Protégez-vous des arnaques numériques

Chaque jour, des milliers de personnes se font avoir par des escroqueries en ligne, et tout le monde est concerné. Faux e-mails, SMS piégés, appels frauduleux… c’est très facile de tomber dans le piège. Mais bonne nouvelle : avec quelques réflexes simples, on peut éviter le pire. C’est justement le but de la conférence « Protégez-vous des arnaques numériques » organisée par l’association « Le Partage » et que j’animerai le samedi 10 mai 2025 à 15h, Salle des Terres Blanches à Amilly. Cette conférence est gratuite (sans jargon technique, promis !) et vous apprendra à repérer les arnaques courantes et à réagir efficacement.

Parce que même si vous pensez être prudent, les chiffres montrent que personne n’est à l’abri : 73 % des Français ont été confrontés à une tentative de phishing (hameçonnage) et 61 % déclarent avoir été victimes d’au moins une cyberarnaque sur l’année écoulée (Sources : Ipsos et Cybermalveillance.gouv.fr). Autrement dit, il est plus que jamais crucial de se tenir informé !

Dans la droite lignée de l’article que j’ai publié en 2022 sur le sujet (Détecter et se protéger du Phishing) je vous propose ici de repasser en revue les pièges classiques à éviter, jeter un œil aux nouvelles formes d’arnaques qui émergent (les escrocs ne sont jamais à court d’imagination…), rappeler les bons réflexes de base pour se protéger et présenter quelques outils pratiques à connaître. Nous verrons enfin quelles mesures d’urgence prendre si, malgré tout, vous vous faites piéger. C’est parti !

Arnaques numériques « classiques » : e-mails, SMS, appels… ne tombez pas dans le panneau

Commençons par les arnaques classiques, celles que vous avez sûrement déjà vues passer dans votre boîte mail ou sur votre téléphone. L’hameçonnage (phishing) traditionnel reste l’arme favorite des escrocs. Le principe est simple : vous recevez un message (e-mail, SMS, ou même appel téléphonique) qui prétend provenir d’une source de confiance – votre banque, un service en ligne connu, une administration, etc. – et qui vous incite à fournir des informations confidentielles ou à cliquer sur un lien.

• Emails frauduleux : par exemple un faux mail de votre banque vous signalant un « problème de compte » ou un faux mail des impôts vous promettant un remboursement. L’objectif est de vous faire cliquer sur un lien vers un faux site qui imite le vrai site. Si vous entrez vos identifiants sur cette copie, ils tombent dans les mains du pirate et… vous êtes piégé.
• SMS pièges : c’est le smishing (phishing par SMS). Un texto vous informe qu’un colis n’a pas pu être livré, ou que votre compte Netflix a été suspendu, avec un lien à cliquer. Là encore, le lien mène à un faux site où l’on va tenter de vous dérober des infos ou de l’argent (paiement de faux frais de douane, par exemple).
• Faux appels téléphoniques : on parle de vishing (phishing vocal). Un individu vous appelle en se faisant passer pour un conseiller bancaire ou un support technique. Il vous dit par exemple qu’un paiement suspect a été détecté sur votre compte ou que votre ordinateur a un virus, et qu’il faut agir vite. Sous le coup du stress, on peut être tenté d’obéir. Or, les banques ne demandent jamais vos codes de carte bancaire par téléphone, pas plus que Microsoft ne vous appellera spontanément pour un virus… Ce type d’arnaque téléphonique a fait de nombreuses victimes ces derniers temps (en 2024, 20 % des Français disent avoir été contactés par de faux conseillers bancaires !).

Comment reconnaître ces arnaques ? La clé, c’est de rester vigilant et d’exercer son esprit critique. Voici quelques réflexes à adopter face à un message ou appel douteux (c’était déjà le conseil central de mon article précédent sur le phishing) :

1. Vérifiez l’expéditeur : regardez l’adresse e-mail ou le numéro de téléphone. Si le nom de domaine de l’adresse ne correspond pas exactement à l’organisme prétendu (par ex. banque-securite.com au lieu de banque.com), méfiez-vous. Idem si le numéro est masqué ou étranger pour un appel soi-disant local.
2. Ne cliquez pas sur les liens suspects : la règle d’or. Si vous recevez un message « Netflix », ne cliquez pas – connectez-vous vous-même sur le site ou l’appli Netflix pour vérifier votre compte. De même pour votre banque, EDF, les impôts, etc. Allez toujours directement sur le site officiel au lieu de suivre un lien reçu.
3. Attention aux pièces jointes : n’ouvrez jamais une pièce jointe envoyée par un inconnu. Un CV en PDF d’un expéditeur inconnu, une facture en .zip que vous n’attendiez pas… poubelle directe ! Ces fichiers peuvent cacher des virus ou des logiciels malveillants (espions ou malwares).
4. Scrutez le contenu : les arnaques les plus grossières comportent souvent des fautes d’orthographe ou une mise en page amateur. Si le logo est flou, le texte mal traduit, c’est louche. Ceci dit, attention : certains faux messages sont aujourd’hui très bien faits et sans faute. La langue irréprochable n’est plus une garantie à 100% (avec l’essor des outils comme ChatGPT, les escrocs rédigent des mails de plus en plus crédibles).
5. Méfiez-vous des demandes urgentes ou trop belles pour être vraies : si on vous met la pression (« votre compte sera bloqué dans 24h », « dernière chance de récupérer un colis ») ou qu’on vous appâte avec une offre improbable (« Vous avez gagné un iPhone »), c’est qu’il y a anguille sous roche. Les escrocs jouent sur la peur et l’appât du gain : ne tombez pas dans le panneau.
6. Ne donnez jamais vos informations sensibles suite à un contact non sollicité : mot de passe, numéro de carte bancaire, code SMS de validation… aucun organisme sérieux ne vous demandera ce genre d’info par e-mail ou SMS inattendu. Pareil au téléphone : ne dictez jamais vos codes à quelqu’un qui vous appelle à l’improviste. En cas de doute, dites que vous rappellerez plus tard et contactez directement le service officiel pour vérifier.
7. Au travail, redoublez de prudence : l’hameçonnage existe aussi en entreprise. Si vous recevez un courriel étrange de votre patron ou collègue vous demandant une action inhabituelle (ex : transfert d’argent urgent), vérifiez en personne ou par téléphone interne que c’est bien lui. Une simple confirmation peut éviter un drame financier (les arnaques au « faux président » ont fait perdre des sommes énormes à des sociétés en usurpant l’identité d’un dirigeant).

Enfin, un conseil important concernant la navigation web : ne vous fiez pas aveuglément au petit cadenas de sécurité dans la barre d’adresse. Ce cadenas indique seulement que la connexion entre vous et le site est chiffrée, rien de plus. Même un site frauduleux peut afficher un cadenas ! (j’en parle très en détail dans cer article : Ça veut dire quoi le cadenas des sites Internet ?)

Aujourd’hui, pratiquement tous les sites (y compris les sites d’arnaque) utilisent le protocole HTTPS et obtiennent un cadenas dans le navigateur (on peut l’obtenir gratuitement). Cela ne garantit en rien que le site est légitime. Donc, cadenas ou pas, gardez l’œil critique et vérifiez que vous êtes sur la vraie adresse du site en question.

Nouvelles ruses des escrocs : attention aux deepfakes et usurpations d’identité 2.0

Les arnaqueurs ne manquent pas d’imagination et savent exploiter les nouvelles technologies. Ces derniers temps, on voit apparaître des fraudes plus sophistiquées qui vont au-delà de l’e-mail bidon truffé de fautes. Voici deux tendances inquiétantes à connaître :

• Le clonage vocal et les deepfakes audio : Vous l’avez peut-être entendu aux infos, il est désormais possible d’imiter presque parfaitement la voix de quelqu’un à l’aide d’une intelligence artificielle. Il suffit parfois de quelques secondes d’enregistrement de la voix d’une personne pour créer un faux vocal indiscernable de la réalité. Concrètement, un escroc peut récupérer un extrait de votre voix (par exemple une vidéo de vous parlant sur les réseaux sociaux), le donner à une IA qui va cloner votre façon de parler, puis appeler un de vos proches en se faisant passer pour vous ! Le proche décroche, croit reconnaître votre voix affolée qui lui demande de l’argent en urgence… et peut se faire avoir. Une étude récente au Royaume-Uni a montré que plus d’un quart des gens interrogés ont déjà été ciblés par ce genre d’arnaque au faux proche. Effrayant, non ? Imaginez recevoir un appel de votre « fils » en détresse qui réclame un virement immédiat… Qui ne serait pas troublé ? Le pire, c’est que près de la moitié des personnes n’ont jamais entendu parler de ces arnaques à la voix clonée. Il est donc urgent d’en parler autour de vous pour que tout le monde soit sur ses gardes. Le bon réflexe face à un appel suspect d’un proche en demande d’argent : raccrochez et rappelez-le sur son numéro habituel ou posez-lui une question personnelle que seul le vrai proche connaît. Ne faites jamais de virement sous le coup de l’émotion sans vérifier l’histoire par un autre moyen.

Un exemple vaut mille mots, je vous invite à écouter ceci : c’est ma voix (ceux qui me connaissent en vrai pourront en attester, mais je n’ai jamais prononcé ces mots ! C’est un ami qui s’est amusé à me faire déclamer du « La Fontaine » façon « Titi parisien des années 1900 ». Il ne lui a fallu que quelques secondes d’une conversation prise « à la volée » pour produire cette fable…

• Les images et vidéos manipulées (deepfakes vidéo) : Après la voix, les escrocs peuvent aussi usurper l’image. Des logiciels deviennent capables de créer de fausses vidéos où l’on voit et entend une personne dire des choses qu’elle n’a jamais dites. Dans le monde de l’entreprise, on a déjà vu un employé transférer 25 millions de dollars en croyant obéir à son patron lors d’une visioconférence truquée — le patron à l’écran était en réalité un deepfake vidéo fabriqué par des escrocs ! Plus près de nous, en France, une arnaque sentimentale utilisant de fausses images d’une célébrité (le « faux Brad Pitt ») a soutiré plus de 800 000 € à une victime qui pensait correspondre en ligne avec l’acteur. On le voit, ces techniques peuvent toucher tout le monde, particuliers comme entreprises. Pour l’instant, les trucages vidéo conservent souvent de petits indices d’irrégularité (expressions du visage figées, mouvements des lèvres pas tout à fait synchrones…). Mais il devient de plus en plus difficile de distinguer le vrai du faux. La meilleure parade est encore une fois de rester vigilant : ne faites pas confiance aveuglément à ce que vous voyez/entendez en vidéo si une demande financière inhabituelle en découle. En cas de doute sur l’identité d’un interlocuteur en visioconférence, n’hésitez pas à poser des questions de contrôle ou à proposer une rencontre ou une réunion physique si possible.

En résumé, les escroqueries évoluent avec la technologie. La plupart des Français sont encore peu familiers de ces nouveaux termes (seuls 27 % disent savoir ce qu’est un « deepfake » par exemple). Pas de panique pour autant : en connaissant ces menaces, vous avez déjà une longueur d’avance pour ne pas tomber dans le piège. Le fait d’en avoir conscience vous aidera à réagir avec prudence plutôt qu’avec panique si un jour vous êtes confronté à une situation bizarre.

Des outils pratiques pour vérifier sans risque (liens, URL, QR codes…)

On a vu qu’il fallait éviter de cliquer n’importe où. Mais parfois, par curiosité ou par besoin de vérifier, on aimerait bien examiner un lien suspect sans prendre de risque. Bonne nouvelle : il existe des outils en ligne pour ça ! Avant de cliquer sur un lien douteux, pensez à :

• Analyser le lien : Copiez-collez l’URL (l’adresse web) sans la charger dans votre navigateur sur un service de vérification. Par exemple, des sites comme VirusTotal permettent d’analyser une URL ou un fichier en le comparant à des bases de sites malveillants connues. Si l’URL apparaît comme dangereuse, vous serez fixé tout de suite. D’autres outils en ligne ou extensions de navigateur peuvent vous donner un rapport sur un site (réputation, localisation du serveur, etc.) avant que vous ne le visitiez.
• Utiliser un expandeur d’URL : Si le lien est raccourci (du type bit.ly/abc… ou tinyurl.com/…), vous pouvez utiliser un expandeur pour connaître la vraie adresse qu’il cache. Des sites web proposent ce service : on y entre le lien raccourci et ils vous affichent l’URL complète de destination. Pratique pour débusquer un bit.ly qui cacherait en fait http://pirate-masp quer.com/login par exemple.
• Vérifier les QR codes : Les QR codes sont partout (menus de restaurant, publicités, formulaires Covid à l’époque…). Les pirates en profitent aussi : ils peuvent coller de faux QR codes par-dessus des affiches officielles, ou vous envoyer un QR code par mail, qui lui aussi renvoie vers un site piégé. Avant de scanner un QR code inconnu, prenez garde. Idéalement, utilisez une application de lecture de QR code sécurisée qui affiche l’URL cible avant d’ouvrir le navigateur. Sur smartphone, la caméra native affiche en général un aperçu du lien : lisez-le attentivement. S’il vous paraît louche ou n’a rien à voir avec le contexte (par ex. un QR code censé renvoyer vers le site de la Poste qui affiche un lien bizarre non lié à laposte.fr), n’ouvrez pas la page. Il existe aussi des sites où vous pouvez uploader une image de QR code pour en décoder le contenu sans risque. Bref, ne faites pas une confiance aveugle à ces petits carrés noirs et blancs !

En adoptant ces habitudes, vous ajoutez une couche de sécurité à votre navigation. Prendre quelques secondes pour vérifier peut vous éviter des heures (ou des années) de soucis ensuite. N’hésitez pas à former vos proches à faire de même : tout le monde n’a pas connaissance de ces outils simples, pensez-y quand Papa/Maman ou votre ami peu technophile vous montre un message suspect.

Renforcez vos défenses : bonnes pratiques supplémentaires

Outre la vigilance face aux messages, il y a d’autres bonnes pratiques à adopter au quotidien pour réduire les risques d’arnaque ou du moins limiter les dégâts si jamais ça arrive. Voici quelques conseils supplémentaires qui complètent ceux que j’ai donnés dans mon premier article sur le phishing :

• Utilisez des mots de passe uniques et complexes : Dans l’article initial, nous insistions sur le fait de ne jamais divulguer vos mots de passe. Mais il faut aussi bien les choisir ! Un mot de passe robuste (long, avec des caractères variés) et différent pour chaque compte évitera qu’un pirate qui en obtient un puisse accéder à tous vos autres services. Si vous réutilisez le même partout, une simple fuite de données sur un site X peut conduire à vous faire pirater la totalité de vos comptes Y et Z… Utilisez un gestionnaire de mots de passe si besoin pour ne pas avoir à tous les mémoriser.
• Activez la double authentification (2FA) : C’est probablement LA mesure de sécurité supplémentaire la plus efficace. La double authentification, c’est le fait de devoir fournir un second code (généré sur votre téléphone par exemple) en plus du mot de passe pour se connecter. Ainsi, même si un escroc obtient votre mot de passe, il ne pourra pas se connecter à votre compte sans ce second facteur. De nombreux services (banque, messageries, réseaux sociaux…) proposent l’option : activez-la systématiquement quand c’est possible.
• Limitez les infos personnelles que vous partagez en ligne : Plus vous divulguez de données sur vous (date de naissance, nom de jeune fille de maman, noms de vos animaux… toutes ces petites infos qu’on adore partager sur Facebook), plus il est facile pour quelqu’un de vous usurper votre identité ou de deviner des réponses à vos questions de sécurité. Par exemple, évitez de poster publiquement des échantillons de votre voix ou des vidéos privées, car on l’a vu, ça peut servir à du clonage vocal ou vidéo. Vos photos aussi peuvent être réutilisées (pour créer de faux profils à votre nom, etc.). Partagez en mode privé avec vos amis, pas en mode public.
• Surfez en mode navigation privée quand nécessaire : Le mode privé (incognito) de votre navigateur ne vous rend pas anonyme sur Internet, mais il empêche l’enregistrement de certaines données (historique, cookies) sur votre appareil. Cela peut être utile si vous consultez un site douteux : à la fermeture, tout sera effacé. Idem si vous utilisez un ordinateur qui n’est pas le vôtre. Ce n’est pas une protection magique, mais c’est un petit plus pour ne pas laisser de traces locales ni rester connecté involontairement à des services.
• Soyez maître de vos cookies : En parlant de cookies, prenez l’habitude de gérer les cookies lorsque le site vous le propose. Refusez les cookies non nécessaires, surtout sur des sites que vous n’utilisez pas fréquemment. Les cookies tiers peuvent suivre votre navigation et, dans de rares cas, des cookies malveillants peuvent être utilisés pour voler des sessions (même si c’est moins courant que d’autres attaques). En clair, nettoyer régulièrement vos cookies et votre cache ne fait pas de mal. C’est avant tout pour protéger votre vie privée, mais une personne mal intentionnée qui aurait un accès physique ou distant à votre ordinateur trouvera moins d’éléments exploitables si vous faites le ménage.

En appliquant ces bonnes pratiques, vous élevez votre niveau de sécurité général. Pensez sécurité un peu comme on pense à fermer sa porte à clé en sortant de chez soi : ce sont de petites habitudes à prendre, et après coup on le fait sans même y penser.

Que faire en cas d’arnaque ? Les mesures d’urgence

Malgré toutes les précautions du monde, le risque zéro n’existe pas. Personne n’est infaillible, et les arnaqueurs arrivent parfois à leurs fins, hélas. Si vous réalisez que vous avez peut-être été victime d’une arnaque numérique, il faut agir vite pour limiter la casse. Voici les mesures d’urgence à prendre sans tarder :

• Coupez court au contact : si l’arnaque est en cours (appel téléphonique suspect, chat, etc.), mettez fin à l’échange. Ne donnez pas plus d’informations.
• Contactez les organismes concernés : Vous avez cliqué sur un faux mail de banque et rempli un formulaire ? Appelez votre banque immédiatement pour faire opposition et bloquer votre carte si vous avez communiqué des infos bancaires. Vous avez donné votre mot de passe de messagerie ? Connectez-vous vite (si possible) pour changer le mot de passe et informez le support du service si nécessaire. En cas de doute sur un paiement ou un compte en ligne, mieux vaut les prévenir tout de suite.
• Changez vos mots de passe compromis : si vous avez révélé un mot de passe ou si vous pensez qu’on a pu le dérober, changez-le sans attendre sur le service en question, ainsi que sur tout autre service où vous auriez utilisé le même (mais rappelez-vous, vous n’utilisez plus le même mot de passe partout, n’est-ce pas ?).
• Conservez les preuves : sauvegardez les e-mails suspects, faites des captures d’écran des SMS ou des conversations. Elles pourront servir à d’éventuelles investigations. Ne supprimez pas tout sous le coup de la panique.
• Déposez plainte : pour toute arnaque impliquant un préjudice (vol d’argent, usurpation d’identité…), n’hésitez pas à aller porter plainte au commissariat ou à la gendarmerie. Même si on ne retrouve pas le coupable immédiatement, votre signalement est important pour traquer ces réseaux et peut-être éviter d’autres victimes.
• Signalez l’arnaque sur les plateformes dédiées : En France, le site officiel cybermalveillance.gouv.fr propose un service d’assistance en ligne (le dispositif 17Cyber) pour vous guider si vous êtes victime. Vous pouvez y signaler votre situation et obtenir des conseils personnalisés. Par ailleurs, pensez à alerter les services spécialisés : par exemple, transférez un spam ou phishing par mail à Signal Spam (partenaire de la CNIL) et signalez un SMS frauduleux en le transmettant au 33700. Ces signalements permettront de faire bloquer des liens malveillants (via des initiatives comme Phishing Initiative) et d’avertir les opérateurs afin de couper les numéros frauduleux. En prévenant les autorités et les plateformes, vous contribuez à la lutte collective contre les arnaques.
• Surveillez vos comptes : dans les semaines qui suivent, restez attentif à vos relevés bancaires, à vos factures téléphoniques, à l’activité de vos comptes en ligne. Si vous repérez quelque chose d’inhabituel (prélèvement inconnu, messages déjà lus que vous n’avez pas ouverts, etc.), signalez-le à votre banque ou au service client concerné sans tarder.
• Apprenez de l’incident : ça peut paraître bête, mais ne vous flagellez pas si vous êtes tombé dans le panneau. Les arnaques sont de plus en plus pointues et personne n’est invulnérable. L’important est de réagir vite et de retenir la leçon pour l’avenir. Parlez-en autour de vous, cela peut aider d’autres personnes à éviter de subir la même mésaventure.

En conclusion : informer, partager et rester vigilant

Les arnaques numériques font désormais partie de notre quotidien connecté. Heureusement, en connaissant les pièges courants et les nouvelles ruses des escrocs, on peut grandement réduire les risques de se faire avoir. Cet article vous a présenté un aperçu des menaces et des parades à adopter – et j’espère qu’il vous aura convaincu de l’importance de la sensibilisation.

Bien sûr, rien ne remplace une bonne discussion et des exemples concrets pour vraiment prendre la mesure du problème. C’est pourquoi je vous invite chaleureusement à la conférence du 10 mai 2025 à Amilly si vous êtes dans le coin. On y abordera de manière vivante tous ces sujets, avec des démos, des questions-réponses, et sans jargon technique (tout public oblige). Ce sera l’occasion de pratiquer quelques détections d’arnaques ensemble, de partager des anecdotes, et de repartir avec des outils utiles en tête. Et si vous ne pouvez pas venir, pas de souci : n’hésitez pas à parcourir mes autres articles sur le blog, par exemple celui qui explique le vrai sens du cadenas de sécurité des sites Web ou mon dossier complet pour détecter et se protéger du phishing. Plus vous accumulez de connaissances, plus vous serez armés face aux arnaqueurs.

Ensemble, restons vigilants et déjouons les pièges du numérique. Parlez de ces arnaques autour de vous, aidez vos proches moins technophiles en partageant ces conseils, et surtout gardez confiance : en appliquant ces bonnes pratiques, vous pouvez naviguer sur Internet en toute sérénité ou du moins savoir réagir en cas de pépin. L’important, c’est de ne pas céder à la panique mais de garder son bon sens.

J’espère vous voir nombreux à Amilly pour la conférence – venez avec vos questions et votre bonne humeur ! En attendant, prenez soin de vous… et de vos données.

Boîte à outils

Vérificateurs de liens :

• NORD VPN : https://nordvpn.com/fr/link-checker
• BIT DEFENDER : https://www.bitdefender.com/fr-fr/consumer/link-checker
• VIRUS TOTAL : https://www.virustotal.com/gui/home/url

Vérificateurs de liens courts : (URL expander)

• https://unshorten.it
• https://www.expandurl.net/
• https://www.getlinkinfo.com/
• https://checkshorturl.com/
• https://grabify.org/fr/expander/
• https://surl.li/fr/check-short-url

Le site de phishing initiative

• https://phishing-initiative.eu/contrib/

Le site pour signaler les Spams

• https://signal-spam.fr/

Le Portail officiel de signalement des contenus illicites de l’Internet

• https://www.internet-signalement.gouv.fr/PharosS1/

Le dossier phishing sur le site du gouvernement

https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/dossier-phishing

Les fiches mémo offertes par le site, à imprimer et à afficher au bureau et à la maison. Donnez-les à vos aînés, à vos enfants.

Publication de la version complète du kit de sensibilisation aux risques numériques

https://www.cybermalveillance.gouv.fr/medias/2020/01/Memo_hameconnage.pdf