Termes utiles pour comprendre les arnaques

Le phishing (« hameçonnage » en français) est la technique la plus répandue d'escroquerie en ligne. Un email frauduleux imite l'apparence d'une marque connue (banque, opérateur, administration) et incite la victime à cliquer sur un lien qui mène à une fausse page de connexion ou de paiement.

Les identifiants et données saisis sont récupérés par l'attaquant. Variantes courantes : faux remboursement DGFIP, alerte de compte bloqué Amazon ou Netflix, fausse facture impayée d'opérateur.

Comment se protéger : ne clique jamais sur un lien d'email pour te connecter à un service ; va toujours via l'URL officielle tapée directement, et active la double authentification partout où c'est possible.

Le smishing désigne le phishing par SMS. Les exemples les plus classiques en France : « votre colis Chronopost en attente », « créance Engie impayée », « amende ANTAI à régler ».

Le SMS contient toujours un lien vers un domaine ressemblant à la marque officielle mais hébergé sur .shop, .top, .fr typosquatté. Le formulaire derrière collecte la CB et le code 3D Secure.

Signal en France : le 33700 reçoit gratuitement les SMS frauduleux par transfert direct depuis ton téléphone.

Le vishing (voice phishing) est la déclinaison vocale du phishing. L'attaquant appelle en se présentant comme un conseiller bancaire (service fraude), un agent administratif ou un support technique.

Variante la plus dangereuse en France : le faux conseiller bancaire qui pousse à valider un « virement de sécurité » vers un compte tampon — opération non remboursable par la banque parce que la victime l'a elle-même validée via son dispositif d'authentification fort.

Règle d'or : ta banque ne te demandera jamais de transférer des fonds par téléphone. Raccroche, rappelle ta banque via le numéro imprimé sur ta carte.

Un deepfake est une vidéo / image / audio généré par intelligence artificielle qui imite le visage et la voix d'une personne réelle. La technologie est devenue accessible et bon marché, ce qui a fait exploser son usage en arnaque.

Usages frauduleux observés en France : - Publicités vidéo deepfake utilisant des célébrités (Bernard Arnault, Xavier Niel, Élise Lucet) pour pousser de fausses plateformes crypto - Appels vidéo deepfake en temps réel sur Microsoft Teams ou Zoom pour la fraude au président - Vidéos de fausses interventions journalistiques caution

Indices visuels : synchronisation labiale imparfaite, yeux qui ne clignent pas naturellement, mauvaise gestion des mains.

Le voice cloning est l'équivalent audio du deepfake : une IA reproduit une voix humaine à partir d'un échantillon court (parfois quelques secondes suffisent — disponibles sur LinkedIn, podcasts, interviews vidéo).

Usages observés en France : - Appels téléphoniques de « PDG » ordonnant un virement urgent au comptable (fraude au président) - Faux appels de proches dans une situation d'urgence demandant un dépannage en argent - Faux conseillers bancaires avec voix calmée et professionnelle

Défense : aucun virement urgent / hors-procédure n'est validé sans rappel sur le numéro habituel via un canal différent. Un mot de passe verbal partagé en amont (mot-code) bloque l'attaque même si la voix est convaincante.

Le FOVI (Faux Ordre de Virement International ou Faux Ordre de Virement) regroupe les arnaques visant les entreprises et collectivités pour détourner des fonds. Trois variantes principales :

1. Fraude au président — l'attaquant se fait passer pour le dirigeant et ordonne un virement urgent confidentiel 2. Faux RIB fournisseur — un mail usurpant un fournisseur connu demande un changement de coordonnées bancaires 3. Faux conseiller bancaire côté entreprise — vishing ciblant les services compta

Les pertes individuelles signalées sur les FOVI en France atteignent une moyenne de 18 200 € en 2026 selon Cybermalveillance. Procédure défensive : double validation obligatoire sur tout changement de RIB ou virement urgent hors-procédure, vérification par canal différent.

Le pig butchering (« engraissage du cochon ») désigne une famille d'arnaques au long cours, souvent crypto ou trading, où la victime est cultivée pendant plusieurs semaines ou mois.

Le scénario typique : 1. Premier contact via réseaux sociaux, app de rencontre ou messagerie (WhatsApp/Telegram) 2. Relation de confiance construite (amitié, romance, mentorat) 3. Introduction à une « opportunité d'investissement exceptionnelle » 4. Premiers gains réels affichés sur une plateforme bidon (parfois retraits autorisés pour rassurer) 5. Escalade : la victime investit des sommes croissantes 6. Au retrait final, la plateforme exige des « frais de déblocage » ou disparaît

Cible privilégiée : les particuliers seuls, séniors, qui découvrent la crypto. Les pertes individuelles peuvent dépasser 100 000 €.

Le SIM swap (ou SIM swapping) consiste à convaincre l'opérateur de transférer le numéro de la victime sur une SIM contrôlée par l'attaquant. Une fois le numéro capté, l'attaquant intercepte les codes SMS de double authentification (banque, crypto, email) et peut prendre le contrôle des comptes.

Le SIM swap suit souvent un phishing préalable de l'opérateur (Free, Orange, SFR) pour récupérer les credentials du compte client, ou un appel social engineering au support client.

Défense : préférer la 2FA par application (Google Authenticator, Authy, Aegis) ou clé physique (YubiKey) à la 2FA SMS. Activer un code PIN auprès de son opérateur pour bloquer les changements de SIM non autorisés.

Le spoofing est une technique d'usurpation utilisée dans plusieurs canaux :

- Caller ID spoofing : un appel téléphonique affiche un faux numéro (souvent celui d'une banque ou d'un service connu). Possible techniquement parce que le réseau téléphonique n'authentifie pas l'origine. - Email spoofing : un mail affiche un faux expéditeur. Les protections SPF/DKIM/DMARC bloquent une partie mais pas tout, surtout sur les variantes typosquattées. - SMS spoofing : envoi de SMS avec ID expéditeur arbitraire (souvent une marque) — explique les SMS qui s'affichent dans le même fil que les vrais SMS Engie ou Amazon.

Conséquence pratique : ne jamais faire confiance à l'identité affichée d'un appel ou d'un message non sollicité.

La seed phrase (ou phrase de récupération) est une séquence de 12 ou 24 mots aléatoires qui sert de clé maîtresse à un portefeuille crypto. Quiconque connaît la seed phrase contrôle intégralement les fonds — il n'y a pas d'intermédiaire pour bloquer ou annuler.

Les arnaques visant à voler une seed phrase sont les plus dommageables de l'écosystème crypto, parce que la perte est immédiate, totale et irréversible (la blockchain est définitive).

Règle absolue : aucune plateforme légitime (Binance, Coinbase, Kraken, Ledger) ne demandera jamais ta seed phrase. Toute demande de saisie, même justifiée par une « vérification », est une arnaque. La seed phrase ne sort jamais de ton appareil.

3D Secure (3DS) est le protocole qui ajoute une étape de validation forte aux paiements en ligne par carte bancaire. La 2e version (3DS2) utilise notification push de l'app bancaire, biométrie ou code SMS.

Les attaquants exploitent souvent un faux 3D Secure dans les faux paiements : la page récupère la CB et le code SMS bancaire, permettant un débit instantané.

Bon réflexe : si tu reçois un code SMS 3DS pour un paiement que tu n'as pas initié, c'est qu'un attaquant tente de valider. Ne le donne jamais à un interlocuteur (banque, support, etc.).

Le credential stuffing exploite le fait que de nombreux utilisateurs réutilisent les mêmes mots de passe sur plusieurs sites. Quand un site est compromis (fuite de bases), les attaquants achètent ces credentials et les testent en masse sur des sites à valeur (banques, marketplaces, emails).

Défense : un mot de passe unique par site, géré par un password manager. C'est le levier de protection #1 contre cette attaque, et il rend le phishing par identifiant inoffensif (le mot de passe volé sur le site bidon ne marche nulle part ailleurs).

Le malvertising désigne les publicités malveillantes diffusées via des régies légitimes (Google Ads, Meta, TikTok). Les attaquants achètent des emplacements pub et redirigent vers des fausses pages.

Cas observés en France : - Pubs Google Ads de faux sites « carte grise » ou « préfecture » apparaissant au-dessus des résultats officiels - Pubs vidéo deepfake célébrités sur Meta / TikTok poussant des plateformes crypto bidon - Popups « virus détecté » qui poussent vers un faux support Microsoft

Défense : ne clique pas sur les pubs sponsorisées pour des démarches administratives — fais défiler jusqu'au résultat officiel en .gouv.fr.

Le typosquatting consiste à enregistrer des domaines qui imitent une marque officielle avec une variation subtile :

- Permutation de lettres : amaz0n-fr.shop (0 au lieu de o) - TLD alternatif : amazon.shop, amazon.top au lieu de amazon.fr - Ajout d'un mot : amazon-securite.com, engie-paiement.top - Caractères Unicode visuellement identiques (homoglyphes)

Réflexe défensif : ne pas se fier à l'apparence du logo ou du design d'une page, lire caractère par caractère le domaine dans la barre d'URL.

Le scareware joue sur la panique pour court-circuiter le raisonnement. Forme la plus courante : popup fullscreen « votre ordinateur est infecté » avec un faux numéro Microsoft à rappeler, ou une voix synthétique en boucle.

L'objectif est de pousser la victime à appeler le numéro, où un « technicien » fera installer un outil de prise de contrôle à distance (AnyDesk, TeamViewer) sous prétexte de réparation, puis volera données et accès bancaires.

Réflexe : Echap + Alt+F4 ferment la fenêtre. Aucune popup réelle d'éditeur d'antivirus ne demande de rappeler un numéro.

Le RGPD (Règlement Général sur la Protection des Données, 2018) impose aux organisations qui collectent des données personnelles d'utilisateurs européens :

- Une base légale claire (consentement, contrat, intérêt légitime…) - Une finalité précise et explicite - Le droit d'accès, de rectification, d'effacement - La notification des fuites de données en 72h

Du côté arnaque, les fuites de données récurrentes (CAF, opérateurs télécom, hôteliers Booking) nourrissent les bases d'attaquants : numéros de téléphone, emails, noms collectés permettent un ciblage personnalisé qui rend les SMS et emails phishing beaucoup plus crédibles.

Un compte mule (money mule) est un compte bancaire — souvent étranger ou e-money (Revolut, N26, Wise) — utilisé pour recevoir des fonds détournés avant de les blanchir.

Les comptes mules sont parfois créés par les attaquants eux-mêmes via fausses identités, parfois loués à des particuliers vulnérables convaincus de gagner un revenu facile (ces particuliers s'exposent à des poursuites pénales pour blanchiment).

Conséquence pratique : si un virement parti de ta banque atterrit sur un compte mule à l'étranger, les chances de récupération sont proches de zéro au-delà de 24h. Toute la défense doit être en amont.

L'ingénierie sociale (social engineering) est la composante humaine de toute arnaque. Elle exploite des leviers psychologiques :

- Urgence : « action requise sous 24h », « coupure imminente » - Autorité : se faire passer pour banque, impôts, police - Réciprocité : un petit service rendu d'abord pour créer une dette morale - Engagement : une fois une première saisie faite, on continue - Peur : « votre compte est compromis », « un virus a été détecté » - Confiance : relation construite sur des semaines (pig butchering, fraude sentimentale)

Toute défense technique (2FA, antivirus, etc.) peut être contournée si l'attaquant manipule directement l'humain. C'est pour ça que les procédures internes (en entreprise) et les règles personnelles (« je ne valide jamais un virement par téléphone ») sont la couche défensive la plus importante.

Le spear phishing désigne un phishing ciblé, où l'attaquant a fait du repérage préalable (OSINT) sur sa victime : LinkedIn, réseaux sociaux, organigramme, signatures de mails précédemment compromis.

Les emails / appels qui en résultent sont personnalisés : ils citent le nom du conseiller habituel, mentionnent une opération récente, utilisent le vocabulaire interne de l'entreprise. Beaucoup plus crédibles que les phishings de masse.

Cible classique en entreprise : services comptables, assistants de direction, DSI. Cible classique chez les particuliers : investisseurs crypto ou personnes en situation patrimoniale visible (mentions immobilières publiques, posts LinkedIn).

Le quishing exploite le QR code comme vecteur de phishing. Variantes observées :

- Faux QR collés sur des bornes de paiement parking (Sytadin, EasyPark, OPnGO) renvoyant vers une fausse page de paiement - QR codes glissés sur des affiches restaurants ou des bornes administratives - QR codes envoyés en pièce jointe d'un email pour contourner l'analyse antiphishing des URLs

Défense : avant de scanner un QR public, vérifie qu'il n'est pas un autocollant superposé. Une fois scanné, regarde l'URL avant de remplir quoi que ce soit. Évite de saisir CB ou identifiants depuis un QR non-vérifié.