Dernière minute pour la fête des pères : le clic qui vole vos données
Ce dimanche, 16 juin, des millions de Français vont cliquer « acheter » à 23 h 58. Dans la seconde qui suit, un faux site au nom presque identique à celui d’une grande marque va récupérer leur numéro de carte, leur nom, leur adresse et leur sang-froid. Le festival du phishing est ouvert.
David Blanch, directeur digital du registrar espagnol cdmon, a passé les huit derniers jours à piéger ces clones. Il en a déjà recensé 312 rien que sur le domaine « .fr ». « Le modus operandi ne change pas : on remplace un « o » par un « 0 », on ajoute « -soldes » ou « -livraison », et le piège est tendu », raconte-t-il. « Sur mobile, à toute vitesse, personne ne remarque la différence. »
Incidents en hausse de 26 % en un an
L’Institut national de cybersécurité (INCIBE) vient de publier son baromètre 2025 : 122 223 incidents recensés, soit 26 % de plus qu’en 2024. Parmi eux, 45 000 relèvent de la fraude en ligne. Les jours de fête – Père, Mère, Black Friday – concentrent à eux seuls 38 % des plaintes annuelles. « Les escrocs savent que le cerveau est en mode “dernière minute” », résume Blanch.
Leur arme favorite ? Un nom de domaine acheté 5 € et une copie conforme du visuel Amazon, Cdiscount ou La Redoute. Le site promet 70 % de réduction sur un robot multifonction introuvable ailleurs. La page de paiement récupère les données bancaires, les paramètres du téléphone, et parfois même la photo de la carte d’identité téléchargée « pour valider la commande ». En dix minutes, l’arnaque est bouclée, le site fermé, l’argent transféré via des cryptomonnaies.
Le lien qui tue vient de votre fils
Autre vecteur : les faux SMS de suivi Colissimo. « Votre colis est en attente, cliquez ici », précise le message. Le lien mène à une page qui imite la charte jaune de La Poste et demande « 2 € de frais de dossier ». Le paiement validé, on récupère un numéro de carte valide revendu 20 € sur Telegram. « On a vu des familles entières piratées parce que le papa a voulu s’épargner les frais de port », ironise l’expert.
Les réseaux sociaux ne sont pas en reste. Une publicité sponsorisée sur Instagram vante un barbecue connecté à 39 € au lieu de 249 €. Le commentaire le plus liké : « reçu en 3 jours, top ! ». Le profil est faux, le commentaire aussi, mais 3 200 personnes ont déjà cliqué. « Les plateformes mettent 48 h à retirer l’annonce, suffisant pour que l’escroc ait disparu », déplore Blanch.
Comment ne pas se faire avoir
Vérifiez l’URL : un « s » oublié à « https » ou un accent manquant à « fnac.com » sont des signaux d’alarme. Tapez le nom du site dans la barre d’adresse, ne suivez jamais un lien depuis un mail ou un SMS. Passez au crible les avis : si la boutique n’a que cinq commentaires postés la même semaine, fuyez. Enfin, réglez avec une carte virtuelle ou PayPal ; jamais de virement, jamais de carte bleue en main propre.
La fête des Pères, c’est 1,3 milliard d’euros de commandes en France. Les fraudeurs visent 1 % de ce gâteau, soit 13 millions. « Un seul clic suffit à transformer un cadeau en cauchemar », conclut Blanch. Cette année, offrez-lui une montre, pas ses données bancaires.