Partager:
De plus en plus de gens se contentent de taper le nom d'une société (un commerce, un restaurant, etc) dans Google afin d'en trouver les coordonnées ou les horaires d'ouverture. Un reflex très pratique (le résultat s'affiche rapidement, sous forme de carte, et il ne faut plus ouvrir de page web spécifique et zoomer pour trouver l'info), mais qui n'est pas sans danger: les données des établissements recensés par Google sont, visiblement, facilement modifiables. C'est le cas actuellement avec de dizaines de commerces – au moins - en Belgique !
Depuis environ deux semaines, une arnaque touche de nombreux commerçants/indépendants en Belgique. A nouveau, elle a lieu en ligne, mais cette-fois, au sein même de Google, qui a pourtant toujours su préserver l'image d'une entreprise maîtrisant parfaitement ses données (jusqu'à détenir ses propres data center, même en Wallonie).
Des individus mal intentionnés ont profité d'une faille dans ce qu'on peut appeler "l'annuaire commercial" (la version en ligne de nos anciens bottins de Pages Jaunes, finalement...) du géant du web. Cette faille permet de modifier assez simplement les données de certains établissements répertoriés automatiquement par Google, et affichés sur les cartes (les fameuses Google Maps).
Le but: détourner (voler?) des clients en indiquant un autre numéro de téléphone. "Et le pire, c'est que la plupart des établissements lésés ne s'en rendront jamais compte, car ils ne font pas attention à leur présence en ligne", nous a expliqué Mathieu, qui travaille dans la création de sites web en région bruxelloise, après avoir contacté la rédaction de RTL info via le
Quel est le service de Google qui est "attaqué" ?
Revenons sur cet 'annuaire'. Depuis sa création en 1998, Google ne cesse d'offrir de nouveaux services aux internautes: moteur de recherche, navigateur, email, messagerie instantanée, agenda, cloud, etc...
Tous gratuits, ils sont financés par la publicité, principale source de revenu de l'entreprise californienne. Mais Google doit diversifier ses revenus publicitaires, car les résultats de recherche sponsorisés sont un peu éculés (qui clique encore dessus?), et parce que les réseaux sociaux (comme Facebook) accaparent de plus en plus d'annonceurs.
Après avoir intégré de la pub dans certaines sections de Gmail, Google a décidé de s'attaquer à Google Maps, son service de cartographie et de navigation. Il veut en faire, entre autres choses, un genre d'annuaire commercial.
Vous avez sûrement déjà remarqué, depuis plusieurs années d'ailleurs, la présence de certains noms d'entreprises sur les cartes. Google veut systématiser la chose et a donc désormais intégré dans les résultats de son moteur de recherche une section "Cartes + annuaire", où les commerces correspondant à vos recherches sont affichés sur la carte des environs.
L'idée est excellente, sur le papier. Et même si Google va y ajouter des "épingles sponsorisées" (des commerces mis en évidence sur la carte dont on vient de parler) pour remplir ses caisses, cet annuaire digital est diablement pratique pour tous ceux qui cherchent un produit ou un service dans les environs.
Mais dans la pratique, vous allez le voir, le géant californien a sans doute été un peu trop vite.
Une liste de restaurants, leur emplacement et leurs coordonnées: l'idée de base de Google
"Suggestion de modification"
Google a une bonne image de marque, grâce au fait qu'il offre (contre de la publicité ciblée) un tas de service en ligne, mais également parce que ses logiciels ont la réputation d'être "ouverts": un fabricant de smartphone peut utiliser et modifier à sa guise Android, le système d'exploitation mobile de Google.
C'est dans cette optique d'ouverture qu'il a fait de son annuaire sur Google Maps un outil participatif. En réalité, la plupart des "établissements" (un indépendant, une société, un magasin, un commerce en général) sont déjà indiqués de manière automatique - Google aurait acheté la base de données des commerces ou professions libérales à Pages d'Or, selon Mathieu, notre témoin, mais il est impossible de vérifier cette information.
La tendance s'inverse heureusement, mais de nombreux "établissements" restent assez anonymes sur Google Maps. Ils ne sont qu'une épingle sur la carte, et lorsqu'on clique dessus, on a juste un nom, une adresse, et une photo de la façade, prise par les voitures qui ont façonné Google Street View.
Google a donc prévu la possibilité de revendiquer l'établissement: le propriétaire reçoit alors un courrier postal à l'adresse indiquée sur Google Maps, pour confirmer son identité. L'outil 'My Business' (voir photo) permet dès lors de gérer gratuitement les informations liées à son activité.
Mais – outil participatif oblige – Google a également prévu la possibilité de "suggérer une modification".
Parmi ces modifications, il y a le nom de l'établissement et le numéro de téléphone, qui nous occupent dans le cadre de cet article. N'importe qui peut signaler un changement de numéro de téléphone ou d'horaire d'ouverture, par exemple.
On en a terminé avec le contexte théorique. Place à l'arnaque dévoilée par Mathieu.
L'outil My Business permettant aux propriétaires de gérer leur présence sur Google
Des dizaines de "Serrure Express" à Bruxelles
Mathieu a découvert l'arnaque "il y a deux semaines" avec son collègue, soit à la mi-mai. "On s'est rendu compte qu'il y avait quelques noms d'établissements et numéros de téléphone qui revenaient très régulièrement".
Exemple: lorsqu'on tape 'serrure express' dans Google, et que l'on regarde les résultats de la section Carte mis en avant, on tombe sur des dizaines d'établissements à Bruxelles qui s'appellent 'Martin Serrure Express' ou 'Collin Serrure Express'. A chaque fois, les mêmes numéros reviennent. "J'en ai répertorié quatre: 0466 90 04 52, 0466 90 03 39, 0466 90 01 30, 078 48 01 92".
On peut reproduire l'expérience avec 'vitrerie' (voir photo ci-dessous), 'plombiers', 'chauffage', etc. "Tous des services de dépannage, ceux qui sont souvent recherchés sur Google".
Des petits malins ont donc réussi à modifier profondément des établissements existant dans la base de données de Google, au point d'en changer le nom, l'activité et le numéro de téléphone.
Un exemple d'établissements "piratés" sur Google
Des robots programmés par les arnaqueurs
Mais comment les arnaqueurs ont-ils réussi à convaincre Google de modifier autant de données (nom et numéro de téléphone) d'établissement en Belgique, et sans doute ailleurs dans le monde ?
Selon Mathieu, passionné du web qui crée des sites depuis ses 14 ans, "c'est assez simple".
"Ce sont des algorithmes au sein de Google qui reçoivent les suggestions de modifications, il n'y a pas de vérification humaine (pas tout-à-fait exact, voir plus bas, NDLR). Donc, si Google reçoit un certain nombre de suggestions de modification identiques, il va finir par les accepter". C'est le principe du web participatif: le public contribue à l'exactitude des données.
Mais cela ouvre la porte à des manipulations massives, comme c'est visiblement le cas actuellement.
Devant l'ampleur du phénomène (on a remarqué des dizaines d'établissements détournés lors de nos recherches), Mathieu estime que les fraudeurs "ont créé des robots pour suggérer les modifications". Quand on parle de robot en informatique, cela signifie que des pirates développent ou utilisent des logiciels sur plusieurs ordinateurs, afin de simuler des requêtes 'humaines'.
Des robots ont donc été programmés pour suggérer des milliers de modifications de noms et de numéros de téléphone d'établissement à Google. Et le moins qu'on puisse dire, c'est qu'ils ont réussi leur coup.
Même les établissements revendiqués
S'il est étonnant que le numéro de téléphone d'un établissement sur Google puisse être modifié si facilement, il est stupéfiant que cela puisse arriver aux établissements revendiqués par leurs propriétaires, qui sont donc reconnus comme tel par Google. C'est le cas de ce chauffagiste qui a témoigné dans la DH puis à la RTBF (voir plus bas).
Pourquoi ? Parce que visiblement, les développeurs de Google ont estimé que les propriétaires n'étaient pas assez précis, ou pas assez assidus pour indiquer les données correctes de leur établissement, ou pour les mettre à jour.
"Même sur les établissements revendiqués, on peut donc suggérer la modification de données, dont le numéro de téléphone" (voir photo ci-dessous, avec l'exemple de RTL Belgium).
Google n'a pas anticipé l'arnaque potentielle, et si des robots suggèrent 100 fois la modification du numéro de téléphone d'un établissement, il va finir par l'accepter, même si ces modifications n'émanent pas du propriétaire reconnu.
Comment peut-on arnaquer en changeant le numéro de téléphone ?
Vous l'avez donc compris, des centaines d'établissements présents dans l'annuaire de Google ont vu leur numéro de téléphone (et parfois leur nom également) modifié.
Mais dans quel but ? Difficile à dire, car à l'heure d'écrire ces lignes, aucun numéro n'a répondu.
Il s'agit d'ailleurs de numéros virtuels. Les 0466 recensés par Mathieu ne sont pas liés à un opérateur belge, ce sont des numéros dits virtuels: vous les appelez au même tarif qu'un numéro de téléphone mobile belge standard, mais les communications sont redirigées n'importe où dans le monde, sur des ordinateurs par exemple. A l'autre bout du fil, cela peut être un francophone basé en Afrique, lieu d'origine de nombreuses arnaques sur internet (envers les francophones, du moins). C'est le principe de la Voice over IP (VoIP), ou pour faire plus simple, de la téléphonie via internet. De nombreuses entreprises proposent ce genre de service, dont les Belges de Voxbone.
Lorsqu'on appelle le 078 mentionné plusieurs fois, on tombe sur un message automatique de l'opérateur Sonatel (Sénégal). A nouveau, il s'agit certainement d'un numéro de téléphone virtuel renvoyant les conversations en Afrique.
Dans le reportage de nos confères de la RTBF, une entreprise de chauffage, qui avait pourtant revendiqué son établissement, a vu son numéro modifié. Un employée a appelé le numéro placé par les arnaqueurs, et est effectivement entré en relation avec des personnes parlant français, qui se faisaient passer pour "une entreprise offrant des services de dépannage et autres". Mais il n'a pas réussi à obtenir une identité ou même une adresse email. Impossible de savoir qui se cachait derrière ce numéro et donc cette arnaque.
Vu qu'en Belgique, on applique le tarif que l'on veut lors d'un dépannage, il n'est pas impossible qu'il s'agissait d'un vol de client: les arnaqueurs se faisaient passer pour des chauffagistes, se déplaçaient sur place, réparaient comme ils pouvaient l'installation et tentaient de se faire payer en cash.
C'est une théorie, mais elle nécessiterait un réseau bien organisé, avec des personnes physiques sur place qui se chargeraient d'aller effectuer des (faux) travaux. Peu probable: la plupart des arnaques sur internet restent sur internet, les fraudeurs essayant de se faire payer par leur victime à l'aide de coupon, de transferts via Western Union, d'argent virtuel, etc...
On ne saura donc jamais le fin fond de l'histoire.
Google reconnait le problème
Mathieu a plusieurs clients concernés, et a donc tenu à faire part de ses découvertes à Google. En tant que webmaster, il est entré en contact avec une avocate, mais les réponses n'ont pas été convaincantes. "Ils m'ont demandé la liste de mes clients touchés par le problème, et ensuite ils ont conseillé de revendiquer l'établissement via l'outil de Google", nous a-t-il confié. Une revendication qui ne suffit pas à éviter les modifications ultérieures des internautes, on vient de le voir.
Nous avons contacté Google pour une réaction. Comme bien souvent avec les géants américains du web, la réponse est très lisse. "La grande majorité des modifications suggérées par les gens ont rendu les données des établissements plus précises et de meilleure qualité", nous a transmis un porte-parole belge.
Google reconnait cependant l'existence de la faille. "Nous travaillons actuellement à la résolution de ce problème, car nous savons que des données authentiques sur Google Maps sont vitales pour beaucoup de propriétaires. Nous prenons ces rapports très au sérieux".
Le géant a précisé qu'il utilisait "une combinaison de vérifications automatisées et humaines pour modérer la pertinence des suggestions de modification" (contrairement à ce que pensait Mathieu, donc), avant "de mettre à jour les données" des établissements.
Ce qui n'explique donc pas comment toutes ces modifications et tous ces numéros de téléphone identiques ont pu échapper à cette double vigilance, et polluer les données de dizaines d'établissements en Belgique.
Bien entendu, Google "encourage les utilisateurs à rapporter les abus constatés", via le lien 'envoyer un commentaire', en bas à droite des cartes (voir photo ci-dessous). Et les propriétaires à revendiquer leurs établissements le plus vite possible afin d'en prendre le contrôle, et de les surveiller par après.
