« Votre solde CPF a expiré. Veuillez remplir le formulaire. Depuis 2020, ce type d’arnaque par SMS inonde les smartphones. Le but du message, le plus souvent, est d’inciter les victimes à utiliser l’argent de leur Compte Personnel de Formation (CPF) pour former des fantômes. Afin de les piéger, les criminels prétendent que l’argent obtenu va disparaître, ou en plus de la formation, ils affichent l’acquisition (une somme d’argent, une tablette…).

Non seulement ces arnaques entraînent des millions d’euros de fraude, mais elles nuisent également à l’image de l’appareil. Le spam incessant, qui se retrouve aussi dans les appels téléphoniques et dans une moindre mesure dans les mails, conduit dans l’imaginaire collectif à un lien direct entre l’arnaque et le CPF.

L’épidémie de Covid à l’origine de la vague d’arnaques

Pour la Caisse des dépôts et consignations (CDC), responsable du dispositif pour le compte du ministère du Travail, de l’Emploi et de l’Intégration, le spam est donc un risque de réputation et un casse-tête. « Si l’ensemble de l’écosystème ne parvient pas à enrayer la fraude, il y a un risque que la crédibilité du système soit ébranlée à terme », admet Laurent Durain, directeur de la formation professionnelle et des compétences à la direction des politiques sociales de la CDC, auprès de La Tribune.

Instauré en 2015 en remplacement du Droit Individuel à la Formation (DIF), le CPF est financé chaque année par la Caisse des dépôts en fonction des heures réalisées par le bénéficiaire. Ce chaton, qui est généré automatiquement, peut ensuite être utilisé par son propriétaire pour l’entraînement. A l’époque, le gouvernement Valls, à l’origine du système, voulait rendre le pouvoir de décision aux salariés afin de gommer les carences du DIF géré par l’entreprise, qui causait toutes sortes de problèmes.

Le CPF, qui s’était très peu mobilisé les cinq premières années, commence à retrouver son public en 2020 avec 984 000 formations suivies, soit le double du nombre de l’année précédente. Ce record a de nouveau été battu en 2021 avec plus de deux millions de personnes inscrites à des formations animées par des formations au permis de conduire et des cours de langues. Ce lancement soudain marque le lancement réussi du site Web et de l’application My Training Account fin 2019, améliorant considérablement l’accès à l’appareil pour les utilisateurs et les organisations de formation. Il vous suffit de vous connecter au site, de créer votre compte puis de soumettre votre demande.

Problème? A peine quatre mois après ce lancement, en mars 2020, le confinement entre en vigueur. En conséquence, les organisations éducatives qui dispensent leurs cours en face à face ferment ou externalisent leurs cours pour les maintenir à distance. Alors que les escroqueries en ligne fleurissent partout sur internet, la Caisse des Dépôts fait face à la première vague de fraudes, créations fantômes ou ratées. Depuis lors, elle s’efforce de résoudre le problème, alimenté en grande partie par les appels à froid.

Qui peut limiter le spam ?

Si les arnaques au CPF connaissent un tel succès, c’est principalement parce que les démarcheurs exploitent une faille flagrante : personne n’est apparemment responsable de la lutte contre les spams par SMS, à commencer par la Caisse des dépôts, usurpée d’identité. « Les spams ne relèvent pas de la responsabilité de la Caisse des dépôts, qui est seule responsable de ce qui se passe au sein de la plateforme Mon Compte Formation. Il est important de clarifier ce point, car toutes les mesures que nous prenons contre l’agitation sont un bonus par rapport à nos obligations », insiste Laurent Durain.

Plus précisément, une organisation a le pouvoir, dans ses conditions d’utilisation, de régir la plate-forme. Il peut se substituer [exclure du site, ndlr] à un organisme de formation frauduleux, bloquer les paiements en cours ou encore demander le remboursement des sommes versées. En revanche, le CDC n’a aucune compétence en dehors de la plateforme et ne peut donc pas interférer avec Internet ou le réseau de téléphonie mobile par lequel transitent les spams.

Doit-on alors contacter les opérateurs téléphoniques ? « Nous n’avons actuellement aucune solution pour limiter les spams », avoue Déborah Caderon, responsable d’Orange Téléphone, à La Tribune. Gratuite, sans publicité et accessible à tous, cette application permet de détecter les sollicitations abusives. Pour cela, il utilise à la fois un système de reporting collaboratif et un algorithme qui détecte les comportements anormaux (1000 appels dans la journée, appels d’une durée d’une seconde…). Ses 900 000 utilisateurs reçoivent en moyenne 13 appels indésirables en 2022, 2 de plus qu’en 2021 et 5 de plus qu’en 2020, notamment en raison de la croissance de l’arnaque CPF. Orange Telephone permet à ses utilisateurs de bloquer ou d’ignorer assez efficacement la plupart des appels de porte à porte, mais cela ne résout pas le problème du flot de SMS frauduleux.

Limiter le spam revient à prendre un risque

« Pour gérer les SMS, vous devez installer une autre application capable de lire les messages. Mais les utilisateurs doivent donner leur accord pour lire », résume Déborah Caderon. Ce faisant, il pointe le principal problème de la lutte contre les SMS indésirables : le moyen le plus simple de les détecter est d’analyser le contenu des messages, ce qui porte atteinte à la vie privée des utilisateurs, strictement encadrée par la loi. Face à ce casse-tête juridique et pratique, sans intérêt financier ni obligation légale, les opérateurs sont pour l’instant prudents malgré la demande des utilisateurs. « Nous y réfléchissons, mais une telle application a des coûts difficilement justifiables pour le moment », ajoute Déborah Caderon.

S’ils ne peuvent pas intervenir en bout de chaîne lors de la réception d’un message, les opérateurs pourraient potentiellement intervenir à la source du problème en bloquant les numéros qui envoient des spams. Mais encore une fois, ce n’est pas simple. « Le client n’a pas à justifier pourquoi il achète un numéro, donc on ne peut pas empêcher les spammeurs de prendre des numéros », rappelle un responsable d’Orange Téléphone.

Bouygues Telecom rappelle toutefois que les numéros affichés par les spammeurs font souvent l’objet de spoofing, c’est-à-dire qu’ils camouflent leur vrai numéro avec un autre en l’imitant. « Nos modes de fonctionnement restent trop limités : si nous blacklistons le numéro, c’est-à-dire l’empêchons de transiter par nos réseaux, l’utilisateur légitime de ce numéro en cas d’usurpation, l’abonné lambda, serait privé de ses services téléphoniques, alors qu’il n’est pas seul à l’origine de cette pratique », précise l’opératrice. Pour ne rien arranger, une partie des appels provient de numéros associés à des opérateurs étrangers, difficilement mobilisables sur les sujets français.

À Lire  Windows 11 : nos meilleurs conseils matériels pour améliorer et optimiser votre système

L’Arcep, l’officier de police des télécommunications, a expliqué à La Tribune que la réglementation des spams n’est pas de sa compétence. Il rappelle simplement l’existence de 33700, une plateforme de signalement de spam créée par Bouygues Telecom, Orange et SFR en 2008 à la demande des pouvoirs publics. Bien que ce service puisse identifier les numéros frauduleux, il ne fait pas grand-chose pour limiter la quantité de spam.

Des sanctions contre les démarcheurs, mais a posteriori

Si ni la CDC ni les opérateurs ne peuvent intervenir, il ne reste que les autorités. Mais encore une fois, ils ont peu d’outils pour limiter la collecte car cela reviendrait à intervenir avant que le crime ne soit commis. « Recevoir un SMS ne peut être que le début du début d’une tentative d’escroquerie », clame La Tribune Thierry Pezennec, ancien patron du Sirasco (Service d’information, de renseignement et d’analyse stratégique sur la criminalité organisée), un service de police judiciaire. . « La police n’intervient qu’après signalement à Tracfin [le service de renseignement chargé de lutter contre l’évasion fiscale et le blanchiment, ndlr] ou dans un petit nombre de cas après de fortes suspicions », ajoute-t-il.

Même son de cloche sur la page de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), contactée par La Tribune. S’il effectue quelques actions en amont, il intervient principalement pour identifier le fraudeur. L’année dernière, le CPF a pourtant inscrit la question de la fraude dans son plan national d’enquête, qui vise à protéger les consommateurs des pratiques commerciales frauduleuses.

Cependant, la marge d’action des autorités est d’autant plus limitée que casser les réseaux de fraude n’est pas toujours aisé. « Il faut trouver les auteurs des messages, ceux qui les envoient, les responsables du blanchiment d’argent… La fraude étant lointaine, les fraudeurs sont souvent à l’étranger et utilisent plusieurs techniques pour brouiller les pistes », résume Thierry Pezennec. . Mais les enjeux sont tels qu’ils justifient les moyens : « les montants des fraudes, pris individuellement, n’ont pas d’importance. Mais cumulés, on parle de dizaines de millions d’euros de dégâts. »

Arrêter le démarchage à la source

Malgré l’impuissance face à l’agitation, il existe encore des moyens de lutter indirectement. Le premier est de réprimer le phénomène à sa source, en empêchant le succès des escroqueries et en sanctionnant ceux qui les commettent. En d’autres termes, réduisez la tentation de tricher en augmentant les risques et en diminuant les récompenses potentielles.

En ce sens, le comité de pilotage anti-fraude du CPF se réunit chaque mois avec des représentants de la Caisse des Dépôts, du ministère du Travail, de la Justice, de la Police ou encore de la DGCCRF. « Fini le sentiment d’impunité », tonne Laurent Durain du CDC. Objectif : Partager l’expertise et les informations pour attraper les escrocs. Cette coalition préfère rester discrète pour ne pas laisser la chance aux fraudeurs de s’échapper, mais les premiers résultats sont déjà visibles en public.

En juin, Le Monde rendait compte du procès du fraudeur devant le tribunal de Saint-Omer (Pas-de-Calais). L’accusée a attiré l’attention des autorités après s’être versée 300 000 euros de dividendes sur deux ans via sa société Happy Form. Elle a vendu des logiciels de formation à la bureautique aux bénéficiaires du CPF pour plusieurs milliers d’euros. En contrepartie, les stagiaires recevaient une simple clé USB (6,90 €) avec un kit de formation, lui-même acheté 193 € à une société spécialisée… Le procureur a requis une amende de 300 000 € (c’est la restitution des sommes perçues ) et trente mois de prison dont six fermes contre le tricheur.

Dans le même temps, la CDC a fortement durci les conditions d’entrée sur sa plateforme pour les établissements d’enseignement, grâce à un nouveau prérequis introduit par les pouvoirs publics à partir du 1er janvier : le certificat Qualiopi. La sortie après révision assure le sérieux du contenu d’apprentissage. Le 1er avril, CDC a suspendu 2 278 organismes de formation de sa plateforme qui ne l’ont pas acquise.

La prévention, le meilleur des remparts

Une autre méthode de contrôle sur laquelle tout le monde s’accorde est la prévention. En d’autres termes, donner des armes aux victimes pour se protéger. S’ils ne tombent pas dans le piège, les escrocs ne gagneront pas d’argent et finiront par passer à d’autres sujets. « Les utilisateurs doivent comprendre que s’ils reçoivent un appel concernant CPF, ils doivent raccrocher », rappelle Laurent Durain. Pour suivre le rythme, le CDC a lancé début juillet une nouvelle campagne de prévention.

La Mission anti-fraude – qui regroupe neuf directions de 5 ministères, dont la DGCCRF et la DCPJ, ainsi que l’AMF, l’Anssi et la Cnil – a publié le même mois la 3e édition de son guide de prévention, consacrant une page entière à Fraude au CPF pour la première fois.

Si le CDC met l’accent sur le rôle des utilisateurs dans la lutte contre la fraude, il ne souhaite pas alourdir les victimes lorsque des erreurs se produisent. « Nous avons un formulaire de signalement. S’il est rempli honnêtement, nous retrouverons les droits. Le but est que les utilisateurs ne soient pas lésés par la perquisition qui les a attrapés », rassure Laurent Durain.

Newsletter – Tech & Médias

Du lundi au vendredi à 13h, suivez les principales actualités de

Inscription à la newsletter Tech & Médias

technologie et médias

Créer un compte

Merci pour votre inscription !

Du lundi au vendredi, les dernières nouvelles de l’industrie

Inbox à 13h

Dernière étape : Confirmez votre inscription dans le mail que vous venez de recevoir.

Inscription à la newsletter Tech & Médias

N’oubliez pas de vérifier vos spams.

A très bientôt sur le site de La Tribune et dans nos newsletters,

Inscription à la newsletter Tech & Médias

Rédaction de La Tribune.

Connexion à mon compte

Dernières nouvelles tous les jeudis

Merci pour votre inscription !

Dans votre boîte aux lettres au 9.

Vous êtes déjà inscrit !

Souhaitez-vous vous inscrire à la newsletter ?

Réinitialisez votre mot de passe

Du lundi au vendredi, les dernières nouvelles de l’industrie

Email envoyé !

Inbox à 13h

je n’ai pas encore de compte