Je viens visiblement d'échapper à une belle tentative de phishing, classique mais bien menée, dans une candidature de thèse.

Un étudiant a donc postulé chez nous, avec un CV intéressant et tout à fait classique. Après un entretien téléphonique très satisfaisant, on décide en ultime étape avant de signer de contacter les références indiquées pour vérifier qu'on a bien le candidat de nos rêves. L'un des profs indiqués en référence semble parfait pour nous répondre car d'après DBLP, il a effectivement une belle publi qui semble pile en lien avec le stage de master de l'étudiant, et c'est l'expérience issue de ce stage qui nous intéresse particulièrement. L'institution indiquée dans le CV matche les infos DBLP (le NUST à Islamabad au Pakistan -- une université comme une autre). Bref, la routine.

Problème : toutes les références listées sur le CV de l'étudiant sont des adresses chez gmail.

Par acquis de conscience (et militantisme anti-google, j'avoue), j'ai cherché les pages professionnelles de ces personnes. J'ai trouvé l'un des enseignants indiqués, mais pas celui que je cherchais en particulier. Contacté sur son adresse académique (pas gmail), ce collègue m'a confirmé que l'étudiant est plutôt bon et très motivé, mais qu'il n'est pas digne de confiance. Il a réécrit une lettre de recommandation quand il a postulé au MIT. Mon interlocuteur ne connaît pas l'adresse gmail prétendument sienne. Et surtout le professeur que je cherche est un chismiste (je crois) n'ayant jamais travaillé avec l'étudiant qui est informaticien. Les publis DBLP sont interdisciplinaires, avec 10 auteurs, autant d'institutions, et pas trop de détails.

Bref, l'étudiant est un escroc et on l'a échappé belle.

On pourrait philosopher sur pourquoi un étudiant qui semble avoir de réelles qualités est obligé de tricher de la sorte pour obtenir une bourse de thèse. Mais je voudrais plutôt de vous inciter à la prudence en matière de recrutement. À la réflexion, j'ai entendu au moins 3 histoires similaires ces dernières années, mais où le phishing avait réussi... Certains collègues ont vraiment galéré après s'être faits avoir, sur des phisings parfois bien plus évolués. L'un des candidats avait même fourni des publis scientifiques dont il avait modifié le pdf pour s'en attribuer la paternité...

Ma petite expérience me rappelle la règle anti-phishing classique : Si je le reçois par mail, c'est peut-être un faux.

De la même façon qu'on ne clique jamais sur un lien important reçu par mail mais qu'on recherche le site dans un moteur de recherche pour vérifier, il faut reconfirmer par ailleurs tout le contenu important du dossier de candidature.

Les pages web institutionnelles des collègues sont précieuses car difficiles à falsifier. Je veux bien écrire à une adresse gmail, mais il faut qu'elle soit indiquée sur la page pro de la personne que je veux contacter (qui doit absolument être hébergée par son institution).

Les sites comme http://www.hoaxbuster.com/ qui recensent les escroqueries sur internet sont inutiles ici car les escroqueries à la thèse sont extrêmement ciblées sur les victimes potentielles. Ça peut paraître fou que des gens fassent autant d'effort pour nous viser de la sorte, mais une thèse (ou un post-doc) dans une grande institution peut déboucher sur un poste assuré dans certains cas. Il est donc normal que certains soient prêt à tout pour y parvenir. À nous d'être prudents.

Voilà. Souvenez vous: Si je le reçois par mail, c'est peut-être un faux. Et plus généralement comme disait Abraham Lincoln, il ne faut pas croire tout ce qu'on peut lire sur internet.