Des victimes de violations de données personnelles se retrouvent ciblées par de faux e-mails d'aide, de soi-disant associations de protection. La CNIL alerte sur cette nouvelle campagne frauduleuse et appelle à la plus grande vigilance chez les utilisateurs.

La CNIL tire la sonnette d'alarme face aux faux organismes de protection des données qui arnaquent les victimes. © janews / Shutterstock
La CNIL tire la sonnette d'alarme face aux faux organismes de protection des données qui arnaquent les victimes. © janews / Shutterstock

Parce que les pirates sont les rois du cynisme, des victimes de violations de données reçoivent ces jours-ci des e-mails d'organismes inconnus qui se présentent sous des noms d'associations de protection des données personnelles. Ces messages, parfois enrichis des vraies coordonnées des destinataires, comme un nom, une adresse et un IBAN, promettent d'intervenir pour faire supprimer les données exposées en ligne. La CNIL, dont le numéro de téléphone est même usurpé dans certains de ces messages, rappelle aujourd'hui qu'elle n'est à l'origine d'aucune de ces démarches, et incite chacun à la vigilance.

Quand les escrocs se font passer pour des défenseurs de vos données personnelles

Des expéditeurs malveillants ont donc créé de toutes pièces de faux organismes, aux noms volontairement rassurants, comme « Ligue de défense des données personnelles », « Ligue de protection des données personnelles » ou encore « Association de protection des données personnelles », pour envoyer des e-mails piégés à leurs cibles. Ces structures n'existent pas. Elles ont été inventées pour inspirer confiance. Dans chaque message, ils promettent d'agir à votre place auprès des sites et plateformes en ligne sur lesquels vos données circulent, afin d'en obtenir la suppression. Un service qui paraît légitime et même utile, sauf qu'il n'en est rien.

Ces arnaques ont hélas un vrai potentiel d'efficacité. Car les messages peuvent contenir de vraies données personnelles (nom, prénom, e-mail évidemment, adresse postale, voire IBAN, des données issues de bases de données dérobées lors des innombrables fuites subies en France ces derniers mois et années. Alors forcément, en recevant un email qui semble tout savoir d'elles, les victimes, déjà fragilisées par la fuite initiale, ont hélas toutes les raisons d'y croire.

Les escrocs poussent la mise en scène encore plus loin, puisque certains messages mentionnent même le numéro de téléphone officiel de la CNIL, pour se draper d'une légitimité qu'ils n'ont absolument pas. La Commission nationale de l'informatique et des libertés le martèle : elle n'entretient aucun lien avec ces expéditeurs, et aucune de ces démarches n'émane d'elle.

Les locaux de la CNIL. © Yves Malenfer / CNI
Les locaux de la CNIL. © Yves Malenfer / CNI

Les bons réflexes à adopter face aux emails frauduleux après une violation de données

La CNIL conseille à chacun de ne pas répondre à ces messages, de ne cliquer sur aucun lien, et surtout, de ne pas transmettre d'information personnelle supplémentaire, ni aucun justificatif. Des précautions simples, mais qu'il est essentiel de rappeler face à des arnaques aussi bien ficelées.

Si vous pensez avoir été touché par une violation de données, des ressources officielles existent. La CNIL met à disposition ses propres conseils pour se protéger en ligne. Les plateformes cybermalveillance.gouv.fr et servicepublic.gouv.fr font également partie des références recommandées pour accompagner les victimes et signaler les actes frauduleux.

Plus largement, la CNIL appelle à se méfier de tout service qui propose de faire disparaître des données en ligne, quelle que soit son apparence. La règle est simple : si la démarche ne passe pas par une plateforme gouvernementale officielle et vérifiable, la prudence et la méfiance doivent s'imposer.