[Enquête Numerama] De nombreux sites bien référencés sur Google réussissent à faire payer des internautes beaucoup trop cher pour remplir une demande de formulaire d'autorisation de voyage vers les États-Unis, qui ne coûte que 12 euros. Et collectent au passage toutes les données des internautes piégés. Voici comment ces arnaques fonctionnent.

Si vous avez déjà prévu un voyage aux États-Unis, vous devez être au courant : vous ne pourrez pas pénétrer sur le territoire américain sans un ESTA en règle. Cette autorisation s’obtient en remplissant un formulaire en ligne et en déboursant 12 euros.

Pourtant, chaque année, de nombreux Françaises et Français déboursent beaucoup plus d’argent pour obtenir le précieux sésame, en passant par de faux sites non officiels qui surfacturent cette prestation. Voici comment cette pratique fonctionne.

Un seul site officiel et des dizaines de faux

L’ESTA (Electronic System for Travel Authorization) est une autorisation de voyage de moins de 90 jours pour les États-Unis, que l’on obtient en remplissant un formulaire avec des informations personnelles. Cette autorisation est valable deux ans ou jusqu’à expiration du passeport du voyageur ou de la voyageuse.

Depuis 2010, la demande d’ESTA est payante : elle coûte 14 dollars (12 euros). Pour l’obtenir, il faut se rendre sur un seul site officiel, celui du département américain de la sécurité du territoire à cette adresse.

Le processus pourrait être simple et bouclé en une dizaine de minutes. Mais il y a un hic : il faut déjà réussir à atteindre le fameux site officiel. Or, grâce à un bon référencement (parfois en payant), de nombreux sites tiers qui n’ont rien à voir avec le fameux sésame ont réussi à monopoliser le top des recherches Google afin de profiter de la méconnaissance des internautes insouciants… Et se faire beaucoup d’argent.

Capture d’écran d’une recherche en navigation cachée pour « ESTA » // Source : Google

79,90 euros pour un ESTA et… un PDF

Le site france-esta.fr est l’un des leaders en la matière. Lorsqu’on clique sur l’URL, on atterrit sur un site très complet qui propose de faire une « Demande ESTA en ligne simple et rapide », et demande de remplir directement toutes vos données personnelles (nom, ville de naissance, adresse, emails, numéro de passeport, adresse de votre contact aux États-Unis et même… compte sur les réseaux sociaux, bien que « facultatif »).

Mais france-esta.fr n’est pas affilié au site du gouvernement américain. Si un internaute peu attentif passe par le site pour ses démarches, il sera facturé 79,90 euros, soit 6,5 fois plus que le coût véritable du processus. Numerama a pu se procurer l’email de confirmation de paiement qu’un internaute malheureux qui a eu recours aux services du site en 2018 a reçu, après avoir déboursé la somme de 79,90 euros.

Capture d’écran d’un mail de confirmation de paiement de france-esta.fr // Source : MT pour Numerama

En échange, l’entreprise derrière france-esta.fr s’est chargée de remplir elle-même le formulaire à 12 euros du gouvernement américain — nul ne sait si le remplissage est effectué à la main ou via un algorithme qui le ferait automatiquement pour elle —, et a renvoyé en échange un « guide PDF sur les USA ». Le guide PDF en question n’est qu’une sorte de guide de 15 pages… qui liste les choses importantes à savoir sur le formulaire ESTA.

« Je reconnais que je perdrai mon droit de rétractation du contrat »

Nous avons fait le test : en quelques clics et en remplissant de fausses coordonnées, on constate que l’entreprise demande bien 79,90 euros. Pour se prémunir de toute attaque judiciaire, le site demande, avant le paiement, de cocher une case qui indique : « Je demande par la présente l’exécution immédiate du contrat de service et je reconnais que je perdrai mon droit de rétractation du contrat une fois que le contrat de service aura été pleinement exécuté.  »  En somme : si vous payez, vous ne pourrez pas revenir en arrière, même si vous découvrez le pot aux roses.

Capture d’écran de la phase de paiement sur le site france-esta.fr

Qui se cache derrière le fameux site ?  Le nom de domaine france-esta.fr a été déposé de manière anonyme : dans les registres publics, l’identité de son propriétaire est Ano Nymous. Pourtant, Numerama s’est procuré des documents qui montrent que derrière le site france-esta.fr se cache une entreprise appelée DevAndSeo, fondée par un français, Franck de Védrines. Cet entrepreneur a notamment cofondé un site de personnalisation de t-shirts qui a obtenu plusieurs articles dans la presse économique. Il n’en est plus à la tête depuis 2017.

« Mon prix est mentionné un peu partout, l’internaute ne peut pas ne pas être au courant de notre tarif », nous explique-t-il, contacté par Numerama via Facebook. Il confirme être le gérant de la société  DevAndSeo et parle bien de « [son] site ». Il souligne : « Je comprends les critiques, mais je comprends surtout que que vous vous intéressez à moi car je suis le seul (je vous défie de trouver un autre site) à être dans la légalité en affichant clairement le tarif à plusieurs reprises, à envoyer un SMS avant paiement pour confirmer ce montant, en affichant les conditions, le fait qu’on ne soit pas sur le site officiel, en proposant un formulaire de remboursement automatique. » 

Il affirme même « avoir travaillé conjointement avec la DGCCRF (la répression des fraudes, ndlr) pour mettre [son] site en conformité. »

Capture d’écran Linkedin // Source : Linkedin

Une recherche plus approfondie montre que la société DevAndSeo est reliée à plusieurs sites de ce genre en rapport avec l’ESTA, mais aussi d’autres sites en rapport avec des jeux de hasard.

Recherche des sites en lien avec la société DevAndSeo // Source : SpyOnWeb

Entre 500 et 5000 euros de recettes mensuelles

Combien l’entreprise gagne-t-elle chaque année grâce à ces sites qui profitent de la méconnaissance des internautes ? Au fil de notre enquête, nous avons recueilli de nombreux témoignages d’internautes qui disent s’être « fait avoir », même en 2018.

Franck de Védrines affirme qu’entre « 10 et 100 internautes par mois passent par [son] site pour réaliser leur demande d’ESTA. » Cette (large) fourchette équivaut donc à des gains entre 500 et 5000 euros de recettes mensuelles (en retirant les frais de TVA), rien que pour un site.

Des dizaines de sites malveillants

L’entreprise DEVANDSEO n’est pas la seule à se faire de l’argent facile grâce à cette tactique qui, si elle n’est pas illégale, est clairement malhonnête.

La pratique est en fait courante : le site esta.fr, par exemple, facture sa prestation 74 dollars (63 euros). Ce n’est que dans les (minuscules) caractères tout en bas de son site que l’entreprise précise : «  Nous chargeons une tarification de 74 $ pour nos services y compris tout frais gouvernemental. Néanmoins, vous pouvez utiliser le site internet du gouvernement des états unis (CBP.GOV) pour une opération moins coûteuse. » Le nom de domaine du site a été enregistré en 2013 et domicilié à Chypre.

Capture d’écran du site esta.fr

De son côté, le site esta-formulaire.us annonce prendre 72 dollars (61 euros) pour le même genre de prestation, de manière un peu plus visible sur son site.

Capture d’écran du site esta-formulaire.us

Le site esta-officiel.fr prend quant à lui 65 euros. À aucun moment le site ne prévient qu’il n’est pas affilié au gouvernement américain. Le mot « officiel » dans l’url a même clairement vocation à se faire passer pour la solution administrative authentique.

Capture d’écran du site esta-officiel.fr

Quid des données personnelles ?

Au-delà des sommes engrangées par ces nombreux sites internet, une autre question importante se pose, à l’heure de la protection des données individuelles : qu’advient-il des données personnelles que récupèrent ces sites ?

Si un internaute passe par exemple par le formulaire de france-esta.fr, toutes ses données sont collectées par le site, qui les transfère ensuite au site officiel. L’entreprise DevAndSeo — et toutes les autres derrière ce type de site — dispose ainsi d’une masse énorme de données sensibles. Et personne ne sait ce qu’elle en fait.

Contactée par Numerama, la CNIL (Commission nationale de l’informatique et des libertés), nous explique que si ces sites ne sont pas dans l’illégalité, la seule loi à laquelle ils doivent se plier est le RGPD en matière de collecte et stockage des données. S’ils respectent le nouveau règlement européen, il est donc possible, paradoxalement, que cette collecte soit légale, car les internautes leurs donnent délibérément leurs informations. À ce jour, il n’y a pas d’enquête en cours quant à la conformité de ces sites au RGPD.

Capture d’écran de la phase de paiement sur le site france-esta.fr

Est-il possible de lutter contre ces sites malveillants ?

En France, il y a eu au moins 110 000 recherches avec le mot « Esta » sur Google rien qu’au mois de juillet 2018. Peut-on lutter contre l’existence, ou le référencement, de ces sites malveillants ?

Nombre de requêtes avec le mot « Esta » sur un an sur Google en France // Source : Keywordtool

Contactée par Numerama, la Direction de l’information légale et administrative, qui dépend des services du Premier ministre, confirme être au courant de l’existence de ces pratiques, mais pas de mesures prises à leur encontre. De son côté, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) nous a pour l’instant renvoyés vers des mesures de prévention mises en place pour alerter les internautes sur l’existence de ces faux sites.

ESTA, encombrants, loterie…

En mai dernier, nous avions révélé l’existence d’une tactique similaire concernant un faux site qui essaie de faire payer 19,90 euros pour un service de désencombrement que la ville de Paris propose gratuitement. La même combine est également utilisée par des sites qui prétendent aider à faire sa carte grise ou aider à s’inscrire à la loterie de la green card américaine et gagnent ainsi des centaines d’euros sans rien faire.

Ces sites n’étant pas techniquement illégaux — ils font tous mention du coût de l’opération dans les petits caractères —, Google n’aurait pas d’obligation légale de les désindexer. D’autant plus qu’une partie de ces sites paient de la publicité à Google pour figurer en tête des recherches.

Mais ils jouent manifestement sur la méconnaissance des internautes et profitent de leur manque d’information à ce sujet pour gagner beaucoup d’argent facilement, et collecter un grand nombre de données personnelles dont on ne sait pas comment elles sont conservées, ni comment elles sont utilisées. À notre connaissance, la seule action que peuvent faire les internautes est de signaler les sites internet en question sur la page « Signaler du spam, des liens payants ou des logiciels malveillants » de Google, et notamment dans la case « phishing ».

Ndlr : Nous avons choisi de ne pas mettre de liens vers les sites malhonnêtes cités dans l’article pour ne pas améliorer leur référencement.

Mise à jour du 31 août 2018 avec ajout des propos de Franck de Védrines.

Partager sur les réseaux sociaux