Enquête
High-tech

Cagnottes vidées, cartes bancaires détournées... sur Vinted, des utilisateurs victimes d’une arnaque d’ampleur

INFO LE PARISIEN. De nombreux utilisateurs du site de vente de vêtements de seconde main dénoncent un piratage massif de leurs comptes. Leurs porte-monnaie électroniques sont méthodiquement siphonnés. Vinted, qui reconnaît la fraude, évoque une indemnisation.

Par Elie Julien 
Le 23 mars 2023 à 19h47, modifié le 24 mars 2023 à 13h34

    C’est un site qui est utilisé par plus d’un Français sur trois. La plateforme de vente de vêtements de seconde main Vinted revendique 23 millions d’usagers. Des transactions chaque seconde et un chiffre d’affaires, gardé secret, mais au-delà du milliard d’euros dès 2019. Cette manne financière a visiblement aiguisé l’appétit de cybercriminels. Des pirates en ligne ont pillé les comptes de centaines (au moins) d’utilisateurs depuis quelques jours et les témoignages de victimes se multiplient.

    Rien que sur le forum de la plateforme de vente de vêtements de seconde main, des centaines de messages évoquaient une arnaque ces dernières heures. Et appellent le site à l’aide. « Je viens de constater que mon porte-monnaie Vinted était vide alors que j’avais 160 euros dessus », s’attriste une utilisatrice. « Ils m’ont piraté presque 800 euros, que puis-je faire ? », demande Maéva. « Les 52 euros que j’avais sur mon compte ont été virés sur le compte du fraudeur… C’est une somme dérisoire par rapport à certaines victimes quand je vois les commentaires… Mais beaucoup pour moi », s’émeut aussi Camille.

    Le préjudice pourrait en effet être énorme. Marianne Leleu, employée de Vinted pendant huit ans, notamment en charge des piratages, a vu les témoignages exploser sur le compte Instagram qu’elle anime « Les pépites de Vinted » et où elle est suivie par 88 500 personnes. « Mardi, j’avais déjà reçu une petite dizaine d’alertes. Le lendemain matin, j’avais eu 200 messages en une nuit… Ce mode opératoire existait mais il n’était pas aussi massif. Depuis deux jours c’est carrément un réseau qui s’est organisé, avec des victimes en Espagne et en Italie », s’inquiète celle qui a alerté sa communauté.

    De l’argent viré en Allemagne, en Irlande ou au Luxembourg

    Quel est le procédé ? Les usagers reçoivent un SMS ou un appel téléphonique mentionnant un code à quatre chiffres nécessaire au changement de leurs coordonnées sur Vinted. « Un SMS que j’ai effacé tant on en reçoit des faux. Puis j’ai eu un appel, j’ai répondu, c’était une boîte vocale m’annonçant la même chose. J’ai raccroché, comme tous les appels de pub que l’on a », nous explique Vanessa, secrétaire médicale d’Aix-en-Provence qui se fera siphonner les 203 euros de son portefeuille.

    Puis, certaines des victimes sont destinataires d’un mail leur annonçant le changement de leurs coordonnées. Il est alors trop tard, car les cybercriminels ont déjà pris le contrôle de leur compte et récupéré le fruit de leurs ventes.

    Le changement de mot de passe ou de nom n’est toutefois pas systématique. « On a des témoignages de victimes qui n’ont rien pu voir, pour lesquelles les criminels ont juste changé le RIB et attendu patiemment le virement fait par les utilisateurs », rapporte Marianne Leleu. Selon nos constatations, aucun code de confirmation n’est requis pour transférer les fonds vers un compte extérieur.

    Capture d'écran d'un mail de piratage Vinted.
    Capture d'écran d'un mail de piratage Vinted.

    Pire encore, pour tenter d’empêcher les victimes de réagir en changeant le mot de passe piraté et en supprimant le RIB des malfrats quand c’est possible, certains voleurs vont jusqu’à publier des contenus pornographiques sur le compte, pour que ce dernier soit automatiquement bloqué une fois l’argent détourné…

    « Nous avons récemment bloqué l’accès aux comptes de plusieurs de nos membres, en raison d’un incident au cours duquel un accès frauduleux à ces comptes a été constaté », reconnaît ce jeudi soir la plateforme Vinted, auprès du Parisien.

    Des données obtenues hors de la plateforme ?

    Le site, qui dit être « déjà en lien avec les membres concernés afin de les accompagner pour rétablir l’accès à leurs comptes », assure que « les informations de connexion utilisées (identifiants, mots de passe, …) ont été obtenues à partir de données consultées ailleurs en dehors de la plateforme et non liées à Vinted ». En clair, les voleurs auraient récupéré ces données lors d’un précédent piratage sur Internet et utilisé la combinaison adresse mail et mot de passe dérobée alors, pour se connecter aux comptes à dépouiller sur la plateforme de seconde main.

    Ces comptes piratés ne semblent en effet pas choisis au hasard. « On remarque qu’ils font du repérage et agissent en fonction des sommes disponibles sur les portefeuilles. Ils semblent avoir accès au pseudo et accès à l’argent disponible, mais l’arnaque leur prend du temps donc ils ne se concentrent pas sur les petits comptes », poursuit Marianne Leleu qui redoute « des as du code ».

    « Je venais de vendre un sac de marque pour 530 euros »

    Preuve, s’il en manquait, de la connaissance, par les pirates, des procédures internes pour forcer la fermeture d’un compte. « Le mien est bloqué depuis ce jeudi. Je ne me sens plus en sécurité sur Vinted. Je venais de vendre un sac de marque pour 530 euros que j’avais laissé sur mon portefeuille électronique. J’ai aussi fait opposition à ma carte bancaire », s’attriste Leyla, 35 ans, cheffe de projet en finance.

    Capture d'écran d'un mail d'utilisateur de Vinted ayant été piraté.
    Capture d'écran d'un mail d'utilisateur de Vinted ayant été piraté.

    Selon les captures d’écran que des victimes ont pu nous fournir, où l’on peut voir les premières lettres et chiffres du compte, l’argent a été viré en Allemagne, au Luxembourg ou encore en Irlande. Avant, probablement, d’être renvoyé de compte en compte afin de devenir intraçable pour les enquêteurs. Encore faut-il que les victimes se signalent. Ce qui semble compliqué pour les internautes contactées, qui déplorent l’absence d’éléments de preuve. « Difficile de porter plainte, je n’ai rien de concret à donner aux policiers », regrette Vanessa.

    Ces insatiables et chevronnés cybercriminels ne se contentent d’ailleurs pas de vider les cagnottes Vinted des victimes. Certains vont jusqu’à réussir à utiliser les cartes bancaires enregistrées sur le compte des clients pour réaliser des achats, lorsque leur sécurité est défectueuse. « J’ai prévenu toutes mes amies, elles ont retiré leur carte bancaire et vidé leurs cagnottes », nous assure Aurélie, 42 ans, autoentrepreneur en Seine-et-Marne, qui a aussi vu sa cagnotte liquidée.

    Un vent de panique, qui mènerait à un retrait massif des cagnottes par les usagers, menace d’ailleurs l’entreprise lituanienne. En plus de bloquer tous les comptes aux signalements suspects, elle affiche désormais un message particulier lorsque ses clients tentent de retirer leurs fonds : « Il se peut que les transferts vers un compte bancaire prennent plus de temps que d’habitude. Nous sommes désolés pour ce désagrément ». Auprès du Parisien, Vinted évoque d’ores et déjà une indemnisation pour les victimes, « en cas d’argent perdu sur leur porte-monnaie ».

    Dans la rubrique
    High-tech
    Les plus lus
    Elle était sortie « dans un magasin sans abaya » : une militante saoudienne des droits des femmes condamnée à onze ans de prison
    1
    Paris : une femme agressée sexuellement dans le train à la gare de Lyon
    2
    Un lycéen passé à tabac à Paris, ses agresseurs lui auraient reproché sa relation avec une jeune fille
    3
    « Au secours, il va me violer ! » : un « crackeux » arrêté à Paris alors qu’il déshabillait sa victime
    4
    Paris : un homme armé d’un hachoir neutralisé de quatre balles par des agents de la Sûreté ferroviaire
    5
      High-tech
      L'application Apple News a disparu de nombreux Iphone depuis jeudi. AFP/LOIC VENANCE
      IPhone : le widget « Apple News » a disparu de nombreux smartphones
      Cette cyberattaque contre le SPD a été attribuée au groupe Le groupe APT28 soutenu par Moscou. (Illustration) ICONSPORT/Sina Schuldt
      Ce que l’on sait des cyberattaques russes qui ont touché l’Allemagne et la République tchèque
      Apple compte sur l'arrivée de ses Ipad et ses annonces sur l'intelligence artificielle pour retrouver le chemin de la croissance. REUTERS/Mike Blake
      Avant un retour à la croissance, Apple voit son chiffre d’affaires baisser
      Illustration. L'établissement de santé public n'a pas cédé au chantage des hackers russophones. Hans Lucas/AFP
      Cannes : les hackers ressuscités de Lockbit diffusent les données internes de l’hôpital piraté
      La plate-forme britannique pourrait se voir infliger une amende de plusieurs dizaines de millions d'euros. Reuters/ Andrew Kelly
      Pourquoi OnlyFans, plate-forme qui héberge du contenu pornographique, est dans le viseur des autorités ?
      Racha Soubra et Aly Chkeir, enseignants-chercheurs en biomédical à l'Université de Technologie de Troyes, sont sur le point d’accomplir une grande avancée dans la détection précoce de la maladie de Parkinson. LP/Jonathan Sottas
      Intelligence artificielle : des chercheurs troyens ouvrent la voie à une détection anticipée de la maladie de Parkinson
      Le ministre ukrainien des Affaires étrangères a créé un avatar grâce à l'intelligence artificielle, chargé de communiquer sur les informations consulaires. Capture d'écran YouTube / Ministère ukrainien des Affaires étrangères
      « Je suis une personne numérique » : l’Ukraine présente une nouvelle porte-parole, générée par l’intelligence artificielle
      Si les parents sont conscients du danger que représentent les tablettes, téléphones portables et autres écrans... notamment pour les jeunes enfants, ils avouent aussi qu'il est souvent difficile de les leur interdire. (Illustration) LP/ Jean-Baptiste Quentin
      Enfants et écrans : « C’est parfois dur de résister », les parents entre prise de conscience et résignation