Alors que la vente des places pour le concert 2024 de Taylor Swift s’ouvre ce mardi 11 juillet, l’heure est à la prudence pour tous les fans ! Si tous sont impatients de s’assurer une place dans les tribunes du Paris La Défense Arena en mai prochain, la compétition pour les places risque d’être féroce, avec pics d’adrénaline et mélanges d’émotions à prévoir.

Un terreau propice aux escroqueries de tous bords. Avec le développement des achats de billets en ligne, les grands évènements, sportifs ou culturels, sont devenus l’un des terrains de jeu favoris des cybercriminels. Conscients de la forte demande, les attaquants ciblent leurs victimes en jouant sur leur corde sensible, et tous les moyens sont bons pour y parvenir — email, SMS, téléphone.

En 2023, les escroqueries aux faux billets par TOAD* (ces attaques qui débutent par un SMS et implorent de rappeler au plus vite un call center pour stopper un colis ou un virement) ont par exemple ciblé les fans de Justin Bieber et The Weeknd, ou encore les utilisateurs de la plateforme Netflix. D’après les recherches de la société de cybersécurité Proofpoint, ces attaques n’ont fait qu’augmenter ; à son point le plus haut, Proofpoint a suivi plus de 600 000 attaques TOAD par jour à travers le monde.

Pour s’en prémunir, Matt Cooke, expert en stratégie cyber chez Proofpoint, partage ses conseils en « musique » :

1. Rappelez-vous bien que, lorsqu’il s’agit de vos données personnelles : You belong with me ! Vos données sont à vous, ne partagez jamais vos informations personnelles ou financières avec quelqu’un que vous ne connaissez pas : numéro de compte bancaire, numéro de carte bleue (et encore moins les trois derniers chiffres au dos !)

2. Vous pensez peut-être que vos Wildest Dreams sont devenus réalité ? Que vous ne rêvez pas, vous venez vraiment de recevoir un lien VIP pour acheter vos billets ? Ne cliquez surtout pas sur ces liens, et n’ouvrez pas les pièces jointes provenant d’expéditeurs inconnus, que ce soit par courriers électroniques, SMS, ou en MP sur les réseaux sociaux.

3. Vous avez donc enfin reçu un « email de confirmation » ! Mais vous n’êtes pas pour autant Out of the Woods ! Ce courrier est-il un vrai ? Faites attention aux fautes d’orthographe, à la grammaire, aux logos à faible résolution, tous ces indicateurs suggèrent qu’un message peut être une arnaque.

4. Soyez conscients que les cybercriminels savent All Too Well que vous serez stressé et impatient à l’idée de ce concert — et ils tenteront d’en profiter. Ne communiquez qu’avec la billetterie compétente et par les canaux officiels de l’entreprise ; rendez-vous directement sur le site web de la billetterie et ne répondez pas directement aux notifications par emails.

5. Si jamais vos données venaient à être volées, ne dites jamais Would’ve, Could’ve, Should’ve (si j’avais su !). Ne partagez pas vos mots de passe, et assurez-vous d’en changer régulièrement. Évitez d’utiliser le même mot de passe sur différentes plateformes et envisagez d’utiliser un gestionnaire pour les sauvegarder en toute sécurité, sans avoir à tous les mémoriser !

6. Enfin, You Need To Calm Down ! Restez calme et ne répondez pas aux sollicitations dans l’urgence ; lorsque vous recevez des appels téléphoniques impromptus ou des offres surprises « immanquable » par emails ou par SMS, soyez prudent, le sentiment d’urgence est souvent le nerf de la cyberguerre.

« La rapidité d’exécution est une considération clé pour les cybercriminels. Les leurres qui font référence à des évènements récents ou à des décisions urgentes peuvent amener les victimes à baisser leurs gardes. Une tournée mondialement attendue comme celle de Taylor Swift est le terrain de chasse idéal pour les cybercriminels, qui profiteront de l’impatience et de la ferveur des fans » résume Matt Cooke, qui ajoute que « Proofpoint en appel à tous les Swifties qui cherchent à acheter des billets cette semaine ; assurez-vous de le faire auprès d’un vendeur agréé et souvenez-vous de nos conseils pour éviter les escroqueries. Les conséquences pourraient aller bien au-delà du prix moyen d’une place de concert. »

* Les TOAD [pour « Telephone Oriented Attack Delivery »] sont des techniques de « vishing » [contraction de « voice » et « phishing »] et signifie en français hameçonnage par la voix. L’attaque commence par l’envoi d’un faux SMS ou d’un courriel frauduleux, dans bien des cas ces messages alertent sur une activité bancaire suspecte, ou sur l’urgence de mettre à jour son compte de santé Améli pour renouveler une Carte Vitale (qui en réalité n’expire jamais).