Le nouveau visage de la fraude au CPF : les OF ciblés

Septembre 2023 -

 

La lutte contre la fraude au CPF a récemment pris une tournure nouvelle. Si depuis 2019 – date de la monétisation du dispositif et la sortie de Mon compte formation (MCF) –  les arnaques se concentraient majoritairement sur les particuliers détenteurs d’un compte, la cible des escrocs semblent s’être diversifiée.

En effet, les contrôles ont été multipliés par la Caisse des dépôts et consignations (CDC), France compétences ou encore les services de l’État. L’arsenal juridique a été renforcé en luttant contre le démarchage abusif des particuliers. Des larges réseaux d’organismes frauduleux ont été démantelés.

Ainsi, sans cesser de s’attaquer totalement aux individus, les tentatives frauduleuses se concentrent désormais… sur les organismes de formation eux-mêmes.

Zoom sur 3 techniques d’escroquerie récentes pour éviter de tomber dans le panneau. 

1) L’arnaque au RIB sur Mon compte formation

Les acteurs de la compétences (ex-FFP) ont communiqué au mois d’août à leurs adhérents sur une potentielle faille de sécurité dans l’espace EDOF (l’espace administrateur de MCF pour les OF).

Quel en est le principe ?
Eh bien, pour se faire payer par la CDC, les OF doivent joindre leur RIB. Jusque-là, rien d’anormal.

Mais que se passerait-il si quelqu’un de mal intentionné modifiait ce RIB pour détourner les fonds ? 

En effet, si une personne parvient à récupérer les mots de passe du compte EDOF et à accéder à la boite mail de l’OF – ce qui est relativement atteignable dans des petites structures ne disposant pas de réelles mesures de sécurité informatiques – elle dispose de tous les éléments pour détourner l’argent à son profit.

Il semble en effet que la procédure de changement de RIB ne donne pas lieu à un processus de vérification renforcée comme cela est le cas avec l’identité numérique pour les particuliers. Un mail de confirmation est bien envoyé, mais pas de double authentification par SMS ou une application tierce, par exemple.

La faille semble en cours de résolution par la CDC, mais des bonnes pratiques peuvent être appliquées telles que :

  • vérifiez régulièrement votre RIB sur EDOF afin de sécuriser vos paiements et d’éviter tout détournement. Idéalement tous les 15 jours (c’est le délai de traitement du changement) ;
  • limitez l’accès à la plateforme EDOF aux personnes de confiance ;
  • modifiez régulièrement votre mot de passe de la plateforme EDOF, notamment en cas de départ d’un(e) salarié(e) ;
  • soyez vigilant sur vos encaissements CPF et réagissez en cas d’écart.

Même s’il n’est pas à exclure des agissements de la part d’anciens salariés, ces malversations proviennent la plupart du temps de phishing”, une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.

Ainsi, récemment, des arnaqueurs ont tenté de se faire passer pour les équipes de la Caisse des dépôts en demandant aux organismes de formation une série d’informations sur leur entreprise et leur clé d’activation reçue par la DREETS.

Une autre technique remontée, concerne des courriers/mails « avis de contrôle » à entête du « Préfet du Grand Paris » laissant faussement penser qu’ils émanent de la DRIEETS d’Île-de-France (Préfecture de Région).

2) L’arnaque combinée

Légalement, il est possible pour un organisme certificateur d’habiliter d’autres organismes de formation pour qu’ils puissent proposer un parcours en adéquation avec la certification et/ou procéder eux-mêmes à l’évaluation.
Cette habilitation peut faire l’objet d’une contrepartie financière (ce qui est souvent le cas entre opérateurs privés).

Une arnaque stupéfiante a été mis en lumière par Sylvain Tillon, fondateur du Bahut, (voir son post linkedin) lié à cette possibilité.

La situation est la suivante : un OF a créé plusieurs sites internet (sans mentions légales). 

Leur objectif : promouvoir leurs certifications RNCP sur plus d’une centaine de formations afin de proposer une habilitation à des organismes intéressés. Cette habilitation leur permettra ensuite de rendre éligible leur propre offre de formation au CPF ou aux fonds de l’apprentissage, par exemple.

Première étape pour ces futurs partenaires : suivre une formation de l’organisme. Celle-ci serait subventionnée à 100 % et avec 20 % de cashback reversés à l’OF formé.

Voici la première pratique illégale

Cette étape franchie, l’OF peut choisir parmi la centaine de certifications, avec un modèle économique simple :

  • habilitation/certification/1 an :  3 000 € ;
  • habilitation/certification/3 ans : 5 000 € ;
  • habilitation/certification/5 ans : 6 000 €.

Si en soi, ces droits d’utilisation n’ont rien de choquant dans la pratique, le fait est que les certifications en question n’étaient pas du tout la propriété de l’organisme, mais … du Ministère du travail.

L’organisme propose donc des certifications dont l’habilitation n’est pas payante (la constitution d’un dossier administratif seul suffit) et dont il n’est pas propriétaire. 

Deuxième pratique illégale

Enfin, dans l’offre de service proposée par cette escroquerie, les OF qui se font déréférencer de MCF pourront également récupérer un nouvel OF prêt à l’emploi avec NDA et Qualiopi !

Troisième pratique illégale

Cette manœuvre frauduleuse n’a d’ailleurs pas été faite dans le secret puisque de nombreux OF ont reçu ce mail…

Mail arnaque CPF

3) Les comptes France compétences visés

Enfin, une dernière tentative d’arnaque a été mise en évidence récemment.

Pour gérer leurs certifications et les habilitations de leurs partenaires, les OF disposent d’un compte sur France compétences. Celui-ci est théoriquement accessible par un mot de passe avec confirmation supplémentaire via un code reçu par SMS.

Toutefois, certains semblent être parvenus à contourner cet obstacle et à parvenir à une manipulation simple : ajouter des organismes partenaires (bien entendu parties prenantes du projet) sur une certification professionnelle.

Ces derniers peuvent ensuite librement proposer une offre sur MCF ou se prévaloir de la certification à d’éventuels clients, preuve à l’appui, puisque le nom de l’OF apparait bien sur la fiche France compétences de la certification en tant que partenaires habilités.

Si ces tentatives (avortées la plupart du temps) ne paraissent pour l’instant pas massives, limiter le nombre de personnes pouvant accéder à l’espace, modifier les mots de passe régulièrement et contrôler la liste de ses partenaires habilités sont des bonnes pratiques pour éviter le drame.

En conclusion, les OF semblent les nouvelles victimes des tentative de fraudes à la certification et au CPF. Il est important de sécuriser davantage ses pratiques digitales, car les escrocs n’ont pas besoin de beaucoup de temps pour faire des dégâts.

Quelques jours, quelques semaines suffisent parfois pour faire des dégâts importants.

Restez vigilants !