Depuis son lancement en 2019, le compte personnel de formation attire massivement les escrocs qui cherchent à dérober cet argent alloué à tous les actifs français. Il est difficile de s’extirper de ce harcèlement.

Nos boites mails sont remplies d’arnaques au compte personnel de formation (CPF). Pire, c’est désormais par téléphone que les escrocs tentent de vous piéger pour récupérer l’argent alloué par l’État français. Entre 2020 et 2021, 4 948 signalements d’arnaques au CPF ont été remontés aux services de l’administration, rapporte RTL. On vous explique comment les malfaiteurs ont accès à vos données et quels sont les moyens pour se préserver de ces spams.

Qu’est-ce que le CPF ?

Le compte personnel de formation est un dispositif pour aider les actifs français à développer de nouvelles compétences au cours de leur carrière. Une personne acquiert une somme d’argent — jusqu’à 5 000 euros — au cours de l’année, qui lui permet de choisir une formation, financée par l’État. Dès que vous travaillez, vous pouvez vous rendre sur la plateforme spécialement créée pour voir les droits acquis et les formations disponibles. Le numéro de sécurité sociale ou un compte FranceConnect est nécessaire pour se connecter. Attention, un seul et unique site existe pour votre CPF : www.moncompteformation.gouv.fr. Tout le reste peut-être considéré comme suspect.

Pourquoi vous recevez ces messages ?

Cet argent dormant attire les escrocs qui cherchent à siphonner votre compte. Si vous recevez autant de mails, de messages, voire des appels téléphoniques, c’est pour vous inciter à vous connecter afin de récupérer vos identifiants. Depuis 2019, le CPF alimente un réseau de malfaiteurs. Un SMS ou un email contient un lien d’hameçonnage pour tromper la victime en lui proposant de se connecter à une fausse plateforme. Dès que l’attaquant a récupéré les données des usagers, il dépense la somme allouée au CPF dans une formation bidon.

CPF
Un exemple de mail frauduleux. La plateforme propose de fournir ses coordonnées. L’escroc tente ensuite de contacter la personne pour l’arnaquer en direct. Source : Numerama

Le problème est que les organismes certificateurs sont peu regardants dans le processus de vérification des formations. Ainsi, certains cours se limitent à quelques vidéos et une poignée de fichiers sans grand intérêt. Interrogé par les Echos, Arnaud Portanelli, cofondateur de l’organisme de formation en langues Lingueo, à l’origine de la certification Lilate, déclare : « Pour des raisons commerciales, certains certificateurs privilégient le nombre de partenaires à la qualité de ces derniers ou ne se sentent pas concernés par les pratiques de leur réseau de partenaires ».

Comment obtiennent-ils votre numéro ?

Il est toujours assez intrusif de recevoir un message suspect sur son smartphone. Le fait que les escrocs parviennent à vous envoyer ces messages signifie probablement que votre numéro a été récupéré quelque part sur le web. Vos coordonnées peuvent être demandées lorsque vous ouvrez un compte sur un site. Ce dernier peut être victime d’une cyberattaque. « Généralement, les attaquants trouvent les données personnelles dans les fuites de bases de données. On peut retrouver ces fichiers sur le darknet. Certains hackers peuvent revendre toutes ces informations sur des forums spécialisés », nous explique Jérôme Soyer, directeur chez Varonis, société spécialisée dans la cybersécurité.

« Ils utilisent ensuite un générateur de numéro de téléphone pour envoyer un message générique à des milliers de personnes. Ce numéro est supprimé et remplacé par un autre en quelques jours » précise-t-il.

Il est d’ailleurs possible de savoir si son adresse mail a fuité sur des sites tels que « Have I Been Pwned ».

Peut-on les bloquer ?

Oui, mais il n’y a rien de définitif pour empêcher totalement ces tentatives d’arnaques. Vous pouvez signaler un démarchage téléphonique frauduleux ou abusif sur le site SignalConso et vous inscrire ensuite sur Bloctel. Cette plateforme permet d’être rayé de la liste des numéros ouverts aux appels commerciaux, mais rien n’empêche réellement les escrocs de continuer à vous contacter, notamment avec de nouveaux numéros.

Il est également possible de dénoncer un lien ou une adresse mail frauduleuse sur Signal-spam ou Pharos. Des sites tels que Phishing Initative, créé par Orange Cyberdefense, permettent de tester un lien afin de savoir si celui-ci est bien un piège. Quoi qu’il en soit, il est toujours préférable de se connecter sur le site officiel pour ne prendre aucun risque.