Selon l’étude annuelle « Chiffres Clés du E-Commerce 2025 » publiée par la FEVAD, le secteur du e-commerce en France a poursuivi sa croissance en 2024, atteignant un volume d’affaires record de 175,3 milliards d’euros. En 2024, 1,28 milliard de transactions ont été enregistrées dans la catégorie des produits, pour un chiffre d’affaires de 66,9 milliards d’euros, soit un rebond de +6%. Et une grande partie de ces ventes se fait via les places de marché. Mais si celles-ci offrent en apparence commodité et sécurité aux consommateurs et une portée élargie aux entreprises, ce secteur présente également un côté plus sombre. En 2024, la plateforme Amazon a, à elle seule, bloqué de manière proactive plus de 275 millions d'avis suspects et pris des « mesures coercitives » à l'encontre de milliers de personnes.

Cette industrie clandestine s'est développée à tel point que les consommateurs les plus ordinaires peuvent se retrouver involontairement impliqués dans la création de faux avis. En résumé, si vous recevez un article que vous ne vous souvenez pas avoir commandé : méfiance. Nous vous expliquons les dessous de cette arnaque et ce que cela peut signifier pour vous dans la suite de cet article.

Qu'est-ce qu'une arnaque/escroquerie par « brushing » (ou brushing scam) ?

Les arnaques par « brushing » sont un type de fraude au commerce en ligne dans lequel un vendeur envoie un colis à l'adresse d'une personne apparemment choisie au hasard. L'article est généralement de faible valeur et n'est pas destiné à être un geste altruiste. Il s'agit plutôt d'une tentative du vendeur d'augmenter frauduleusement la note du produit sur les places de marché en ligne.

Voici comment cela fonctionne :

  1. Un escroc se procure une liste de noms et d'adresses postales, généralement publiée sur des forums consacrés à la cybercriminalité après des violations de données, ou via des sites de recherche de personnes. Il peut même récupérer ces informations à partir de sources accessibles au public.
  2. Le fraudeur crée un faux compte d'acheteur sur une plateforme ou une place de marché en ligne où il vend ses produits.
  3. Il utilise ce compte pour « acheter » son produit sur cette plateforme et l'expédie à l'adresse de la victime.
  4. L'escroc utilise le faux compte pour publier un avis 5 étoiles, améliorant ainsi la réputation et la visibilité de l'article.
  5. La victime ne se rend généralement compte de l'arnaque qu'au moment où elle reçoit le colis non sollicité.

Qu'est-ce que cela peut signifier ?

Si recevoir des produits gratuits peut sembler satisfaisant et intéressant, quels dangers cela peut-il vraiment avoir ? Cette arnaque n'est pas aussi inoffensive qu'elle en a l'air. D'une part, le fait que vous soyez la cible d'une arnaque de type « brushing » peut signifier que vos données personnelles sont partagées sur le marché noir de la cybercriminalité. D'autre part, les escrocs peuvent vérifier l'exactitude de vos informations afin de passer à une deuxième étape, qui implique une usurpation d'identité plus grave.

Il existe également des versions plus malveillantes de cette arnaque, dans lesquelles un code QR est inclus dans le colis que vous recevez. En le scannant, vous serez très probablement redirigé vers un site malveillant/de phishing conçu pour installer des logiciels malveillants ou vous inciter à partager davantage d'informations personnelles.

Enfin, ces arnaques ont un coût indirect. Elles érodent lentement et insidieusement la confiance des consommateurs dans les systèmes d'évaluation des marchés/du commerce électronique.

Comment savoir si j'ai été victime d'une arnaque dite de brushing ?

Il n'est pas très difficile de savoir si vous avez été victime d'une escroquerie au brushing. Si vous recevez par la poste un article de faible valeur et de mauvaise qualité que vous ne vous souvenez pas d’avoir acheté, cela devrait immédiatement vous alerter. Une adresse de retour vague ou manquante, ainsi qu'un éventuel code QR à l'intérieur du colis, sont également des signes d’alerte.

Pour en avoir le cœur net, consultez vos e-mails et tous vos comptes sur les plateformes de commerce électronique/marchés en ligne afin de rechercher les articles récemment achetés. Il est également utile de vérifier vos comptes bancaires et vos relevés de crédit pour détecter toute activité suspecte, car les escrocs sont peut-être déjà passés à l'étape suivante de leur stratagème.

Que dois-je faire si je reçois un tel colis ?

Si vous recevez par la poste un colis que vous ne vous souvenez pas avoir commandé, minimisez les risques en suivant les étapes suivantes.

  • Vérifiez qu'il ne s'agit pas d'un cadeau en demandant à vos proches/amis/famille s'ils ont récemment commandé quelque chose en votre nom.
  • Ne scannez aucun code QR qui pourrait se trouver à l'intérieur du colis.
  • Vérifiez qu'aucune somme d'argent n'a été prélevée sur votre compte bancaire et/ou qu'aucune nouvelle ligne de crédit n'a été ouverte à votre nom.
  • Assurez-vous que l'authentification multifactorielle (MFA) est configurée sur vos comptes bancaires en ligne et vos comptes de carte de crédit.
  • Activez la MFA sur tous vos comptes d'achat en ligne et vos comptes de messagerie électronique.
  • Signalez la fraude à la plateforme concernée (par exemple Amazon). La plupart d'entre elles disposent d'un espace dédié au signalement des fraudes par brushing.
  • Ne vous donnez pas la peine de renvoyer l'article à l'expéditeur. Vous pouvez le garder si vous le souhaitez.

Comment se protéger contre les escroqueries par « brushing » ?

Il existe des mesures que vous pouvez prendre pour empêcher les escroqueries par « brushing » de vous cibler. Tout dépend des données personnelles dont disposent les fraudeurs.

Certes, vous ne pouvez pas faire grand-chose si une entreprise de qui vous êtes client, est victime d'une violation de données et divulgue vos informations personnelles. Mais il existe des services de protection de l'identité que vous pouvez utiliser et qui analysent le dark web à la recherche d'informations potentiellement compromises. Certains d'entre eux sont disponibles dans le cadre d'une suite de sécurité numérique. Si vous constatez que certains de vos comptes ont été compromis, changez immédiatement vos mots de passe. Il est également utile de geler votre crédit afin de bloquer toute tentative d'utilisation de votre nom pour contracter des dettes sur de nouvelles cartes.

Comme les escrocs récoltent également des données sur le web public, il est important d'adopter de bonnes habitudes en matière de confidentialité. Cela signifie réduire au minimum ce que vous partagez sur les réseaux sociaux, verrouiller vos comptes afin que seuls vos amis puissent voir vos publications, et supprimer toutes les informations personnelles telles que votre adresse, votre date de naissance et votre numéro de téléphone.

Enfin, réduisez le risque que des escrocs obtiennent vos coordonnées auprès de courtiers en données en vous désinscrivant des sites de recherche de personnes tels que BeenVerified, Spokeo et TruthFinder. Cela demandera un peu de travail et vous devrez probablement revisiter ces sites tous les quelques mois pour répéter le processus, mais cela en vaut la peine.

Les escroqueries par « brushing » ne sont qu'un des nombreux moyens utilisés par les fraudeurs pour utiliser vos informations personnelles à votre détriment. Malheureusement, atténuer ce risque n'est pas une tâche ponctuelle. Vous devrez rester vigilant en permanence dans votre univers numérique. En fin de compte, c'est le prix à payer pour accéder aux services que nous aimons.