L'industrialisation des arnaques financières par ingénierie sociale
Mécanismes d'agression numérique, cadres jurisprudentiels et stratégies de lutte en France
La numérisation accélérée des transactions financières s'est accompagnée d'une mutation profonde de la délinquance économique. En France, les infrastructures de sécurité technique des établissements bancaires s'étant considérablement renforcées, les réseaux cybercriminels ont réorienté leurs offensives vers le maillon le plus vulnérable de la chaîne de sécurité : l'utilisateur final. L'ingénierie sociale, qui consiste à manipuler psychologiquement une victime pour lui extorquer des informations confidentielles ou lui faire valider des transactions à son insu, s'est industrialisée à grande échelle.
Cette transition stratégique se traduit par une explosion des préjudices financiers et met sous tension les cadres réglementaires et jurisprudentiels traditionnels. L'analyse des données de l'Observatoire de la sécurité des moyens de paiement (OSMP), du Centre de recherche pour l'étude et l'observation des conditions de vie (CREDOC) et du dispositif national Cybermalveillance.gouv.fr met en évidence la généralisation de cette menace sur le territoire national.
La dynamique de la menace : Analyse statistique et sociologique
L'exposition des citoyens français aux e-escroqueries a atteint un niveau critique. Selon l'enquête « Conditions de vie et aspirations » du CREDOC, une écrasante majorité des internautes est désormais la cible de ces manœuvres. Les préjudices ne sont plus seulement financiers ; ils comportent une dimension psychologique majeure qui déstabilise durablement les victimes.
|
Indicateur statistique de la délinquance numérique
|
Valeur observée
|
Période de référence
|
Source des données de référence
|
|
Part des internautes de 15 ans et plus exposés aux arnaques
|
73 %
|
Année 2025
|
CREDOC
|
|
Part des internautes ayant été effectivement victimes d'une arnaque
|
Près de 4 sur 10 (40 %)
|
Année 2025
|
CREDOC
|
|
Nombre total de crimes et délits liés au numérique enregistrés
|
453 200 infractions
|
Année 2025
|
Ministère de l'Intérieur
|
|
Volume annuel de signalements de phishing enregistrés
|
1,6 million
|
Année 2025
|
GIP ACYMA / Signal-Spam
|
|
Pertes financières directes estimées imputables au phishing
|
310 millions d'euros
|
Année 2025
|
GIP ACYMA
|
|
Impact psychologique signalé par les victimes d'atteintes numériques
|
41 % des victimes
|
Année 2025
|
CREDOC
|
|
Part des seniors (60 ans et plus) parmi les victimes avec préjudice financier
|
45 %
|
Année 2025
|
Signal-Spam / ANSSI
|
|
Perte financière moyenne subie par les plus de 60 ans
|
1 200 €
|
Année 2025
|
Cybermalveillance.gouv.fr
|
L'analyse de l'évolution temporelle du phishing en France montre une progression exponentielle des attaques de masse au cours de la décennie. Les campagnes d'attaque se sont affinées techniquement, notamment grâce à l'intégration d'outils d'intelligence artificielle générative qui permettent de formuler des messages d'hameçonnage dans un français irréprochable, exempt des fautes d'orthographe ou de syntaxe qui constituaient historiquement des signaux d'alerte majeurs pour les utilisateurs avertis.
La formation à la détection s'avère particulièrement discriminante : les données indiquent que les utilisateurs ayant bénéficié d'une sensibilisation identifient 70 % des tentatives de phishing, contre seulement 30 % pour les personnes non formées.
|
Année de référence
|
Volume de signalements de phishing enregistrés
|
Taux d'évolution annuel moyen
|
|
2020
|
0,3 million
|
Base de référence
|
|
2021
|
0,5 million
|
+ 66,7 %
|
|
2022
|
0,7 million
|
+ 40,0 %
|
|
2023
|
0,9 million
|
+ 28,6 %
|
|
2024
|
1,2 million
|
+ 33,3 %
|
|
2025
|
1,6 million
|
+ 33,3 %
|
Typologie clinique des escroqueries financières en ligne et par téléphone
La cybercriminalité financière contemporaine s'appuie sur une taxonomie de techniques de manipulation qui ciblent les émotions humaines fondamentales : la panique face à une prétendue anomalie de compte, la compassion face à un proche en détresse, ou l'attrait d'un gain financier inespéré.
Hameçonnage multicanal et piratage de comptes pivots
Le piratage des boîtes de messagerie en ligne constitue le point de départ d'une grande partie de la criminalité financière. Les boîtes de réception représentent une mine d'or pour les attaquants puisqu'elles servent de concentrateurs de sécurité permettant la réinitialisation des mots de passe de l'ensemble des services tiers de la victime (banques, sites administratifs, e-commerce). En 2021, le piratage de comptes en ligne avait déjà progressé de 139 % par rapport à 2020, une tendance qui s'est consolidée avec la systématisation des violations de données personnelles. Ces fuites d'informations massives fournissent aux criminels des listes qualifiées comprenant les noms, adresses de messagerie, numéros de téléphone et adresses IP des utilisateurs, facilitant la personnalisation des attaques.
L'hameçonnage traditionnel par courrier électronique (62 % des attaques) coexiste désormais avec le « smishing » (phishing par SMS, représentant 28 % des attaques) et le « vishing » (phishing par téléphone, représentant 10 % des attaques). Le smishing est particulièrement redoutable car il tire parti des habitudes comportementales des utilisateurs, habitués à recevoir des notifications légitimes de livraison de colis ou des alertes de sécurité sur leur ordiphone. Les attaquants exploitent fréquemment des thématiques courantes telles que les relances liées au Compte Personnel de Formation (CPF), les notifications d'assurance maladie (Ameli) ou de prétendues amendes à régler.
|
Secteur d'activité / Marque usurpée
|
Part des campagnes de phishing observées
|
Canaux d'exploitation préférentiels
|
|
Établissements bancaires (Crédit Agricole, BNP Paribas, Société Générale...)
|
28 %
|
SMS, Appels téléphoniques, Courriels
|
|
Services publics et administrations (Ameli, Direction générale des Finances publiques)
|
24 %
|
SMS, Courriels
|
|
Opérateurs de transport et de logistique (La Poste, Colissimo, Mondial Relay)
|
18 %
|
SMS, Courriels
|
|
Plateformes de divertissement et de diffusion continue (Netflix...)
|
12 %
|
Courriels, SMS
|
|
Intermédiaires de paiement et e-commerce (PayPal, Amazon)
|
10 %
|
Courriels
|
|
Opérateurs de télécommunications (Orange, SFR, Free, Bouygues Telecom)
|
8 %
|
Courriels, SMS
|
Les escroqueries à la fausse alerte et au faux conseiller bancaire
La fraude au faux conseiller bancaire représente la variante la plus coûteuse de l'ingénierie sociale. Elle commence généralement par la réception d'un SMS ou d'un courriel alarmiste indiquant qu'une opération financière suspecte est en cours de prélèvement sur le compte de la victime (par exemple, un faux virement en attente, une fausse commande informatique ou une souscription d'antivirus Avast d'un montant de 449,89 €). Ces messages frauduleux contiennent un numéro de téléphone d'urgence à appeler pour contester la transaction.
Lorsque la victime compose ce numéro, elle entre en contact avec un faux téléconseiller qui utilise la technique du spoofing pour afficher sur le terminal de sa victime le véritable numéro de téléphone de sa banque. Le fraudeur, qui dispose souvent d'informations précises obtenues par des fuites de données préalables, manipule psychologiquement la victime. Sous prétexte de "sécuriser" les fonds ou d'annuler la transaction, il l'amène à télécharger un logiciel de contrôle à distance (Remote Desktop Protocol) sur son ordinateur, lui dérobant ainsi l'accès direct à ses comptes, ou la pousse à valider l'ajout de nouveaux RIB bénéficiaires via son application mobile d'authentification forte.
Un mode opératoire similaire est à l'œuvre dans l'arnaque au faux support technique. La victime voit s'afficher sur son écran un message d'alerte bloquant, prétendument émis par Microsoft ou Apple, l'informant d'une infection virale grave. Le message lui intime l'ordre d'appeler d'urgence un numéro de dépannage sous peine de voir ses données définitivement détruites. L'escroc facture alors un faux dépannage d'un montant de plusieurs centaines à plusieurs milliers d'euros et installe des logiciels espions ou souscrit des abonnements abusifs à l'insu de sa victime.
Les escroqueries par dérivation : Chantage, faux virements et fausses urgences
La délinquance numérique s'exprime également à travers d'autres schémas de chantage et d'usurpation d'identité :
- Le chantage à la webcam ou au piratage : La victime reçoit un message affirmant que ses équipements informatiques ou son site internet ont été compromis. Le prétendu pirate indique que les données sensibles ont été exfiltrées vers un serveur offshore étranger et exige le paiement d'une rançon. En matière de chantage intime (sextorsion), les fraudeurs menacent de diffuser des vidéos compromettantes obtenues par ingénierie sociale ou par manipulation d'images (deepfakes). Les paiements sont généralement réclamés via des coupons de recharge prépayés (Transcash, PCS, Western Union) pour rendre la traçabilité financière complexe.
- L'arnaque au proche en situation d'urgence : Un attaquant usurpe l'identité d'un membre de la famille de la victime (par exemple, un enfant affirmant avoir cassé son téléphone et écrivant depuis un nouveau numéro) pour solliciter une aide financière immédiate face à une situation dramatique imaginaire, réclamant des fonds par des moyens de paiement alternatifs.
- L'arnaque nigériane et l'escroquerie à la loterie : Méthodes historiques de la cybercriminalité, elles consistent à faire miroiter l'obtention d'une part d'un héritage bloqué à l'étranger ou d'un gain à une loterie fictive en échange du versement préalable de frais de dossier, de douane ou d'avocat.
- La fraude au faux RIB et l'escroquerie au chèque : Dans la fraude au faux RIB (FOVI), l'escroc intercepte des factures légitimes et transmet de nouvelles coordonnées bancaires falsifiées aux partenaires commerciaux d'une entreprise pour capter les règlements. Concernant l'escroquerie au chèque, elle cible les personnes à la recherche d'un emploi en leur demandant d'encaisser un chèque d'un montant supérieur à leur rémunération prévue et de restituer la différence par virement. Le chèque, volé ou contrefait, finit par être rejeté par la banque après plusieurs jours, laissant le compte de la victime lourdement débiteur.
- Les rabattages vers de faux investissements : Les escrocs exploitent de plus en plus les groupes de discussion sur l'application WhatsApp pour attirer des particuliers vers des réseaux de faux investissements en cryptomonnaies ou des plateformes de fructification d'actifs frauduleuses.
Le rempart technologique : La loi Naegelen et le protocole MAN
Face au fléau de l'usurpation des numéros de téléphone (spoofing), les pouvoirs publics et l'Arcep ont développé un cadre technique coercitif visant à assainir l'infrastructure de télécommunication nationale. Ce dispositif découle directement de l'application de l'article 10 de la loi n° 2020-901 du 24 juillet 2020 visant à encadrer le démarchage téléphonique et à lutter contre les appels frauduleux, dite loi Naegelen.
Le fonctionnement technique du protocole MAN
Le Mécanisme d'Authentification des Numéros (MAN) est une architecture technique de sécurité obligatoire pour l'ensemble des opérateurs téléphoniques acheminant des appels transitant par un réseau IP sous le protocole de signalisation SIP. Son architecture repose sur une chaîne de confiance cryptographique découpée en trois phases distinctes.
[Émetteur de l'appel]
│
▼
[Opérateur de Départ]
└─> 1. Vérification d'affectation du numéro (Contrat)
└─> 2. Signature cryptographique de l'appel (Certificat d'opérateur)
│
▼
[Opérateurs de Transit]
└─> 3. Contrôle de l'intégrité de la signature
│
▼
[Opérateur de Terminaison]
└─> 4. Vérification finale du certificat
└─> 5. Décision : Distribution (Valide) ou Coupure immédiate (Invalide)
│
▼
[Destinataire Final] (Appel sécurisé ou bloqué)
- La signature cryptographique à l'origine : Lorsqu'un utilisateur passe un appel, l'opérateur de départ doit obligatoirement s'assurer de sa légitimité à présenter le numéro de téléphone affiché. L'opérateur de départ insère ensuite dans l'en-tête de signalisation SIP une signature numérique unique générée à l'aide d'un certificat cryptographique délivré par l'Arcep. Cette signature garantit que le numéro de téléphone de l'appelant n'a subi aucune modification ou altération technique pendant son transit.
- Le contrôle d'intégrité en transit : Au fur et à mesure que l'appel chemine à travers les réseaux des opérateurs de transit, ces derniers vérifient la validité de la signature cryptographique associée au numéro. Si la signature est corrompue ou absente, les opérateurs de transit doivent rejeter l'appel.
- La vérification terminale par l'opérateur d'arrivée : L'opérateur qui dessert l'abonné appelé effectue une dernière vérification de sécurité. Si l'authentification est concluante, l'appel est présenté à l'utilisateur. En revanche, si la signature n'est pas valide ou qu'aucun certificat n'est détecté, l'opérateur d'arrivée a l'obligation légale d'interrompre immédiatement la communication.
Les opérateurs affectent des niveaux d'attestation spécifiques (A, B ou C) à chaque appel. L'attestation de niveau A, indispensable pour valider une communication d'entreprise légitime ou un numéro de présentation délégué (NPV), requiert que le numéro ait fait l'objet d'une autorisation contractuelle dûment signée entre le donneur d'ordre et l'opérateur. Tout appel présentant un niveau d'attestation insuffisant (B ou C) doit être interrompu, à l'exception de cas techniques particuliers liés à l'itinérance mobile internationale.
La protection contre le spoofing international et les obligations des entreprises
La réglementation s'attaque également à l'acheminement des appels provenant de l'étranger. Pour stopper les fraudeurs qui utilisent des passerelles IP à l'international pour usurper des numéros de mobiles français (06 ou 07), l'Arcep a instauré au 1er janvier 2026 une mesure de masquage obligatoire. Désormais, les opérateurs français doivent masquer l'identifiant de tout appel mobile provenant de l'étranger s'il n'a pas pu être authentifié de manière cryptographique à l'origine. Le correspondant voit alors s'afficher la mention technique « numéro masqué », ce qui neutralise le sentiment de confiance lié à l'affichage d'un numéro national familier.
Pour les entreprises, la loi Naegelen et le protocole MAN imposent une mise en conformité de leurs infrastructures de téléphonie (IPBX, PBX, Centrex, softphones). Elles doivent s'assurer, en coordination avec leurs prestataires télécoms, que les numéros présentés lors de leurs campagnes d'appels ou par leurs centres de contact externalisés appartiennent bien à la liste des numéros autorisés contractuellement. Tout manquement à ces règles de configuration technique entraîne le blocage automatique de leurs appels par les opérateurs de transit.
L'évolution jurisprudentielle de la responsabilité bancaire (2024-2026)
Le contentieux lié au remboursement des victimes de fraudes par ingénierie sociale a connu d'importantes évolutions juridiques sous l'impulsion de la Chambre commerciale de la Cour de cassation et des cours d'appel françaises. Ces décisions redéfinissent l'application de la notion de « négligence grave » prévue à l'article L. 133-19 du Code monétaire et financier pour répartir la charge du préjudice financier entre le client et sa banque.
Le déclin de la sévérité jurisprudentielle historique vers la protection des victimes
Historiquement, la jurisprudence se montrait sévère envers les clients des banques. Durant la décennie précédente, le simple fait de répondre à un courriel d'hameçonnage en y saisissant ses données bancaires confidentielles ou en validant des codes de sécurité reçus par SMS était systématiquement qualifié de négligence grave par les juges du fond, déchargeant ainsi l'établissement bancaire de toute obligation d'indemnisation (par exemple, Cass. com., 3 octobre 2018, n° 17-21.395 ou CA Metz, 7 juillet 2022, n° 21/01-492).
Toutefois, la sophistication croissante des escroqueries par spoofing a conduit la Haute Cour à opérer un revirement doctrinal majeur à partir de la fin de l'année 2024, en consacrant le principe que la manipulation psychologique orchestrée par un fraudeur vicie le consentement de la victime et atténue sa vigilance.
Les arrêts fondateurs de la Cour de cassation (2024-2025)
Trois arrêts majeurs de la Chambre commerciale de la Cour de cassation structurent le nouveau cadre protecteur des victimes :
- L'arrêt de principe du 23 octobre 2024 (n° 23-16.267) : Dans cette affaire opposant un client à la BNP Paribas, la victime avait été contactée par un individu usurpant le numéro d'appel officiel et l'identité de son conseiller bancaire habituel (Mme [Y]). L'interlocuteur, prétextant une attaque informatique en cours, avait convaincu le client de se connecter à son espace personnel pour supprimer puis réenregistrer cinq bénéficiaires de virement, lui faisant saisir son code confidentiel à plusieurs reprises pour un montant total de 54 500 €. La Cour de cassation a rejeté le pourvoi de la banque en jugeant que l'utilisation concertée du spoofing téléphonique et d'informations personnelles précises met le client en confiance immédiate et abaisse son niveau de vigilance. Les juges ont souligné qu'un appel téléphonique direct place l'utilisateur sous une pression de l'urgence temporelle bien supérieure à celle induite par la réception passive d'un courriel, excluant ainsi la qualification de négligence grave.
- L'arrêt du 30 avril 2025 (n° 24-10.149) : Cet arrêt renforce l'exigence de la charge de la preuve pesant sur les banques. Dans un litige opposant la SARL [M] [H] au Crédit Agricole du Finistère suite à sept virements frauduleux, la Cour d'appel de Rennes avait rejeté la demande d'indemnisation de l'entreprise en retenant la négligence grave du gérant qui avait cliqué sur un courriel de phishing. La Cour de cassation a cassé cet arrêt en affirmant que la banque ne peut s'exonérer de sa responsabilité qu'en prouvant, au préalable et de manière cumulative, que l'opération a été techniquement authentifiée, enregistrée, comptabilisée et qu'elle n'a été affectée par aucune défaillance technique. L'établissement financier ne peut donc pas se contenter d'invoquer la seule mauvaise manipulation du client pour déduire une négligence.
- L'arrêt du 12 juin 2025 (n° 24-13.777) : La Haute Cour a étendu ce principe protecteur aux clients professionnels. Une secrétaire de la société [H] transports, manipulée au téléphone par un individu se présentant comme un technicien informatique de la BNP Paribas résolvant un bug système, avait utilisé un boîtier de lecture de carte de paiement sécurisé (carte CTS) pour valider deux virements frauduleux vers l'Allemagne d'un montant de 98 000 €. La banque a été condamnée à rembourser l'intégralité des fonds, la Cour retenant que les détails transactionnels précis fournis par l'appelant avaient légitimement induit la salariée en erreur et neutralisé le caractère grave de sa faute.
Cette jurisprudence protectrice s'est rapidement diffusée auprès des juridictions du fond et des tribunaux d'instance (comme le TJ Paris, 28 janvier 2025, n° 23/15849 ou le TJ Lille, 11 février 2025, n° 24/05705). Par exemple, la Cour d'appel de Besançon (CA Besançon, 10 février 2026, n° 24/01852) a jugé que le fait de cliquer sur un SMS frauduleux redirigeant vers une fausse interface de la Banque Populaire ne constituait pas une négligence grave, qualifiant le geste de simple imprudence ordinaire. De même, la Cour d'appel de Rouen (CA Rouen, 19 février 2026, n° 25/01563) a relaxé de toute faute grave une cliente de 25 ans ayant transféré des codes de sécurité après avoir été incitée par son interlocuteur à vérifier son numéro d'appel sur un moteur de recherche en ligne, le site officiel de sa banque confirmant l'identité affichée. Enfin, le Tribunal judiciaire de Bordeaux (TJ Bordeaux, 14 mars 2025, n° RG 24/01018) a condamné La Banque Postale à rembourser 4 000 € à une cliente manipulée qui avait remis sa carte physique à un coursier complice dépêché à son domicile, les relevés de connexion applicatifs (Certicode) démontrant que les débits frauduleux avaient été initiés à distance avant même la remise matérielle de la carte.
La reconnaissance du préjudice moral consécutif
La jurisprudence sanctionne désormais l'attitude des établissements bancaires après la survenance de la fraude. En cas de rejet systématique et injustifié des demandes de remboursement des victimes, de silence prolongé ou de déni de dialogue de la part de l'établissement financier, les clients peuvent réclamer l'octroi de dommages-intérêts pour préjudice moral sur le fondement de l'article 1240 du Code civil. La Cour d'appel de Versailles (CA Versailles, 28 mars 2023, n° 21/07299) a ainsi condamné une banque au versement de 1 500 € à ce titre, sanctionnant la mauvaise foi et la gestion déshumanisée du dossier de sinistre de son client.
Les deux limites jurisprudentielles majeures à la responsabilité bancaire
Malgré ce courant protecteur, la Cour de cassation a posé deux limites strictes qui replacent la responsabilité financière sur le client en cas de défaillance caractérisée de sa vigilance :
- La limite de la falsification de l'IBAN (Arrêt du 15 janvier 2025, n° 23-15.437) : Dans cette affaire, un couple d'acheteurs de voiture avait effectué deux virements depuis leur compte à la Caisse d'Épargne du Languedoc Roussillon vers un IBAN qu'ils pensaient être celui du vendeur. Ils avaient découvert ultérieurement que leur messagerie électronique avait été piratée et que l'IBAN du vendeur avait été substitué par celui d'un tiers escroc. Le couple avait assigné la banque pour manquement à son obligation générale de vigilance de droit commun, lui reprochant de n'avoir pas vérifié la concordance entre le nom du bénéficiaire indiqué et le titulaire réel du compte de destination. La Cour de cassation a cassé l'arrêt de la Cour d'appel de Nîmes qui avait condamné la banque. Se fondant sur les règles d'harmonisation de la directive européenne transposer à l'article L. 133-21 du Code monétaire et financier, la Cour a rappelé que si un ordre de paiement est exécuté conformément à l'identifiant unique (l'IBAN) fourni par le client, la banque est réputée avoir valablement exécuté sa prestation. La banque n'a aucune obligation légale de procéder à des vérifications de concordance de nom. Le risque lié à l'exactitude de l'IBAN pèse donc exclusivement sur le donneur d'ordre.
- La limite des messages d'alerte explicites (Arrêt du 4 mars 2026, n° 24-19.588) : Cet arrêt marque un coup d'arrêt à l'indemnisation automatique des victimes d'ingénierie sociale qui ignorent des avertissements textuels dénués de toute ambiguïté. Un client de la Banque CIC Ouest, contacté par un faux conseiller, avait validé deux opérations sur son application mobile sous prétexte de les annuler. Or, l'application affichait sur son écran un message de validation d'une clarté absolue : "vous allez confirmer un paiement. Il ne s'agit ni d'un remboursement, ni d'une annulation". La Cour de cassation a annulé la décision du tribunal de proximité qui avait ordonné le remboursement du client. Elle a jugé que les magistrats doivent impérativement rechercher si le fait de valider une transaction alors qu'un message d'avertissement explicite indique qu'il s'agit d'un paiement ne caractérise pas une négligence grave de la part du payeur. L'arrêt précise également que les obligations de vigilance imposées aux banques au titre de la lutte contre le blanchiment d'argent et le financement du terrorisme (article L. 561-6 du Code monétaire et financier) ont pour seul objet la protection de l'intérêt public et ne peuvent pas être invoquées par un client individuel pour engager la responsabilité contractuelle de sa banque.
Cadre pénal et sanctions applicables aux e-escroqueries
Le droit pénal français réprime sévèrement les infractions constitutives de la cybercriminalité financière. Les parquets qualifient ces agressions numériques sous l'un des délits du Code pénal ou du Code de la propriété intellectuelle.
|
Type d'infraction numérique
|
Base légale (Code pénal / CPI)
|
Peine d'emprisonnement maximale
|
Amende maximale encourue
|
|
Escroquerie en bande organisée ou simple
|
Article 313-1 du Code pénal
|
5 ans d'emprisonnement
|
375 000 €
|
|
Atteinte à un système de traitement automatisé de données (STAD)
|
Articles 323-1 à 323-7 du Code pénal
|
3 à 7 ans d'emprisonnement
|
100 000 € à 300 000 €
|
|
Extorsion de fonds (ransomware / sextorsion)
|
Article 312-1 du Code pénal
|
7 ans d'emprisonnement
|
100 000 €
|
|
Contrefaçon et usage frauduleux de moyens de paiement
|
Articles L. 163-3 et L. 163-4 du Code monétaire et financier
|
7 ans d'emprisonnement
|
750 000 €
|
|
Contrefaçon de marque (usurpation de logos officiels)
|
Articles L. 713-2 et L. 713-3 du Code de la propriété intellectuelle
|
3 ans d'emprisonnement
|
300 000 €
|
|
Non-respect des règles du démarchage téléphonique (Bloctel)
|
Code de la consommation
|
Jusqu'à 2 ans d'emprisonnement (personne physique)
|
300 000 €
|
Protocole d'action et de remédiation pour les victimes
En cas d'attaque financière avérée ou suspectée, l'efficacité de la réaction repose sur le respect scrupuleux d'un parcours séquentiel combinant mise en sécurité financière, préservation des preuves judiciaires et signalement administratif.
[CONSTAT DE LA FRAUDE]
│
▼
1. SÉCURISATION MÉDIATE ──> Opposition immédiate aux moyens de paiement (0 892 705 705) [cite: 17, 33]
│
▼
2. COLLECTE DES PREUVES ──> Captures d'écran, URL, journal d'appels, headers de mail
│
▼
3. SIGNALEMENT ET PLAINTE ─> PERCEVAL (Carte en ligne) / THESEE (Virement / Phishing) [cite: 33, 34]
│
▼
4. RECÈS DE PLAINTE ──────> Transmission formelle du récépissé à la banque sous 13 mois [cite: 35, 36]
│
▼
5. RECOURS EN CAS DE REFUS ─> Saisie du médiateur bancaire -> Tribunal judiciaire [cite: 34, 35]
Étape 1 : La mise en sécurité financière et l'opposition d'urgence
La victime doit immédiatement bloquer la capacité de prélèvement du fraudeur. Pour cela, elle doit faire opposition sur ses cartes bancaires en appelant le serveur d'opposition interbancaire au 0 892 705 705 (service ouvert 24h/24 et 7j/7) ou directement depuis son application client mobile.
Pour les virements bancaires en cours d'exécution, la banque doit être contactée sans délai pour tenter de bloquer les fonds avant leur compensation internationale. Si la victime a partagé un de ses mots de passe pivots, elle doit le modifier immédiatement sur l'ensemble des plateformes en ligne associées.
Étape 2 : La préservation rigoureuse des éléments de preuve
La réussite d'une action judiciaire ou d'une demande de remboursement suppose la collecte systématique de preuves numériques. La victime ne doit en aucun cas nettoyer ses appareils ou supprimer les messages suspects.
Elle doit conserver :
- Des captures d'écran complètes et non recadrées montrant l'heure exacte, la date, l'identifiant de l'expéditeur et les liens URL complets affichés dans la barre de navigation.
- Le code source ou les en-têtes (headers) complets des courriels frauduleux reçus afin de permettre aux enquêteurs d'identifier les adresses IP d'émission.
- Le journal d'appels du téléphone portable montrant le numéro usurpé entrant.
- Les relevés bancaires faisant apparaître les transactions contestées ainsi que les confirmations d'opposition.
Étape 3 : Le choix de la plateforme de signalement et le dépôt de plainte
La victime doit utiliser la plateforme gouvernementale adaptée à la nature précise de l'infraction. Si la fraude concerne un achat en ligne par carte bancaire alors que la victime est toujours en possession physique de sa carte, elle doit utiliser le dispositif PERCEVAL (accessible via FranceConnect sur service-public.fr).
Pour toutes les autres typologies d'e-escroqueries (virements frauduleux, rançongiciels, chantages, faux sites de vente), la victime doit porter plainte sur la plateforme THESEE. Si l'infraction ne rentre pas dans le cadre de ces téléservices en ligne, la victime doit déposer une pré-plainte en ligne avant de se rendre physiquement dans un commissariat de police ou une brigade de gendarmerie. Une plainte écrite peut également être adressée directement au procureur de la République près le tribunal judiciaire compétent.
En parallèle, le signalement technique des SMS malveillants par transfert gratuit au 33700 et le signalement des URL de phishing sur Phishing Initiative ou des faux sites sur Pharos contribuent à la protection collective des internautes.
Étape 4 : Le signalement direct aux services "abuse" des marques usurpées
Pour neutraliser rapidement les campagnes de phishing en cours, la victime peut transmettre le courriel frauduleux directement au service de sécurité de l'entité dont l'identité a été usurpée. La plupart des grandes administrations et des institutions financières disposent d'adresses électroniques d'urgence dédiées à la collecte et au blocage de ces attaques.
|
Établissement bancaire ou service
|
Adresse électronique de signalement d'urgence ("abuse")
|
|
Banque Populaire / BRED
|
alerte-phishing-bp@bpce.fr
[cite: 10]
|
|
Caisse d'Épargne
|
alerte-phishing-ce@bpce.fr
[cite: 10]
|
|
La Banque Postale
|
alertespam@labanquepostale.fr
[cite: 10]
|
|
Crédit Agricole
|
cert@credit-agricole.com
[cite: 10]
|
|
Crédit Mutuel
|
phishing@creditmutuel.fr
[cite: 10]
|
|
Société Générale
|
securite@societegenerale.fr
[cite: 10]
|
|
La Poste
|
abuse@laposte.net
[cite: 10]
|
|
Orange
|
abuse@orange.fr
[cite: 10]
|
|
SFR
|
emailsuspect@sc.sfr.fr
[cite: 10]
|
|
Microsoft
|
abuse@microsoft.com
[cite: 10]
|
|
Amazon
|
reportascam@amazon.com
[cite: 10]
|
|
Apple
|
reportphishing@apple.com
[cite: 10]
|
|
PayPal
|
spoof@paypal.com
[cite: 10]
|
Synthèse des recommandations et perspectives d'avenir
L'industrialisation des fraudes financières par ingénierie sociale a transformé la sécurité numérique en un enjeu de vigilance cognitive et comportementale. L'analyse croisée des techniques de manipulation, des verrous technologiques comme le protocole MAN et des évolutions jurisprudentielles des années 2024-2026 permet d'identifier plusieurs axes majeurs de lutte et d'adaptation :
- Un principe d'asymétrie de confiance systématique : L'utilisateur doit acter le fait que l'identité de l'appelant affichée sur son téléphone ou l'adresse d'expédition d'un courriel ne constituent plus des preuves d'authenticité, même après le déploiement du MAN. En cas de sollicitation d'urgence ou de demande d'action financière, le seul réflexe fiable consiste à raccrocher ou fermer l'interface, puis à contacter l'organisme concerné en composant manuellement son numéro officiel ou en utilisant son application mobile d'origine.
- La sanctuarisation des messages d'alerte des applications bancaires : Les utilisateurs doivent impérativement lire attentivement le contenu textuel des fenêtres de validation d'authentification forte. Face à la jurisprudence du 4 mars 2026, valider une opération en ignorant une mention explicite de paiement interdit tout remboursement ultérieur pour négligence grave.
- La responsabilité collective des acteurs techniques : Si le cadre légal français protège solidement les consommateurs en imposant la charge de la preuve de la faute grave aux établissements bancaires, la pérennisation de ce modèle économique impose une collaboration accrue entre les banques, les opérateurs de télécommunications et l'Arcep pour bloquer les tentatives d'usurpation en amont. Le ciblage juridique direct des opérateurs défaillants au titre de la loi Naegelen constitue une voie de recours d'avenir pour les victimes.
- L'équipement défensif individuel : Le déploiement d'outils de filtrage open-source et respectueux de la vie privée comme Saracroche ou Callfilter.app, associés au référencement systématique des spams sur la plateforme 33700, constitue une première ligne de défense efficace pour assainir l'environnement de communication quotidien des particuliers, notamment des populations de seniors qui demeurent les cibles privilégiées des réseaux organisés.
Sources :
vie-publique.fr
Arnaques en ligne en 2025 : près de 4 internautes sur 10 en sont victimes - Vie publique
S'ouvre dans une nouvelle fenêtre
banque-france.fr
CHIFFRES-CLÉS DE L'OBSERVATOIRE 1er semestre 2025 - Banque de France
S'ouvre dans une nouvelle fenêtre
cybermalveillance.gouv.fr
Cybermalveillance.gouv.fr dévoile son rapport d'activité et état de la menace 2025
S'ouvre dans une nouvelle fenêtre
mailarnaque.fr
Statistiques Phishing France 2026 - Chiffres et Tendances | mailarnaque.fr
S'ouvre dans une nouvelle fenêtre
cybermalveillance.gouv.fr
Liste des cybermalveillances traitées par l'assistant de diagnostic en ligne du dispositif Cybermalveillance.gouv.fr - Assistance aux victimes de cybermalveillance
S'ouvre dans une nouvelle fenêtre
mesquestionsdargent.fr
Que faire si vous êtes victime d'une arnaque ? | Mes questions d'argent
S'ouvre dans une nouvelle fenêtre
esiee-it.fr
Cybermalveillance : Top 10 des infractions numériques - ESIEE-IT
S'ouvre dans une nouvelle fenêtre
cybermalveillance.gouv.fr
Le « Smishing » ou hameçonnage (phishing) par SMS - Cybermalveillance.gouv
S'ouvre dans une nouvelle fenêtre
masecurite.interieur.gouv.fr
Cyberattaques : comment déjouer phishing, QR codes et SMS frauduleux | Ma Sécurité
S'ouvre dans une nouvelle fenêtre
cybermalveillance.gouv.fr
Comment signaler un mail de phishing ou d'hameçonnage - Cybermalveillance.gouv
S'ouvre dans une nouvelle fenêtre
guardia.school
Smishing en France, anatomie d'une arnaque SMS qui explose en 2026
S'ouvre dans une nouvelle fenêtre
cybermalveillance.gouv.fr
L'hameçonnage au faux numéro d'opposition bancaire - Cybermalveillance.gouv
S'ouvre dans une nouvelle fenêtre
juritravail.com
Fraude par spoofing bancaire : la nouvelle jurisprudence - Juritravail
S'ouvre dans une nouvelle fenêtre
cybermalveillance.gouv.fr
Comment faire face à l'arnaque au faux support technique - Cybermalveillance.gouv
S'ouvre dans une nouvelle fenêtre
service-public.gouv.fr
Arnaques sur internet (THESEE, Pharos ...) - Service Public
S'ouvre dans une nouvelle fenêtre
kohenavocats.com
THESEE ou Perceval : porter plainte après une arnaque - Kohen Avocats
S'ouvre dans une nouvelle fenêtre
banque-france.fr
Fraudes et arnaques - Aide et FAQ | Banque de France
S'ouvre dans une nouvelle fenêtre
bouyguestelecom-pro.fr
Projet MAN : les opérateurs téléphoniques unis pour lutter contre les appels frauduleux - Bouygues Telecom Pro
S'ouvre dans une nouvelle fenêtre
arcep.fr
Communiqué de presse - PROTECTION DES CONSOMMATEURS (29 janvier 2026) - Arcep
S'ouvre dans une nouvelle fenêtre
arcep.fr
Usurpation de numéro de téléphone fixe ou mobile : que dois-je faire ? | Arcep
S'ouvre dans une nouvelle fenêtre
sfrbusiness.fr
Loi Naegelen et mécanisme d'authentification des numéros - SFR Business
S'ouvre dans une nouvelle fenêtre
dstny.fr
Loi MAN : comprendre le Mécanisme d'Authentification des Numéros - Dstny
S'ouvre dans une nouvelle fenêtre
arcep.fr
Authentification des numéros de téléphone fixe ou mobile : que dois-je faire en tant qu'opérateur téléphonique ? | Arcep
S'ouvre dans une nouvelle fenêtre
arcep.fr
Plan de numérotation - Arcep
S'ouvre dans une nouvelle fenêtre
service-public.gouv.fr
Lutte contre les arnaques -Démarchage téléphonique : les règles d'affichage des numéros de téléphone évoluent | Service Public
S'ouvre dans une nouvelle fenêtre
![]()
publications-prairial.fr
Droit au remboursement de l'utilisateur de services de paiement victime de spoofing – BACAGe - Prairial
S'ouvre dans une nouvelle fenêtre
village-justice.com
Fraude bancaire et spoofing : état des lieux de la jurisprudence récente (2024-2026). Par Alban Bizieux, Avocat. - Village de la Justice
S'ouvre dans une nouvelle fenêtre
economie.gouv.fr
Lettre de la DAJ – Les victimes d'une arnaque au faux conseiller bancaire ne peuvent se voir reprocher une négligence grave et conservent leur droit à remboursement - Economie.gouv
S'ouvre dans une nouvelle fenêtre
inc-conso.fr
Fraudes en matière bancaire : jurisprudence - Institut national de la consommation
S'ouvre dans une nouvelle fenêtre
cybermalveillance.gouv.fr
Que faire en cas de phishing ou hameçonnage ? - Assistance aux victimes de cybermalveillance
S'ouvre dans une nouvelle fenêtre
service-public.gouv.fr
Démarchage téléphonique abusif, spam vocal ou par SMS : que faire ? | Service Public
S'ouvre dans une nouvelle fenêtre
lesclesdelabanque.com
Comment réagir aux tentatives de fraude ? - Mon compte - Les clés de la banque - Particulier
S'ouvre dans une nouvelle fenêtre
banque-france.fr
Fraude aux moyens de paiement | Banque de France
S'ouvre dans une nouvelle fenêtre
economie.gouv.fr
Que faire en cas de fraude, de perte ou de vol de votre carte bancaire ? | economie.gouv.fr
S'ouvre dans une nouvelle fenêtre
arcep.fr
SMS, appels et courriers électroniques indésirables et/ou frauduleux : que faire et comment se protéger ? | Arcep
S'ouvre dans une nouvelle fenêtre
lesclesdelabanque.com
Perceval : signaler une fraude à la carte bancaire - En cas de problème avec sa carte - Les clés de la banque - Particulier
S'ouvre dans une nouvelle fenêtre
service-public.gouv.fr
Fraude à la carte bancaire - Fraude sur internet - Service Public
S'ouvre dans une nouvelle fenêtre
service-public.gouv.fr
Escroquerie | Service Public
S'ouvre dans une nouvelle fenêtre
play.google.com
Callfilter.app – Applications sur Google Play
S'ouvre dans une nouvelle fenêtre
saracroche.org
Saracroche: Bloqueur d'appels indésirables pour iOS et Android