Vous arrive-t-il de questionner la validité des résultats de recherche fournis par Google ? Non, évidemment. On cherche, il livre sans jamais se tromper, la vie est d’une simplicité fabuleuse. Les deux décennies d’histoire du moteur de recherche sont pourtant jalonnées de tentatives d’instrumentalisation de ses précieux algorithmes. Au fond, c’est bien normal : on existe beaucoup plus quand on est visible sur la première page de résultats. Pour quiconque n’a pas le temps ou les moyens de se battre pour le haut de la SERP 1, Google peut également être un formidable moyen d’escroquer son prochain. L’entreprise le sait et lutte activement contre les arnaques que ses services permettent : sa liste de « Google Scams » parle de publicités trompeuses, de hotlines factices, de fausses campagnes de télémarketing en son nom… Mais pas encore de la petite dernière.

Cette « nouvelle » arnaque, révélée le 19 novembre par le développeur Abhijit Tomar, est simple comme toute les bonnes arnaques. Les escrocs exploitent une fonctionnalité de Google Maps qui permet à n’importe qui de modifier les coordonnées d’un commerce, par exemple pour les mettre à jour après un changement de propriétaire. Petite description, adresse, horaires, numéro de téléphone, ce sont ces informations qui apparaissent à droite des résultats quand vous cherchez un coiffeur, une librairie, un restaurant… Dans ce cas particulier, les malfrats modifient le numéro de téléphone de banques et attendent tranquillement que des clients appellent, croyant parler à leur agence, pour leur soutirer leur numéro de carte de crédit et leur code de vérification avant de se goinfrer. Simple, rapide, ultra-efficace. Qui n’a jamais appelé un numéro fourni par Google sans réfléchir ? Comme l’explique Abhijit Tomar, cette arnaque fonctionne bien car elle ne repose pas sur notre crédulité mais sur la foi aveugle que nous accordons au moteur de recherche. Et c’est bien tout le problème.

En vérité, le système de vérification des entreprises sur Google Maps est affreusement laxiste. De fait, n’importe qui peut prétendre posséder ou gérer un commerce en créant un compte sur Google My Business, sans que personne ne lui demande de vérifier son identité. En cas de conflit, cependant, on peut imaginer que Google donne la priorité au premier administrateur enregistré. Selon Abhijit Tomar, les escrocs feraient plutôt dans le social engineering : ils convainquent le véritable propriétaire de la banque (ou plutôt son responsable informatique) de les ajouter comme administrateurs pour pouvoir tranquillement modifier les coordonnées de la page par la suite. Et si ça ne fonctionne pas, il est toujours possible de demander une place d’administrateur à Google lui-même Voyons ça comme une salutaire piqûre de rappel : Google, si hégémonique soit-il, ne pourra jamais être parfaitement fiable et encore moins imperméable aux arnaques. Pensez-y le jour ou quelqu’un réclamera votre code de carte bleue par téléphone.

