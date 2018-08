[Enquête Numerama] De nombreux sites bien référencés sur Google réussissent à faire payer des internautes beaucoup trop cher pour remplir une demande de formulaire d'autorisation de voyage vers les États-Unis, qui ne coûte que 12 euros. Et collectent au passage toutes les données des internautes piégés. Voici comment ces arnaques fonctionnent.

Si vous avez déjà prévu un voyage aux États-Unis, vous devez être au courant : vous ne pourrez pas pénétrer sur le territoire américain sans un ESTA en règle. Cette autorisation s’obtient en remplissant un formulaire en ligne et en déboursant 12 euros.

Pourtant, chaque année, de nombreux Françaises et Français déboursent beaucoup plus d’argent pour obtenir le précieux sésame, en passant par de faux sites non officiels qui surfacturent cette prestation. Voici comment cette pratique fonctionne.

Je viens de payer la demande de Visa pour les USA… 160€ pour deux personnes. Avant c'était 14€ / pers. Merci @realDonaldTrump un vrai plaisir. — Gaëlle Garcia Diaz (@GaelleGD) November 12, 2017

Un seul site officiel et des dizaines de faux

L’ESTA (Electronic System for Travel Authorization) est une autorisation de voyage de moins de 90 jours pour les États-Unis, que l’on obtient en remplissant un formulaire avec des informations personnelles. Cette autorisation est valable deux ans ou jusqu’à expiration du passeport du voyageur ou de la voyageuse.

Depuis 2010, la demande d’ESTA est payante : elle coûte 14 dollars (12 euros). Pour l’obtenir, il faut se rendre sur un seul site officiel, celui du département américain de la sécurité du territoire à cette adresse.

Le processus pourrait être simple et bouclé en une dizaine de minutes. Mais il y a un hic : il faut déjà réussir à atteindre le fameux site officiel. Or, grâce à un bon référencement (parfois en payant), de nombreux sites tiers qui n’ont rien à voir avec le fameux sésame ont réussi à monopoliser le top des recherches Google afin de profiter de la méconnaissance des internautes insouciants… Et se faire beaucoup d’argent.

79,90 euros pour un ESTA et… un PDF

Le site france-esta.fr est l’un des leaders en la matière. Lorsqu’on clique sur l’URL, on atterrit sur un site très complet qui propose de faire une « Demande ESTA en ligne simple et rapide », et demande de remplir directement toutes vos données personnelles (nom, ville de naissance, adresse, emails, numéro de passeport, adresse de votre contact aux États-Unis et même… compte sur les réseaux sociaux, bien que « facultatif »).

Mais france-esta.fr n’est pas affilié au site du gouvernement américain. Si un internaute peu attentif passe par le site pour ses démarches, il sera facturé 79,90 euros, soit 6,5 fois plus que le coût véritable du processus. Numerama a pu se procurer l’email de confirmation de paiement qu’un internaute malheureux qui a eu recours aux services du site en 2018 a reçu, après avoir déboursé la somme de 79,90 euros.

En échange, l’entreprise derrière france-esta.fr s’est chargée de remplir elle-même le formulaire à 12 euros du gouvernement américain — nul ne sait si le remplissage est effectué à la main ou via un algorithme qui le ferait automatiquement pour elle —, et a renvoyé en échange un « guide PDF sur les USA ». Le guide PDF en question n’est qu’une sorte de guide de 15 pages… qui liste les choses importantes à savoir sur le formulaire ESTA.

« Je reconnais que je perdrai mon droit de rétractation du contrat »

Nous avons fait le test : en quelques clics et en remplissant de fausses coordonnées, on constate que l’entreprise demande bien 79,90 euros. Pour se prémunir de toute attaque judiciaire, le site demande, avant le paiement, de cocher une case qui indique : « Je demande par la présente l’exécution immédiate du contrat de service et je reconnais que je perdrai mon droit de rétractation du contrat une fois que le contrat de service aura été pleinement exécuté. » En somme : si vous payez, vous ne pourrez pas revenir en arrière, même si vous découvrez le pot aux roses.

Qui se cache derrière le fameux site ? Le nom de domaine france-esta.fr a été déposé de manière anonyme : dans les registres publics, l’identité de son propriétaire est Ano Nymous. Pourtant, Numerama s’est procuré des documents qui montrent que derrière le site france-esta.fr se cache une entreprise appelée DevAndSeo, fondée par un français, Franck de Védrines. Cet entrepreneur est notamment à la tête d’un site de personnalisation de t-shirts qui a obtenu plusieurs articles dans la presse économique. Nous avons essayé de contacter le fondateur à plusieurs reprises et en utilisant le numéro de téléphone affilié à DevAndSeo, sans réponse.

Une recherche plus approfondie montre que la société DevAndSeo est reliée à plusieurs sites de ce genre en rapport avec l’ESTA, mais aussi d’autres sites en rapport avec des jeux de hasard.

Combien l’entreprise gagne-t-elle chaque année grâce à ces sites qui profitent de la méconnaissance des internautes ? Au fil de notre enquête, nous avons recueilli de nombreux témoignages d’internautes qui disent s’être « fait avoir », même en 2018.

Des dizaines de sites malveillants

L’entreprise DEVANDSEO n’est pas la seule à se faire de l’argent facile grâce à cette tactique qui, si elle n’est pas illégale, est clairement malhonnête.

La pratique est en fait courante : le site esta.fr, par exemple, facture sa prestation 74 dollars (63 euros). Ce n’est que dans les (minuscules) caractères tout en bas de son site que l’entreprise précise : « Nous chargeons une tarification de 74 $ pour nos services y compris tout frais gouvernemental. Néanmoins, vous pouvez utiliser le site internet du gouvernement des états unis (CBP.GOV) pour une opération moins coûteuse. » Le nom de domaine du site a été enregistré en 2013 et domicilié à Chypre.

De son côté, le site esta-formulaire.us annonce prendre 72 dollars (61 euros) pour le même genre de prestation, de manière un peu plus visible sur son site.

Le site esta-officiel.fr prend quant à lui 65 euros. À aucun moment le site ne prévient qu’il n’est pas affilié au gouvernement américain. Le mot « officiel » dans l’url a même clairement vocation à se faire passer pour la solution administrative authentique.

Quid des données personnelles ?

Au-delà des sommes engrangées par ces nombreux sites internet, une autre question importante se pose, à l’heure de la protection des données individuelles : qu’advient-il des données personnelles que récupèrent ces sites ?

Si un internaute passe par exemple par le formulaire de france-esta.fr, toutes ses données sont collectées par le site, qui les transfère ensuite au site officiel. L’entreprise DevAndSeo — et toutes les autres derrière ce type de site — dispose ainsi d’une masse énorme de données sensibles. Et personne ne sait ce qu’elle en fait.

Contactée par Numerama, la CNIL (Commission nationale de l’informatique et des libertés), nous explique que si ces sites ne sont pas dans l’illégalité, la seule loi à laquelle ils doivent se plier est le RGPD en matière de collecte et stockage des données. S’ils respectent le nouveau règlement européen, il est donc possible, paradoxalement, que cette collecte soit légale, car les internautes leurs donnent délibérément leurs informations. À ce jour, il n’y a pas d’enquête en cours quant à la conformité de ces sites au RGPD.

Est-il possible de lutter contre ces sites malveillants ?

En France, il y a eu au moins 110 000 recherches avec le mot « Esta » sur Google rien qu’au mois de juillet 2018. Peut-on lutter contre l’existence, ou le référencement, de ces sites malveillants ?

Contactée par Numerama, la Direction de l’information légale et administrative, qui dépend des services du Premier ministre, confirme être au courant de l’existence de ces pratiques, mais pas de mesures prises à leur encontre. De son côté, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) nous a pour l’instant renvoyés vers des mesures de prévention mises en place pour alerter les internautes sur l’existence de ces faux sites.

ESTA, encombrants, loterie…

En mai dernier, nous avions révélé l’existence d’une tactique similaire concernant un faux site qui essaie de faire payer 19,90 euros pour un service de désencombrement que la ville de Paris propose gratuitement. La même combine est également utilisée par des sites qui prétendent aider à faire sa carte grise ou aider à s’inscrire à la loterie de la green card américaine et gagnent ainsi des centaines d’euros sans rien faire.

Ces sites n’étant pas techniquement illégaux — ils font tous mention du coût de l’opération dans les petits caractères —, Google n’aurait pas d’obligation légale de les désindexer. D’autant plus qu’une partie de ces sites paient de la publicité à Google pour figurer en tête des recherches.

Mais ils jouent manifestement sur la méconnaissance des internautes et profitent de leur manque d’information à ce sujet pour gagner beaucoup d’argent facilement, et collecter un grand nombre de données personnelles dont on ne sait pas comment elles sont conservées, ni comment elles sont utilisées. À notre connaissance, la seule action que peuvent faire les internautes est de signaler les sites internet en question sur la page « Signaler du spam, des liens payants ou des logiciels malveillants » de Google, et notamment dans la case « phishing ».

Ndlr : Nous avons choisi de ne pas mettre de liens vers les sites malhonnêtes cités dans l’article pour ne pas améliorer leur référencement.