Des sacs isothermes imaginaires contre vos données

Vous rêviez d'un sac isotherme gratuit ? Decathlon semble faire de votre rêve une réalité. Des publications Facebook (ici et ici) prétendent distribuer gratuitement les sacs bleu et gris de la marque Quechua en échange d'une participation à une étude. Il vous suffirait de répondre à quelques questions. Or celles-ci ne sont pas anodines.

Évaluation

Decathlon n'est pas à l'origine de ces publications et la photo a été manipulée. Il s'agit d'une tentative de phishing.

Faits

Une page Facebook suspecte partage une publication proposant aux internautes de répondre à quelques questions afin de recevoir leur modèle de sac isotherme en cadeau. Sur la photo du post, on peut voir un vendeur portant l'uniforme de la marque Decathlon qui présente les sacs concernés. À la fin du message, on y retrouve un lien qui doit mener au dit formulaire.

Des photos manipulées

Quelques secondes suffisent pour remarquer que des éléments ont été ajoutés à la photo. En effet, les proportions et les ombres des sacs isothermes ne correspondent pas au reste de l'image.

Grâce à une recherche d'image inversée via Bing et Google, nous avons pu retrouver la photo sans montage sur plusieurs sites. La photo originale semble provenir d'un article posté en 2022 sur le site du média The Australian. L'article n'est toutefois accessible que contre paiement.

La photo a en tout cas été manipulée pour y ajouter les sacs isothermes, alors que ceux-ci n'apparaissent pas du tout sur l'image d'origine.

Decathlon alerte ses clients

Decathlon a publié sur son site un article pour sensibiliser ses clients quant aux tentatives de phishing auxquelles la marque est souvent associée : « Le phishing, ou hameçonnage en français, est une technique frauduleuse utilisée par des pirates informatiques, dans le but de récupérer les données personnelles des internautes. »

Le site donne des exemples concrets : il s'agit souvent des noms, prénoms, numéros de téléphone, adresses mail, numéros de carte bancaire. Et précise : « Pour y parvenir, ces pirates reproduisent (parfois très bien, d'autres fois plutôt grossièrement) les éléments graphiques de Decathlon (le nom de la marque, sa couleur...). »

Sur sa page Facebook officielle, la marque publie des exemples concrets d'arnaque utilisant frauduleusement son nom, pour alerter ses clients.

Qu'est-ce que le phishing ?

Sur son site, la Prévention Suisse de la Criminalité (SKPPSC) explique : « Le terme "phishing" est une contraction des mots anglais password (mot de passe), harvesting (moisson) et fishing (pêche). Il s'agit d'une technique d'escroquerie, aussi appelée hameçonnage, utilisée pour se procurer subrepticement les données confidentielles d'internautes. »

La SKPPSC indique que les informations visées sont celles permettant entre autres d'accéder à des comptes de messagerie, de services bancaires, de la Poste en ligne ou de sites d'enchères. Il est précisé que les malfaiteurs opèrent parfois en groupe organisé, parfois de manière isolée. D'après la SKPPSC, l'attaque peut se manifester par courriel, via un site web, par un service de téléphonie sur Internet ou par SMS.

(Situation au 16.08.2024)