Aujourd’hui je vais vous parler de la mésaventure qui est survenue à une de mes clientes, qui a échappé de peu à une escroquerie sur une fausse alerte de PC infecté.
Le truc n’est pas nouveau, mais je vais ici vous narrer toute l’histoire de son début à son épilogue, partant de ''l’infection'', en passant par les techniques des arnaqueurs pour leurrer et faire payer la victime, poursuivant par l’analyse du PC par mes soins d'un côté, et par le parcours des diverses procédures qu’a dû entamer ma cliente pour conserver son argent de l'autre.
À la fin je vous donnerai une synthèse de l’ensemble avec les bons réflexes à avoir si vous êtes confrontés à ce genre de problème.
Vous allez constater que cela a été très chaud pour la victime.
Suivez le guide ! 
***
JOUR 1
Je reçois un appel téléphonique d’une cliente connue (appelons-la Françoise), assez inquiète, m’indiquant qu’elle naviguait sur Le Bon Coin plus tôt dans l’après-midi quand soudain une fenêtre prenant tout l’écran (même la barre des tâches avait disparu) l’alertait d'un gros problème d’infection sur son PC et l’invitait à appeler d’urgence le numéro affiché (ses haut-parleurs étant éteints elle a échappé à la voix agaçante et répétitive la poussant aussi à composer les chiffres sur son téléphone).
Ne pouvant plus rien faire, la souris n’étant plus visible et rien ne semblant répondre, elle appelle le dit numéro.
S’ensuit une conversation avec une opératrice se faisant passer pour quelqu’un d'accrédité par Microsoft, elle embobine ma cliente avec tout un verbiage bien rodé dont je vous passe les détails.
Arrive la suite avec une prise en main à distance par un « technicien », qui désinstalle AVAST et Malwarebytes (en version gratuite) et lui colle à la place ESET antivirus Pro et IObit Malware Fighter (versions payantes of course 
Arrive sur le Bureau de Françoise un fichier nommé « facture ordi », et une fois ouvert la douloureuse tombe : 299 € !!!
Et là Françoise se dit : ''mais je connais un dépanneur informatique super compétent, génial, parfait, souriant, intelligent, extraordinaire, un roi du clavier, un virtuose des disques durs, un……'' (ben quoi !?! J’ai le droit de me jeter des fleurs, non !?! 
Dès ses premiers mots j’ai tout de suite compris et lui ai directement dit : « c’est une arnaque ; maintenez le bouton de démarrage enfoncé quelques secondes pour arrêter l’ordinateur pour tout stopper ; s’ils rappellent, ne répondez pas, ou mieux, insultez-les copieusement» (ça coûte rien mais ça fait du bien
Une fois fait, je lui demande si elle a payé quoi que ce soit, par Carte Bancaire ou autre. Françoise me répond par la négative.
Rassuré sur ce point, on convient d’un rendez-vous pour le lendemain midi, et pour plus de sûreté de ne pas rallumer le PC entre-temps.
***
JOUR 2
Sitôt arrivé, je branche la tour dans mon atelier, connexion internet débranchée.
- Là sur le Bureau de son Windows 7 trônent 2 icônes et le fichier « facture ordi » =>
- Ouverture de la fameuse facture =>
- On trouve donc la fausse facture (vous allez comprendre pourquoi plus loin
Mais y a un truc qui me choque en première lecture : le SEPA est déjà renseigné au nom et identifiants de compte de Françoise !!! (Aïe !). Je lui demande si c’est elle qui a donné ces informations, et elle me répond que « oui » (Re-Aïe !!). « Mais je n’ai rien signé » me dit-t-elle.
- Ok… Je lis plus attentivement et trouve une ligne indiquant « signé Electroniquement » !!! =>
Je lui demande si elle n’a pas donné des chiffres ou autre, et elle me répond « l’opératrice m’a dit qu’elle allait m’envoyer un SMS avec des numéros et que je devais lui communiquer pour confirmation ». (Re-re-Aïe !!!).
À ma tête Françoise a compris qu’elle avait gaffé (le mot est trop faible) : ce n’est pas un SMS de l’arnaqueuse qu’elle a reçu, mais la fameuse signature électronique !!!
Détaillons cette (fausse) facture et ce SEPA (naturellement les données sensibles ont été masquées
La facture :
- La société PROVITALIA existe bien ; elle exerce dans le domaine…. du courtage en assurance, comme le numéro Siren l’indique =>
- En en-tête apparait le "Département SupportLogiciel" =>
Non, ce n'est pas une faute de frappe ou de syntaxe, "SupportLogiciel" est une société basée en Angleterre qui vend des suites logicielles avec un support en ligne ; on verra ça un peu plus bas.
Bien entendu ce "Département" n'existe pas chez PROVITALIA.
- Arrive le détail de la facture =>
1 : on découvre que c'est un contrat d'assistance technique valable 1 an.
2 : son prix est de 299,00 € Hors Taxes ! 
3 : seule possibilité pour les joindre : une adresse mail, celle-ci étant celle de la société SupportLogiciel.com, basée à Londres. Cette société vend bien un des logiciels (ESET antivirus), mais pas Iobit. Elle fournit aussi un support en ligne quant à l'installation de ce logiciel, mais apparemment pas de contrat annuel dans le domaine de la téléassistance.
Quelques doutes quand même : bien qu'il y ait un petit drapeau français permettant normalement de franciser leur site, il n'est pas véritablement fonctionnel.
- Et après avoir simulé un achat sur leur site, une petite annonce en bas me dit que vers la France les modes de paiement proposés (Visa/MasterCard) ne sont pas valables depuis mon pays (la France) =>
Je sais que le Brexit approche, mais l'Angleterre fait encore partie de l'UE, et quand bien même un payement via Visa/Mastercard se fait sans souci au Royaume-Unis ou ailleurs dans le monde.
On me propose de les contacter pour trouver avec eux un moyen de payement alternatif… M'ouais…
Tout cela me laisse un doute quant à l'innocence ou non de SupportLociel.com dans cette histoire, beaucoup de ces arnaques au support technique provenant de pays anglophones (Angleterre et Canada).
- Reprenons l'analyse de la facture "PROVITALIA" : tout en bas c'est bien la confirmation d'une fausse facture =>
PROVITALIA étant basée en France et pas sous le régime de Micro-entreprise, devrait apparaître la TVA (20%) : ici le final TTC est identique au prix HT ! C'est tout bonnement impossible légalement !
Le SEPA :
Ici rien ne prouve que du côté des arnaqueurs ce n’est pas la case "Paiement récurent/répétitif" qui est cochée à la place de la case "Paiement ponctuel" : on ne peut que très légitimement douter de l’honnêteté de ces gens-là. Et surprise dans 1 an (1 mois ?) : un nouveau prélèvement effectué sur le compte de 299 €, voire plus !
Vite, impression des pièces, quelques consignes des indications à fournir à son établissement bancaire et départ de ma cliente vers sa banque pour sauver la baraque.
Arrivée devant sa conseillère, Françoise lui expose le problème. Vérification : OOOUUUFFFFFF !!! Le SEPA n’a pas encore été présenté.
Une alerte est mise sur ce SEPA par la banque, histoire de pouvoir remonter la piste. La conseillère envoie Françoise déposer plainte à la gendarmerie.
Passage à la gendarmerie, remplissage du procès-verbal et retour à la banque amener une copie pour le dossier d’opposition.
***
JOURS 3 à 4 :
De mon côté me vient l’idée de réaliser cet article « en live » pour le diffuser sur SOSPC ; appel à ma cliente qui me donne sans hésiter son accord pour vous narrer son histoire, dans le but d’alerter le plus large public possible sur ce genre de montage de vauriens. Un grand merci à Françoise et à son époux 
- Intéressons-nous aux logiciels utilisés/installés : comme on leur a coupé l’herbe sous le pied en pleine besogne, est resté dans le dossier « téléchargements» leurs « outils » (en aparté, on voit bien le niveau nullissime du « technicien », mais je n'en dirai pas plus
On retrouve donc les fichiers d’installation de ESET en 32 et 64 bits (
Ce « SETUP » est l’installeur de "PC Privacy Shield", petit logiciel qui sert à effacer SÉLECTIVEMENT ses traces d’activité sur un PC.
- Voici une capture fort intéressante sur l’une de ses fonctionnalités prise sur le site de l’éditeur =>
- Piqué dans ma curiosité, je file voir l’historique des navigateurs =>
J’ai pris Chrome pour l’exemple, mais c’était pareil sur les autres navigateurs : les pages ''alerte d’infection'' ont été supprimées avec le surf (messagerie, sites visités) des minutes précédentes… MAIS PAS l’historique des jours précédents. Un nettoyeur d’historique (genre Ccleaner) aurait TOUT supprimé du passé, signe donc évident d’une suppression chirurgicale, histoire d’effacer les traces compromettantes les liant à la fausse alerte = CQFD !
- Hormis la désinstallation d’AVAST + Malwarebytes + Ccleaner (ce dernier était déjà présent et à jour), puis l’installation d’ESET + IObit et l’effacement de l’historique dont je viens de parler, le « technicien » (en mousse) n’a pas eu le temps d’aller plus loin.
Impec !!! J’en ai profité pour scanner avec ses propres logiciels le PC « très gravement infecté Madame ! Houlà, vos comptes bancaires sont en danger Madame ! blablabla…».
Et vous savez quoi ? Rien, ils n’ont RIEN trouvé ! Pourtant les 2 logiciels indiquaient bien qu’ils n’avaient jamais fait de scan sur cet ordinateur. Enfin si, ESET Antivirus m’a trouvé 1 fichier infectieux (1 seul oui) : le « SETUP » de "PC Privacy Shield" qu'ils ont utilisé pour effacer leurs traces !!!!!
Désinstallation des 2 logiciels, passage d’Adwcleaner + Zhpcleaner + Roguekiller + etc… en tout 6 logiciels de référence : zéro, rien, que dalle ! Réinstallation d’AVAST + Malwarebytes et scan avec eux aussi : rien de rien !!!
Bref, vous l’avez compris, le PC était totalement propre AVANT l’intervention du « technicien ». 
***
JOUR J :
Hier soir récupération de l’ordinateur par le couple ; on passe une bonne heure ensemble, leur indiquant plus en détail le montage mafieux auquel ils avaient eu affaire, moi prenant des nouvelles concernant leurs démarches.
Je tiens à saluer ici ce couple qui a refusé ma proposition que de mon propre chef j’arrange un peu l’histoire pour ne pas que Françoise se sente un peu gênée quant à sa première impression de n’avoir consenti à aucun payement alors qu’elle l’avait bien fait : « je veux que cela serve d’exemple et de leçon aux autres qui liront l’article ; racontez tout exactement comme cela s’est passé ». Chapeau bas Françoise !
Où sont-ils ?
Pas très loin en vérité : Françoise a reçu sur sa boîte mail 2 messages, et comme l'indique l'article écrit par Christophe il y a peu, on peut remonter l'origine géographique d'un expéditeur (https://sospc.name/localiser-expediteur-mail/)
- L'en-tête du mail =>
Tiens, l'adresse correspond à "ordisupport.com". Tapez ce nom sur un moteur de recherche, vous allez vite comprendre
- Recherche de l'IP de l'expéditeur en suivant le tuto de Christophe =>
- Copier-coller de l'IP sur le site-qui-va-bien et tadaaaaa =>
"My arnaqueur is rich" !!! Bienvenu à Londres !
***
Que faire si l’on se trouve devant ce cas ?
Voici la démarche à suivre si vous vous trouvez devant un message bloquant sur votre écran :
I) Arrêter l’ordinateur
1° cas : votre barre des tâches (la grande barre tout en bas de votre écran) est visible :
- 1) clic-droit sur un espace libre de la barre des tâches et sélectionnez « Démarrer le gestionnaire des tâches ».
- 2) onglet « Applications » => vous devez apercevoir les lignes des pages internet ouvertes, avec généralement 2 identiques portant des noms et symboles bizarres =>
- Sélectionnez les 2 pages (cliquez dessus l’une après l’autre en maintenant enfoncée la touche « Ctrl »), puis cliquez sur le bouton ''Fin de tâche'' (parfois plusieurs fois, c’est résistant c’est bestioles là) =>
- Vous aurez certainement cette petite fenêtre indiquant une erreur : validez en cliquant sur « Terminer maintenant » =>
2ème cas : la barre des tâches n’est pas visible, ou bien n’est pas accessible (cas de ma cliente) :
Vous pouvez essayer d'obtenir le " Démarrer le gestionnaire des tâches" en enfonçant simultanément les 3 touches "Ctrl" + "Alt" + "Suppr" (ou "Del"). Si cela ne donne rien, passez à l'étape suivante :
Un appui rapide sur le bouton de démarrage (1 à 2 seconde, pas plus) lancera un arrêt « normal » de votre PC, à l’identique que si vous étiez passé par le menu « démarrer » pour éteindre votre ordi comme d’habitude.
Si cela ne donne rien, maintenez le bouton de démarrage 4 à 5 secondes enfoncé : là ce sera un arrêt « brutal », à ne faire bien entendu qu’en cas d’urgence, comme dans le cas qui nous préoccupe.
TRES IMPORTANT : pour les possesseurs d’ordinateurs portables, il faut MAINTENANT (non, pas demain, MAINTENANT) corriger une aberration des fabricants de PC portables : faire que l’appui prolongé sur le bouton de démarrage éteigne votre ordinateur. Oui, ces idiots (désolé, mais là c’est limite du crétinisme ce paramétrage d’usine) ont décidé que l’appui sur le bouton physique de démarrage mettrait l’ordinateur… en veille ! Et donc en rallumant votre PC vous vous retrouverez très certainement encore bloqué : faut-il être bête pour avoir mis cette fonction ici
Les possesseurs de PC fixes ne sont pas confrontés à ce problème
II) Redémarrer l’ordinateur
Une fois arrivé sur le Bureau :
- passez un coup de Ccleaner (juste la fonction « nettoyeur »)
- ouvrez votre navigateur : s’il vous propose de restaurer la session précédente, REFUSEZ.
- Fermez le navigateur et repassez un coup de Ccleaner.
« Zut, j’ai trouvé cet article trop tard, je viens juste de payer »
Voici la démarche à suivre :
- s’ils sont encore dessus, éteindre l’ordinateur immédiatement
- s’ils rappellent, les menacer de porter plainte s’ils ne vous remboursent pas, etc… De toute façon il faut aller porter plainte quand même, mais cela aura peut-être un effet sur eux, qui ne tente rien n’a rien. A priori si le SEPA de Françoise n’a toujours pas été présenté une semaine après c’est qu’ils ont jeté l’éponge pour elle vu les menaces de dépôt de plainte contre eux.
- aller à votre banque (non, la police ou la gendarmerie c’est après) et parlez-en auprès de votre conseiller. Il existe peut-être en plus dans votre contrat bancaire une clause/option vous couvrant contre ce genre d’arnaque : votre conseiller vous guidera sur ces sujets.
- aller déposer plainte auprès de la police ou la gendarmerie, puis ramenez à votre banque les documents qu’ils désirent pour compléter votre dossier.
- vérifier ou faites vérifier votre ordinateur par quelqu’un de compétant si les arnaqueurs ont eu la main dessus par téléassistance (non, pas le petit neveu qui tripote n’importe quoi et n’est certainement pas qualifié pour ces cas-là très spécifiques). Le forum d’SOSPC est là pour vous aider
- si vous avez fait la grosse erreur d’enregistrer vos mots de passe sur vos navigateurs, CHANGEZ-LES TOUS ! Oui, c’est ch*ant, mais il en va de votre sécurité, sous peine quelques jours plus tard de refaire à nouveau le ballet ''banque-police''.
**********
« J’ai accepté et payé leurs services ; est-ce vraiment légal de ma part de faire machine arrière ? »
Dans le cas qui nous préoccupe oui, c’est tout à fait légal : ils ont obtenu votre appel chez eux en bloquant (ou simulation de blocage, ce qui revient au même) votre PC, ce qui est totalement illégal : imaginez un « mécano » vous bloquant mécaniquement votre voiture devant chez vous et à votre arrivée vous proposant ses services pour une panne imaginaire ; on est dans le même cas de figure.
À savoir aussi que leur argument ''votre PC est infecté'' est mensonger dès le départ vu que leur ''alerte'' n’a pas du tout scanné votre PC. Et s’ils disent ''oui, c’est un petit programme d’analyse antivirus maison qui vous a alerté, pour votre bien'', là aussi c’est totalement hors-la-loi : seul vous avez le droit d’installer et autoriser un logiciel à surveiller votre PC. Les alertes ne peuvent donc provenir que de vos antivirus et antispyware installés par vous, ou bien encore de votre système d’exploitation (les protections natives incluses dans Windows). Pour reprendre l’exemple du mécano, je vois mal un mécanicien venir sur mon parking, ouvrir de lui-même mon capot et venir sonner à ma porte pour me dire ''votre voiture a de gros problèmes, il faut que j’intervienne'' : je vous garantis qu’il va être bien reçu le p’tit père…
« Moi c’était il y a 6 mois en arrière que j’ai payé par carte bleue ; c’est trop tard ? »
Oui et non : en les contactant vous pourrez peut-être obtenir au moins un remboursement partiel. Qui ne tente rien n’a rien. Mais ce qui est sûr c’est qu’il faut quand même aller à votre banque :
- il est tout à fait possible qu’une petite ligne sur le contrat indique un renouvellement tacite du contrat tous les ans, et là à la date anniversaire c’est une somme à 3 chiffres qui s’envole car votre carte bancaire sera toujours valide. J'ai abordé ce type d'arnaque sur cet article : ces antivirus qui en veulent à notre argent
- quand il y a tromperie ou escroquerie, le délai de rétractation de 7 ou 14 jours n’a plus de valeur, c’est un délai bien plus long (qui se compte en années). Donc démarches à faire à la banque et à la police ou gendarmerie.
''Moi ca ne m’arriveras jamais ce truc, c’est trop gros comme arnaque''
Peut-être pas celle-ci, mais vous pouvez faire confiance aux escrocs de tout poil : ils ont les ressources et les idées pour piéger n’importe qui. Des gens ayant les pieds bien sur terre et la tête bien remplie se font avoir tous les jours (malheureusement). Sans tomber dans la paranoïa, il faut de nos jours se méfier de tout et de tous sur internet.
« Mais que fait la police, la justice ? »
Elle fait ce qu’elle peut…Très souvent ils sont basés à l’étranger, avec un numéro d’appel éphémère, parfois changé tous les jours. La pomme est juteuse : imaginez ne serait-ce que 2 personnes piégées par jour, à 300 € chacune ça fait 600 €. Alors si le truc est réalisé à grande échelle par un gars avec plusieurs ''standardiste'' et ''techniciens'' ça peut très vite monter, ''salaires'' des ''employés''» retirés.
Non, la seule arme efficace à ce jour c’est de s’informer, partager l’information, en parler autour de soi. Mais c’est du travail de longue haleine.
Pour conclure cette FAQ, sachez que sur ces 10 derniers jours j’ai eu 5 appels de clients ayants leurs ordinateurs coincés : à bon entendeur
***
Voilà, fin de cet article qui je l'espère vous aura apporté quelques éclaircissements et conseils utiles.
Je tiens encore une fois à remercier Françoise et son époux qui ont eu la grande gentillesse et la volonté de m'autoriser à citer leur mésaventure, tout ceci dans le but d'alerter un maximum de personnes.
Alors maintenant la balle est dans votre camp : ne soyez plus des acteurs passifs, mais relayez autour de vous cet article (et tout autre traitant de sujet similaire) : cette histoire pourrait très bien arriver à un membre de votre famille s'il n'est pas informé.
A très bientôt !
AZAMOS
Les autres articles d'AZAMOS
