Paypal, cible prisée des spammeurs

Incontournable pour les paiements en ligne, Paypal l’est aussi pour les spammeurs et autres filous tentant d’extorquer vos données. En décembre 2015, le service a ainsi été visé à plusieurs reprises; une vague d’attaques mettait par exemple en scène la Compagnie française de recouvrement, censée agir au nom de Paypal. L’entreprise américaine prend-elle le problème au sérieux? Et comment peut-on trier le bon grain, les mails légitimes de Paypal, de l’ivraie, les tentatives d’arnaque utilisant sa notoriété?

Le noeud du problème

Paypal est une entreprise virtuelle: c’est un atout commercial, puisque cela permet au service de paiement en ligne, doté d’une licence bancaire au Luxembourg, d’être ubiquitaire. Mais c’est aussi un handicap. Car toutes les institutions financières, des banques aux émetteurs de cartes de crédit, assènent le même message: elles ne transmettent jamais de données sensibles par e-mail à leurs clients, uniquement par courrier postal. Or Paypal, lui, ne peut communiquer que par courriel.

Second problème, Paypal communique beaucoup: outre les e-mails de transactions, il envoie chaque mois un état du compte, en français. A cela s’ajoutent des informations régulières concernant la mise à jour des conditions générales, en allemand. Car comme beaucoup d’entreprises américaines, Paypal considère la Suisse comme un pays germanophone… De quoi déclencher un réflexe «spam» chez ses clients habitués à recevoir des e-mails en français. Autrement dit, entre les faux e-mails qui ressemblent à des vrais, et les vrais e-mails qui ressemblent à des faux, les clients sont perdus.

Qu’en dit Paypal?

Contactée par la FRC, la société s’avère peu diserte. Concernant la langue, elle ne voit pas de problème, son objectif étant de «couvrir une des langues officielles de Suisse». Question sécurité, Paypal dit travailler avec Gmail et Yahoo Mail à un système d’authentification des e-mails – le projet DMARC.

Une initiative qui ne convainc pas les spécialistes de Navixia, société de sécurité informatique basée à Ecublens (VD): «Les effets du protocole DMARC sont limités car il n’est potentiellement applicable qu’aux gros fournisseurs d’accès. Il ne pourra jamais permettre d’éliminer tous les courriers douteux, relève Evelyne Pintado, responsable de la communication. Paypal offrirait une meilleure protection à ses clients en n’incluant jamais de lien cliquable dans ses messages.»

Que peut faire l’internaute?

Tout en inondant l’internaute d’emails, eux-mêmes truffés de liens, «PayPal recommande à ses clients de ne jamais cliquer sur un lien dans un e-mail, même s’il semble provenir d’une source fiable.» C’est ce qu’explique son service de presse, sans noter la contradiction. Il ne faut donc retenir que ce conseil de base: lorsque vous recevez un e-mail de Paypal, même s’il vous semble légitime, connectez-vous à votre compte sans passer par l’e-mail. Et si vous n’êtes pas client, poubellisez sans suite. Et maintenant, à votre quiz «Paypal» préparé par Navixia!