« Soyez sur vos gardes lors de l’achat de votre vignette Crit’Air », conseille Benoit Grunemwald, expert en cybersécurité chez Eset France.
Si vous conduisez votre propre véhicule dans certaines régions de France à certaines périodes, vous devrez acheter une vignette spéciale indiquant le taux d’émission d’une automobile, appelée Crit’Air, sous peine de recevoir une amende du gouvernement français. Des programmes similaires existent déjà au Royaume-Uni avec la zone à faibles émissions du centre de Londres, et la vignette qui prouve que vous avez payé est bien moins chère que l’amende.
Une recherche rapide sur Google vous permettra de trouver le site qui fournit les vignettes Crit’Air, ainsi que de nombreux autres sites indiquant que les vignettes sont obligatoires pour tous les véhicules entrant dans certaines régions de France. En accédant au site officiel de l’organisation (voir visuel si-dessous), qui est disponible en français, en anglais et en allemand, vous trouverez des informations sur le programme et le formulaire à compléter.
Ce site n’est absolument pas illicite ou illégitime, bien au contraire. Le problème réside plutôt dans le fait qu’il est extrêmement facile de créer un faux site, d’en faire la promotion et, grâce à des tactiques de référencement astucieuses, de le faire remonter dans le classement de Google. En fait, cette menace n’est pas que théorique et de nombreuses personnes ont rapporté avoir été arnaquées lors de l’achat de leur vignette Crit’Air sur des sites qui prétendaient représenter le gouvernement français
Pour compliquer encore les choses, la quantité de données demandées par le site légitime est plutôt importante, surtout pour un site dont vous n’avez peut-être jamais entendu parler, et qui plus est dans une autre langue.
A lire aussi : “Vignette Crit’Air : qui et comment circuler sur Avignon ?“
Les vacanciers pressés de remplir un nouveau formulaire et disposant de peu d’endroits pour en vérifier l’authenticité pourraient finir par perdre leur argent ou leurs données. Les escrocs pourraient utiliser habilement cette tactique, surtout lorsque les gens peuvent considérer la vignette comme un désagrément mineur, mais nécessaire, avant de partir en vacances.
Méfiez-vous des imitations
Le site Web authentique indique : « Vous avez la garantie d’être sur le site officiel par la présence du logo du ministère et l’adresse du site se terminant par gouv.fr. Méfiez vous des intermédiaires et des sites frauduleux » Mais malheureusement, rien n’empêche un cybercriminel de copier le logo gouvernement et de changer le libellé pour l’adapter à n’importe quel préfixe qu’il choisit d’utiliser pour son faux site ? Ou d’utiliser des noms de domaine ressemblant www.certificat-air.gouv.fr.example.com ou des URL s’apparentant à exemple.com/www.certificat-air.gouv.fr, qui paraissent donc semblables à un site légitime aux yeux de personnes moins sensibilisées ou attentives ? Ou plus simplement encore, de supprimer ce petit bout de texte du site factice ?
En d’autres termes, en tant qu’escroc, il n’est pas nécessaire que vous réussissiez à tromper toutes les victimes possibles pour que votre site vous rapporte de l’argent rapidement et presque gratuitement. En outre, les informations sensibles sont souvent vendues sur le Dark web et d’autres canaux illicites et vous devez également être conscient des attaques secondaires par courrier électronique de phishing si vous avez rempli un formulaire potentiellement frauduleux.
Encore une fois, le problème ne réside pas dans le site Web de Crit’Air, mais dans le fait que les cybercriminels continuent de copier des sites authentiques et de diriger les gens vers des sites frauduleux afin de leur voler leurs données personnelles et précieuses qui se trouvent juste sous leurs doigts. De plus, les personnes qui ont utilisé ces sites frauduleux pour obtenir ce qu’ils croient être une licence légitime pourraient être passibles d’une amende en France, même si elles ignoraient qu’il s’agit d’une escroquerie.
Comment obtenir votre vignette Crit’Air en toute sécurité ?
Comme les cybercriminels saisissent la moindre occasion de voler des données et de l’argent, vous devez être très prudent avant de soumettre vos informations personnelles et financières sur un site Web, surtout si vous visitez un site Web pour la première fois. Dans ce cas précis, il est probablement préférable de taper l’URL à la main, et de veiller à la taper correctement : certificat-air.gouv.fr.
Benoit Grunemwald, expert en cybersécurité chez Eset France