentatives d’hameçonnage avaient considérablement augmenté ces derniers temps, m’a-t-il dit. Les pirates avaient réussi à associer leur adresse Gmail (il m’a lentement épelé une étrange chaîne de caractères : besuvsjhcbc@gmail.com) à mon compte. En conséquence, l’escroc avait désormais un accès complet à tous mes e-mails. Il fallait agir rapidement.

« Bien sûr », ai-je répondu. « Pouvez-vous immédiatement bloquer l’accès à mon compte, s’il vous plaît ? »

Il pouvait le faire, m’a expliqué l’appelant, mais je devais d’abord confirmer la demande sur l’un de mes appareils.

Dès le début de la conversation, trois instincts se sont affrontés en moi.

Le premier était la suspicion. Je savais que les appels de phishing devenaient de plus en plus sophistiqués. Je sentais que certains aspects de cet appel téléphonique étaient étranges, que certains détails — que je ne pouvais pas vraiment identifier à ce moment-là — ne semblaient pas tout à fait cohérents.

Le deuxième instinct était la peur. Si quelqu’un avait accès à mon compte de messagerie, il pourrait également accéder à mon compte bancaire et à toutes sortes d’autres informations d’identification, ce qui créerait des problèmes supplémentaires à l’avenir. Et même si je savais qu’il ne fallait pas faire confiance à cet homme qui m’expliquait patiemment la procédure à suivre pour empêcher ces intrus potentiels d’accéder à mon compte, je remarquais qu’il était remarquablement calme et professionnel. Peut-être s’agissait-il d’un appel authentique après tout ?

Le troisième instinct était un sentiment d’obligation sociale. Je parlais à quelqu’un qui était soit un escroc sociopathe dont l’activité consistait à s’attaquer à des personnes crédules, soit un professionnel sympathique qui essayait de m’aider à me protéger contre ces escrocs. D’une manière ou d’une autre, face à ce genre d’incertitude, la réticence à être impoli prend le dessus. Je me suis senti gêné de douter de l’homme à l’autre bout du fil et je lui ai parlé poliment, même si je le soupçonnais d’être un sociopathe.

Ne sachant pas quoi faire, j’ai fait signe à mon ami et j’ai mis le haut-parleur. Après l’avoir écouté pendant trente secondes, j’ai appuyé sur le bouton « muet » : « Qu’en penses-tu ? », lui ai-je demandé. « Est-ce que c’est légitime ? »

Il semblait aussi perdu que moi. « C’est peut-être un escroc », a-t-il dit. J’ai acquiescé. « Mais il a l’air tellement professionnel », a-t-il ajouté. J’ai acquiescé à nouveau.

« Alors, que dois-je faire ? »

Mon ami a haussé les épaules.

« Comment puis-je savoir que vous appelez réellement de Google ? » ai-je demandé à l’homme aimable à l’autre bout du fil.

« Je peux générer un message à partir de notre système », a proposé l’appelant. « N’hésitez pas à vérifier le message : il devrait provenir de noreply@google.com. »

Quelques secondes plus tard, l’e-mail promis est arrivé dans ma boîte de réception. Son format et sa conception semblaient légitimes. Il provenait bien de noreply@google.com. Mais une partie de mon cerveau me disait qu’il y avait quelque chose d’étrange : le contenu de l’e-mail concernait l’ajout d’une adresse e-mail de récupération, et non la suppression d’un compte.2

« Y a-t-il un moyen de vous rappeler à un numéro officiel de Google ? », ai-je demandé à mon interlocuteur.

« Pour des raisons de sécurité, notre équipe n’accepte pas les appels entrants », m’a répondu l’homme au téléphone. « Mais n’hésitez pas à rechercher le numéro de téléphone depuis lequel je vous appelle. Vous verrez qu’il est répertorié en ligne comme le numéro de l’assistance Google. »

J’ai décidé que je devais raccrocher pour avoir un moment pour réfléchir. « Je ne peux pas vérifier le numéro pendant que je suis au téléphone. L’écran n’affiche que Google », ai-je dit. (Curieusement, c’était vrai.) « Pourriez-vous me rappeler dans quelques minutes ? »

L’appelant a réagi avec un calme impressionnant. « Bien sûr », a-t-il répondu d’un ton amical. « Je suis ravi que vous preniez la sécurité de vos comptes aussi au sérieux. N’oubliez pas : le temps presse. Je vous rappellerai rapidement. »

Partager

J’ai recherché le numéro : 877-355-5787. Une recherche rapide m’a confirmé qu’il était légitime : le premier lien m’a redirigé vers une page d’assistance Google qui répertoriait exactement ces chiffres.

« Est-il possible de simuler un appel provenant d’un certain numéro de téléphone alors que ce n’est pas le cas ? », ai-je demandé à mon ami.

Il n’en était pas sûr. Moi non plus.

« Pouvez-vous vérifier quels appareils sont actuellement connectés à votre compte Gmail ? », m’a-t-il suggéré.

J’ai essayé. Sans mon ordinateur portable à portée de main, tout était un peu lent. Je me suis connecté à mon compte Google sur le navigateur de mon téléphone portable, j’ai cherché les paramètres de sécurité et j’ai finalement trouvé une liste des connexions actives. Certaines étaient difficiles à interpréter : des connexions anciennes, provenant probablement d’appareils que je n’avais pas utilisés depuis des mois ou des années. Mais il ne semblait pas y avoir de connexions récentes provenant d’appareils ou d’endroits étranges. L’adrénaline a lentement commencé à quitter mon corps.

J’ai décidé de demander conseil à ChatGPT. J’ai appris que le numéro affiché était bien associé à Google. Mais « l’usurpation de numéro de téléphone est malheureusement assez courante, même avec des numéros qui semblent légitimes ».

ChatGPT m’a également suggéré un autre moyen de vérifier si l’appel était légitime. Il m’a conseillé d’aller sur support.google.com et de voir s’il y avait un ticket d’assistance actif. Je l’ai fait. À mon grand soulagement, je n’en ai trouvé aucun.

Le téléphone a sonné à nouveau. J’étais désormais sûr à 99 % que l’appelant à l’autre bout du fil était un escroc, mais je ne parvenais toujours pas à surmonter mon besoin d’être poli.

« J’ai vérifié les connexions actives sur mon compte et il ne semble y avoir rien d’inhabituel », ai-je répondu. Il m’a donné une explication vague, dont je ne me souviens plus vraiment, et qui n’avait pas beaucoup de sens.

« De plus, d’après ce que j’ai compris, il devrait y avoir un numéro de dossier dans mon compte Google, mais il ne semble pas y en avoir », lui ai-je dit.

La ligne a été coupée. L’escroc avait abandonné. Un sentiment de soulagement m’envahit. Puis je ressentis une profonde honte : « J’ai failli me faire avoir », pensai-je.

Au lieu de sortir immédiatement dîner, je récupérai mon ordinateur portable et fis certaines choses que j’aurais dû faire depuis longtemps : couper les connexions inactives à mon compte, activer l’authentification à deux facteurs sur les comptes importants qui ne l’avaient pas encore et mettre à jour mes paramètres de sécurité.

Avec le recul, je me rends compte que je n’ai pas agi de manière aussi stupide que je l’avais pensé sur le moment. L’arnaqueur avait vraiment été remarquablement professionnel. Il avait trouvé le parfait équilibre entre ne pas me mettre trop de pression de manière trop évidente et me faire croire à l’urgence du moment. Et pourtant, je ne lui avais donné aucune information qui lui aurait permis de voler mon argent. Mon compte était en sécurité.

Mais cette expérience m’a certainement rendu moins prompt à juger ceux qui se font piéger par des escroqueries similaires. Il y a quelques années, une journaliste spécialisée dans les finances personnelles pour le New York Magazine a publié un article viral sur le fait d’avoir remis une boîte à chaussures contenant 50 000 dollars à un escroc. Les blagues se sont faites toutes seules : comment quelqu’un qui gagne sa vie en donnant des conseils financiers aux gens pouvait-il être aussi stupide ?

Moi aussi, j’ai bien ri de son idiotie à l’époque. Aujourd’hui, je comprends beaucoup mieux comment une personne intelligente et bien informée peut tomber dans un piège bien ficelé.

Sans la grâce de Dieu, j’aurais pu être à sa place, tout comme vous.