Bien que les fausses publicités avec des BV soient sur le radar depuis plusieurs années, les escrocs continuent de passer entre les mailles du filet. Également sur le site de Le matin c’est arrivé récemment. Comment est-ce possible? Et pourquoi cette pratique est-elle si difficile à éradiquer ?
Le logo 2BE, nom de chaîne qui n’est plus utilisé depuis 2016, aurait probablement dû vous rappeler quelque chose. Tout comme l’étrange construction du mot dans le titre : « l’histoire aux conséquences dévastatrices ». Mais le déclic s’est produit rapidement, et qui ne voudrait pas savoir quelle « annonce » du présentateur de VTM Stef Wauters signifiait la fin de sa carrière ? Vous ne seriez probablement pas le premier à craquer.
Le faux message ci-dessus a pu être vu ces derniers jours sur le site Internet de Le matin, via une fenêtre publicitaire Google Ads. Un clic plus loin et vous êtes dans un environnement d’article recréé Les dernières nouvelles. Encore un lien plus loin, on vous demandera votre numéro de portable, si vous voulez devenir riche rapidement comme Stef Wauters, et peu de temps après, quelqu’un vous appellera peut-être pour retirer l’argent de vos poches – bien sûr, ils ne le disent pas littéralement , voilà à quel point ils sont intelligents.
Les soi-disant « appâts de célébrités » sont monnaie courante sur Facebook et Google. De nos jours, il suffit de quelques clics depuis une image sensationnelle – et très mal photoshopée – de la chanteuse Natalia pour aboutir sur la plateforme Immediate Bitwave, qui promet des retours de « 850 à 2100 euros par jour ». Olivier Goudet, surnommé PDG d’AB InBev, en serait un grand fan. Petite remarque : Goudet est absent de l’entreprise depuis 2019 et n’était pas PDG mais président du conseil d’administration.
Dans le passé, les noms de Karen Damen, Philippe Geubels, Ann Lemmens et Gert Verhulst, entre autres, ont également été utilisés à des fins de fraude. Qu’une telle fausse publicité parvient désormais à abuser de deux marques (Le matin et HLN) et une enseigne bien connue (Stef Wauters) de la même grande entreprise (DPG Media) est particulièrement douloureuse. Comment de telles fausses publicités peuvent-elles continuer à passer entre les mailles du filet ?
«En fait, cela continue de tourner autour de la même méthode de contrefaçon», explique Dieter Tinel d’Outkept, une plateforme qui tente de sensibiliser les organisations à travers le phishing éthique. De fausses publicités sont diffusées via des comptes légitimes qui ont été piratés et achetés via le dark web et les utilisateurs sont dirigés vers un nom de domaine qui n’est souvent en ligne que pendant quelques jours.
Pendant la pandémie, les fausses publicités ont atteint leur apogée et les criminels ont été contraints d’opérer principalement en ligne. 773 annonces frauduleuses ont été signalées au SPF Economie en 2021, soit cinq fois plus qu’en 2020. Le montant capté a été multiplié par quatre pour atteindre 8,6 millions d’euros. En 2022 et 2023, ce nombre a encore diminué, à respectivement 530 et 419 signalements, représentant environ 4 millions d’euros de dégâts par an.
Selon Tinel, Google et Facebook font beaucoup pour arrêter ce moulin à publicité frauduleuse, notamment grâce à des modèles d’auto-apprentissage qui identifient les fraudeurs. Google a annoncé qu’il supprimerait 5,2 milliards de publicités en 2022, soit plus de deux fois plus que cinq ans plus tôt. 6,7 millions de comptes d’annonceurs ont également été suspendus. « Mais une fenêtre de quelques jours suffit parfois à piéger un certain nombre de personnes », explique Tinel. Ensuite, le jeu du chat et de la souris recommence.
Derrière les publicités se cache un enchevêtrement d’intermédiaires. Pour attirer les gens vers leurs plateformes, les escrocs font appel à des sociétés de marketing, qui à leur tour font appel à des comparses qui créent de faux messages et sélectionnent des personnes célèbres. Il est donc difficile pour les autorités officielles de déterminer qui tire les ficelles.
Selon le hacker éthique Inti De Ceukelaire (Intigriti), les criminels utilisent diverses techniques pour tromper les systèmes avec lesquels Facebook ou Google travaillent. En utilisant une technique appelée « cloaking », ils garantissent que le système voit une page de destination différente de celle des victimes potentielles. « Ou la page sera ajustée une fois que l’annonce soumise aura été approuvée. »
Selon De Ceukelaire, l’utilisation de l’IA pour générer rapidement des images avec des BV peut également constituer une arme supplémentaire. « Si vous mettez un effet grain sur le visage de quelqu’un, vous reconnaîtrez toujours le BV. Mais ce n’est peut-être pas le cas d’une machine. L’équipe humaine qui gère les publicités opère depuis un pays lointain où ils ne connaissent ni Karen Damen ni Stef Wauters.
C’est le contexte dynamique d’Internet, combiné à l’énorme quantité de spam, qui garantit que le réseau ne se ferme pas. Au sein de DPG Media, il a été dit que les fausses publicités sont rares et font partie d’un « marché ouvert » en diminution au sein de l’offre publicitaire totale. Des joueurs malveillants peuvent également acheter de l’espace, mais cela ne peut pas être totalement exclu. L’annonce en question a désormais été signalée à Google et bloquée.
Ne devrions-nous pas tenir ces géants pour responsables de cela ? C’est exactement ce que Steve Wozniak, co-fondateur d’Apple, a essayé il y a quelque temps. Il s’est adressé au tribunal en Californie en raison de publicités cryptographiques sur YouTube qui abusaient de son image, mais il a été rejeté. Selon le juge, YouTube ne peut être blâmé.
Il est donc crucial de continuer à sensibiliser la population, estime Tinel. « Nous sommes parfois surpris du nombre de personnes qui interagissent avec les e-mails de phishing les plus simples. C’est également le cas des fausses publicités. Analyser minutieusement le nom de domaine pour détecter des modifications mineures de l’orthographe est très utile. Mais la règle d’or demeure : si c’est trop beau pour être vrai, alors ce n’est pas vrai. »