Rentrée littéraire : La fashion week des libraires

Un Arsène Lupin du livre tente une vaste escroquerie dans l'édition

Nicolas Gary - 13.03.2017

Lecture numérique - Législation - arnaque édition email - phishing industrie livre - vente droits livres


Mais qui cherche à pirater l’édition ? Depuis plusieurs semaines, une escroquerie habile cible éditeurs, agents et scouts, avec une justesse qui laisse perplexe. Les motivations de cette arnaque sont en revanche plus ouvertement affichées : s’emparer de livres encore inédits, mais sans enjeu commercial primordial... 

 

Identity Theft Prevention

Cafecredit.com, CC BY 2.0

 

 

Depuis une quinzaine de jours, alors que se profilait la Foire du livre de Londres, d’étonnants emails ont fleuri. Ils émanaient d’interlocuteurs pourtant bien identifiés : « Tel éditeur, avec lequel je travaille depuis des années, me contacte en faisant allusion à un ouvrage bien spécifique que je vais présenter à Londres », nous assure un agent britannique. Problème : si le nom de l’éditeur était connu des services, son adresse email avait été subtilement modifiée. Une usurpation d’identité classique, à travers une méthode de phishing, ou scam, inédite dans le secteur du livre. 

 

Le scam est une technique assez connue : l’usager reçoit généralement le courrier d’un fils de dignitaire/politicien/etc le plus souvent africain, qui souhaite généreusement partager sa fortune avec vous. Pour quelques millions de dollars, on se laisserait volontiers tenter. 

 

Le phishing est plus vicieux : le pirate cherche à extorquer des données personnelles, pour réaliser une usurpation d’identité. En se présentant comme un tiers de confiance, le pirate vise avant tout des renseignements qui permettront d’accéder à des codes bancaires, et ainsi de suite. 

 

Dans le cas présent, l’usurpation d’identité et la falsification d’email visaient à obtenir ce que l’on peut recevoir de la part d’éditeurs : des manuscrits. Nettement moins lucratifs qu’une campagne d’hameçonnage massive.

 

Francfort avait officiellement alerté

 

Chose intéressante : le 6 mars dernier, les organisateurs de la Foire du livre de Francfort diffusaient un email d’alerte. « J’en avais pris connaissance, mais sans y prêter attention », poursuit l’agent. Or, la Buchmesse alertait ses partenaires de ce que l’ensemble de ses clients nationaux et internationaux avait reçu... des emails de phishing – prétendument envoyés par la Frankfurter Buchmesse.

 

Depuis une adresse info@buchmesse.de, le pirate proposait alors de cliquer sur un lien dropbox pour récupérer des informations et en apporter d’autres le concernant. La Foire recommandait de supprimer ces emails, soulignant qu’ils ne provenaient pas de ses organisateurs. Difficile de ne pas se laisser prendre cependant, puisque buchmesse.de/de est bel et bien l’une des URL du site officiel, avec book-fair.com/en/. 

 

L’arnaque était bien montée. Très bien montée. Et la scout Koukla MacLehose n’avait pas rapproché cet email d’alerte de ce qu’elle a vécu elle-même. « Je me suis rendu compte que quelque chose clochait, en recevant l’email d’une éditrice danoise qui sollicitait le roman de Romain Puertolas. Ce qui m’a intrigué, c’est qu’elle avait contacté mon associée, qui ne s’occupe d’ordinaire pas du marché français. »

 

Or, le fameux échange de mails faisait référence directement à Claude Tarrène, directeur commercial et responsable des droits étrangers aux éditions Le Dilettante. « C’était d’autant plus troublant que l’éditrice faisait allusion au nouveau livre de Romain. C’est en lui téléphonant que j’ai découvert qu’il y avait un sérieux problème – que nous étions victimes d’un hijacking extrêmement bien renseigné. »

 

De gros noms de l'édition sollicités

 

En évoquant le sujet, il s’avère que cette mésaventure a manqué d’arriver à plusieurs autres personnes – éditeurs sollicitant des scouts ou des agents, et inversement. « Nous avons découvert que de nombreuses personnes ont été touchées : au Danemark, en Hollande, au Japon ou encore en France et en Italie. » Et le piratage visait petits et grands. « On m’a dit que Markus Dohle [NdR : le PDG de Penguin Random House], aurait également été touché... mais ce n’est qu’une rumeur. »

 

De même pour l’agence britannique Curtis Brown et d’autres acteurs, y compris sur le territoire américain. « C’est vraiment incroyable, ce qu’il s’est passé. »

 

En revanche, le nom de la célèbre agence Andrew Wylie est évoqué, et là, plus personne ne plaisante : « C’est effectivement un éditeur bien connu, dont l’identité a été usurpée, qui demandait d’accéder à un hot book en PDF. » Hot books ? « Des ouvrages qui ne seront publiés dans six mois, ou un an, voir fin 2018, dans le cas de manuscrits de langue anglaise. » 

 

Une arnaque aux manuscrits ? WTF ?

 

Depuis New York, une scout avait alerté un interlocuteur français : « Nous avons été contactés par quelqu’un qui a récemment cherché à monter une escroquerie dans le secteur de la vente de droits ». Elle indique qu’un de ses confrères avait déjà, voilà plusieurs mois, été victime de cette usurpation d’identité. On avait utilisé une adresse très proche de la sienne : « Tout le monde en avait parlé à ce moment-là... mais pourquoi ? Qui aurait affronté autant d’obstacles pour... de simples manuscrits ? »

 

Mais à cette époque, le soufflé retombe vite, une fois l’étonnement passé. Sauf que la fraude revient et touche une douzaine d’éditeurs européens, un scout britannique, un autre américain, un agent japonais. Et de confirmer que l’imposture repose sur une fine modification de l’adresse email. « Il se sert de cette fraude pour demander des manuscrits... même pas des gros. Ce sont des fictions de midlist [des livres qui ne sont pas des best-sellers, mais assez intéressants pour justifier leur publication], prises au hasard. »

 

Et d’inciter à la vigilance « devant un crime qui dont le rapport entre le boulot fourni et le gain financier est le plus étrange que j’ai jamais eu l’occasion de constater ».

 

Une certaine connaissance du secteur

 

L’intérêt commercial n’est en effet pas évident. Pour le cas de maisons françaises, ce sont des ouvrages qui seront publiés dans un délai plus court. « L’hypothèse de la contrefaçon et de la recherche d’un profit à travers cette technique est difficile à admettre. Pourtant, dans le cas d’une attaque par phishing, ou dans le cas d’un scam, c’est toujours l’objectif visé », nous confirme un spécialiste de la sécurité informatique. 

 

Pour Koukla MacLehose, il ne fait aucun doute que la personne derrière ces emails « connaît les rouages. Elle a lancé son opération quinze jours voir trois semaines avant Londres. C’est une période propice, puisque tous les hot books sont sollicités et les éditeurs sont fébriles en regard des nouveaux achats ». 

 

Un hacking visiblement réalisé par une personne travaillant dans l’édition, mais avec un soutien technique solide. « Les modifications opérées dans les emails étaient subtiles : un point qui pouvait apparaître, ou un trait d’union. Si l’on répondait directement, on tombait dans le panneau : or, ce n’est qu’en répondant que l’on pouvait, à condition d’avoir de la mémoire, découvrir que quelque chose avait changé. »

 

Si elle n’avait pas retenu des subtilités de langage, assez éloignées de la manière de s’exprimer usuellement de son interlocuteur, peut-être aurait-elle été piégée.

 

Un Fantomas du livre ?

 

« Les hots books sont toujours présents dans les foires et plus on en parle, plus les enchères montent », indique David Camus de l’agence AJA. « De gros manuscrits, dont tout le monde parle, pourraient susciter l’intérêt de personnes qui envisageraient une commercialisation frauduleuse. »

 

Et ces marchés sont rapidement identifiés pour les textes en langue anglaise : Inde, Chine, Afrique... et Russie. « Que ce soit des PDF vendus sous le manteau, ou des versions numériques ou imprimées, on peut imaginer un scénario de ce genre. » 

 

Mais financièrement, ce type d’arnaque laisse sceptique : « L’édition reste un petit métier, je vois mal l’intérêt économique d’une pareille méthode. Voilà quelques années, un email émanant d’une université ougandaise m’était parvenu, et proposait de m’inviter, tout frais payés, pour parler d’un roman. Au final, ils m’ont envoyé un lien en me demandant malgré tout un virement de quelques centaines d’euros. Là, au moins, c’était clair. »

 

Un éditeur parisien conclut, avec le sourire : « Finalement, on découvrira que cette histoire de scam n’était qu’une vaste blague. Un Arsène Lupin, à la Prévert, peut-être ? »