Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Mobiles, Internet : la grosse arnaque des abonnements cachés

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Mobiles, Internet : la grosse arnaque des abonnements cachés

BYOD

Ils sont des centaines, dans les forums spécialisés et ceux des opérateurs internet et mobiles, à s’en plaindre : leur facture de téléphone mobile ou d’internet affiche des prélèvements de plusieurs euros par semaine pour un service auquel ils n’auraient jamais souscrit.

Téléchargement de sonneries de téléphone, de fonds d’écran, de petits jeux ou de musique… les contenus proposés par ces services ne présentent qu’une faible valeur ajoutée. Mais leur facturation, elle, peut s’envoler rapidement : de 3 à 5 euros par semaine le plus souvent. Et cela peut durer plusieurs mois avant que l’abonné ne s’en rende compte, surtout s’il ne surveille pas sa facture de très près ou s’il a régulièrement des dépassements de forfait légitimes (voyages à l’étranger, par exemple).

Au total, ce sont des sommes rondelettes qui sont ainsi prélevées chaque mois via les opérateurs de téléphonie mobile et les fournisseurs d’accès à Internet, pour des services dont les abonnés ignorent généralement jusqu’à leur existence.

Tout ces services ont un point commun : leur facturation passe par le procédé Internet+ (ou SMS+) proposé par les opérateurs mobiles et les fournisseurs d’accès Internet. Ces services permettent de procéder à des achats en ligne depuis son téléphone ou son ordinateur, et d’être débité directement sur sa facture mensuelle, sans avoir besoin de s’identifier (c’est l’opérateur qui reconnaît son utilisateur)

Sur le papier, les éditeurs des services concernés ont signé depuis le mois dernier une charte de bonne conduite les contraignant, notamment, à un devoir de loyauté vis-à-vis de leurs clients : « L’utilisateur ne devra en aucune manière être induit en erreur sur le contenu, les tarifs, les possibilités ou les modalités de délivrance du Service proposé » , précise notamment le document.

En outre, l’acte d’achat est censé s’opérer en deux temps, avec une validation du consommateur, soit par réponse à un SMS soit en cliquant sur un message de confirmation à l’écran.

Et pourtant, une recherche sur Google avec les noms de services répandus tels que « KKO Store » ou « Blinkogold » révèle une toute autre réalité : des centaines de messages d’internautes surpris de découvrir qu’ils sont abonnés à ces services depuis plusieurs mois alors qu’ils n’en connaissent pas même l’existence, et outrés de constater des prélèvements hebdomadaires réguliers pour un total, parfois, de plusieurs centaines d’euros. D’autres, encore, accusent leur opérateur de complicité dans ce qu’ils considèrent comme une escroquerie. Et tous, en tout cas, demeurent perplexes face aux méandres des procédures de désabonnement de ces services (quand elles fonctionnent…).

Alors, à qui la faute ? Un peu à tout le monde, en fait, tant chaque partie prenante peut avoir sa part de responsabilité. Mais c’est en définitive surtout la faute à un système volontairement opaque qui semble conçu pour abuser de la naïveté ou de l’inattention des utilisateurs.

Il y a en effet trois acteurs dans un achat réalisé via Internet+ :

  • L’utilisateur
  • L’éditeur du service
  • Le fournisseur d’accès (ou opérateur de téléphonie mobile)

… et chacun peut porter sa part de responsabilité.

L’utilisateur, d’abord. Nombreux sont les internautes qui ne prennent pas la peine de lire les petits caractères. Tout à sa volonté de télécharger sa sonnerie ou son jeu, l’utilisateur (et notamment les plus jeunes) ne réalise pas toujours qu’il s’abonne à un service hebdomadaire payant. Après tout, il n’a fait que cliquer sur « Confirmer » , ou entrer un code reçu par SMS… La simplicité de la méthode de paiement constitue, dans ce cas, le piège.

Mais à n’en pas douter, de nombreux internautes ulcérés sont de bonne foi lorsqu’ils disent ne jamais s’être abonnés au service en question. Mais verrouillent-ils leur tablette ou leur smartphone avec un code PIN ? Ou bien est-ce que leurs enfants peuvent les utiliser librement à la maison ? Car ce sont bien souvent les ados de la famille qui sont responsables de ce type d’abonnement. A l’insu de leurs parents qui, eux, paient évidemment la facture !

L’éditeur du service. C’est évidemment ici que l’on trouve les abus les plus flagrants. Les témoignages des victimes regorgent d’exemple d’abonnements « gratuits » facturés 3,99€ par semaine, de pages web habilement complexes afin de déguiser le message de confirmation de l’achat, et globalement de parcours volontairement obscurs afin de dissuader les abonnés accidentels tentés de résilier leur abonnement.

Preuve de l’habilité des éditeurs à forcer les abonnements par mégarde : la quantité phénoménale de plaintes sur Internet venant d’utilisateurs qui tombent des nues en découvrant qu’ils sont abonnés à tel ou tel service qui leur débite plusieurs dizaine d’euros par mois. Si l’on enlève ceux dont l’abonnement est l’oeuvre de leur enfant, et si l’on exclue la possibilité d’un abonnement automatique sans aucune intervention de l’utilisateur (ce que les opérateurs nient catégoriquement), il reste alors un nombre très élevé d’internautes qui ont donc manifestement cliqué et confirmé leur achat sur une page web sans s’en rendre compte. Tous ne sont peut être pas très brillants, mais statistiquement cela penche plutôt pour une action volontaire des éditeurs de ces services pour induire les internautes en erreur.

Exemple de tactique mise en oeuvre par les éditeurs : nous avons reçu un SMS publicitaire nous enjoignant à télécharger une application de « scanner déshabillant » (si seulement !). Le texte est formulé comme si nous venions d’acheter l’application et qu’elle n’attendait que d’être téléchargée. Mais il s’agit en réalité d’un lien menant vers la page d’abonnement au service de téléchargement. En cliquant sur « confirmer » pour récupérer cette application jamais demandée, nous aurions également validé l’abonnement à 3,99€ / semaine.

Sur les forums, face à la fronde des utilisateurs, des représentants des services clients de certains de ces éditeurs tentent bien de fournir les instructions pour se désabonner, mais elles sont généralement longues, copiées-collées d’un bloc de texte peu lisible, et souvent peu compréhensibles (« Les onglets sont en bas de la page » , passage obligatoire par une enquête de satisfaction, etc…).

Les choses pourraient toutefois évoluer : les éditeurs de services sont engagés, via la charte Internet+ signée en octobre dernier, à alimenter un intranet où ils doivent stipuler clairement les adresses des pages de désabonnement, qui seront ensuite présentées au public sur le site http://www.infoconso-multimedia.fr (voir plus bas). Le procédé devrait mis en oeuvre ce mois-ci.

L’opérateur Internet ou de téléphonie mobile. Du côté des opérateurs on qualifie les éditeurs des services mis en cause de « partenaires » , et l’on prend bien soin d’indiquer que l’on n’a rien à voir avec « ça » . L’opérateur se contente en effet d’identifier son abonné au moment de l’acte d’achat et de répercuter le coût du service sur sa facture (pour, ensuite, en reverser une partie à l’éditeur). Mais de part ce reversement partiel, les opérateurs n’ont finalement pas tant « rien à voir avec ça » puisqu’ils perçoivent une commission sur les abonnements et les achats réalisés via Internet+ ou SMS+

Le principal reproche fait aux opérateurs est d’activer par défaut le mode de paiement Internet+ pour tous leurs clients sans les en informer. Pire : non seulement ce système de paiement est actif par défaut, mais aucun contrôle n’est demandé par l’opérateur au moment de l’achat (ce qui, disent-il, fait partie du concept puisqu’il faut pouvoir payer le plus simplement possible). Certains d’entre eux exigent toutefois une authentification au delà de 10€ d’achat (ce qui ne couvre pas la vaste majorité des abonnements frauduleux, qui vont de 3 à 5 € par semaine), ou seulement au moment du premier achat.

En outre les opérateurs refusent systématiquement de rembourser les montants prélevés, en arguant qu’il s’agit d’une affaire privée entre l’utilisateur et l’éditeur du service, et qu’ils ne sont qu’intermédiaire. Les internautes qui sont parvenus à se faire rembourser sont généralement passés par la case dépôt de plainte contre X (ce qui force l’éditeur du service et l’opérateur à apporter la preuve que c’est bien l’abonné qui a souscrit) ou ont contacté la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes (DGCCRF).

Comment se protéger ?

Deux étapes:  surveiller ses factures régulièrement et se connecter dans son espace personnel sur le site de l’opérateur.

Les opérateurs proposent tous en effet, dans l’espace client sur leur site web (ou sur leur portail WAP pour les mobiles), d’une section « services et abonnement » . La dénomination peut changer d’un opérateur à l’autre mais le principe est le même : en fouillant dans l’espace client on doit y trouver une liste des services et autres abonnements payants auxquels l’on a souscrit ( chez Bouygues Telecom il s’agit par exemple du menu « mes achats internet + » dans le menu « suivi conso & factures / achats et paiement » ). Il est alors possible de les résilier directement depuis l’opérateur, ce qui constitue une méthode largement plus simple que de passer par le site de l’éditeur du service (qui, en définitive, renvoie chez l’opérateur, mais parfois après avoir complexifié la procédure pour essayer de décourager les moins adroits).

En outre les opérateurs proposent a priori une option à activer afin d’interdire les achats par Internet + ou SMS+. Chez Bouygues nous n’avons pas pu interdire totalement les achats via ce procédé, mais il a été possible d’activer le « contrôle parental » , qui force la demande des identifiants de connexion au moment de l’achat. Là aussi, c’est dans l’espace personnel, sur le site de l’opérateur, que ça se passe.

Enfin, un site permet d’y voir plus clair et propose des méthodes pas-à-pas afin de guider les internautes vers la bonne rubrique de leur espace client en fonction de leur opérateur. N’hésitez pas à vous y rendre, c’est encore ce qu’il y a de plus clair ! Il s’agit de http://www.infoconso-multimedia.fr, édité par l’Association Française du Multimédia Mobile (AFMM).


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Outils gratuits

SSL Labs

SSL Labs

Testez votre implémentation de SSL.

Freescan

FreeScan

Scannez votre réseau pour détecter les vulnérabilités et les malwares.

BrowserCheck

BrowserCheck Business Edition

Evaluez la sécurité des navigateurs au sein de votre entreprise.

Malware Detection

Malware Detection

Scannez vos sites web pour détecter les malwares et les menaces web

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.