Arnaque en ligne

01 — DéfinitionQu'est-ce qu'une arnaque en ligne ?

Une arnaque en ligne est une tromperie frauduleuse commise via Internet visant à extorquer de l'argent, des biens ou des informations sensibles à une victime.

Cadre légal : l'escroquerie

Juridiquement, l'arnaque en ligne relève principalement de l'escroquerie, définie à l'article 313-1 du Code pénal :

« L'escroquerie est le fait, soit par l'usage d'un faux nom ou d'une fausse qualité, soit par l'abus d'une qualité vraie, soit par l'emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d'un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. »

Peines : jusqu'à 5 ans de prison et 375 000 € d'amende. Peines aggravées pour : personne vulnérable (ex. personne âgée), réseau organisé, bande organisée, agent public.

Articles connexes

• Article 226-4-1 : usurpation d'identité.
• Article 313-2 : escroquerie aggravée (7 ans, 750 000 €).
• Article 323-1 : accès frauduleux à un système — souvent associé aux arnaques.
• Article 441-1 : faux et usage de faux.
• Article 222-33-2-2 : cyberharcèlement.
• Article 322-6 à 322-6-1 : extorsion et chantage.

Ampleur du phénomène en France

• Des millions de victimes par an selon estimations croisées Cybermalveillance / Police / études.
• Préjudice total annuel : plusieurs milliards d'euros.
• Cybermalveillance.gouv.fr reçoit des dizaines de milliers de signalements annuels d'arnaques.
• L'Observatoire de la sécurité des moyens de paiement (Banque de France) publie des statistiques annuelles sur la fraude aux paiements.
• Chiffre noir important : beaucoup de victimes ne signalent pas par honte, méconnaissance, ou renoncement.

Profil des victimes

Tout le monde peut être victime. Mais certains profils sont plus ciblés :

• Personnes âgées : cibles privilégiées (arnaques téléphoniques, sentimentales, « petits-enfants en détresse »).
• Personnes isolées : arnaques sentimentales.
• Personnes en difficulté financière : fausses offres d'emploi, crédits frauduleux.
• Petits investisseurs naïfs : arnaques crypto, faux trading.
• Professionnels pressés : fraude au président en B2B.
• Jeunes : arnaques sur réseaux sociaux, gaming, sextorsion.

Mais personne n'est immunisé : un cadre cyber formé peut tomber dans une arnaque ciblée bien préparée. Les arnaqueurs professionnels exploitent les biais psychologiques universels.

Professionnalisation des arnaqueurs

• Organisations criminelles spécialisées (souvent basées en Afrique de l'Ouest pour les brouteurs, ou en Asie du Sud-Est pour les scam centers).
• Scam centers : « call centers » dédiés avec centaines d'arnaqueurs travaillant à la chaîne, souvent employés eux-mêmes victimes de traite humaine.
• Scripts et playbooks éprouvés.
• Formation des nouveaux arnaqueurs.
• Outils industriels : bases de données de victimes, outils de géolocalisation, deepfake, traduction automatique.
• IA générative : accélère la création d'emails de phishing crédibles en toutes langues, automatise les conversations.

L'arnaque en ligne n'est plus l'œuvre d'individus isolés mais d'organisations criminelles structurées. Les scam centers d'Asie du Sud-Est emploient des dizaines de milliers de personnes, souvent elles-mêmes victimes de traite. Face à cette industrialisation, la prévention individuelle doit être complétée par des efforts collectifs : plateformes, banques, pouvoirs publics.

02 — TypesLes arnaques les plus courantes

Faux sites e-commerce

• Sites qui vendent des produits à prix cassés, empochent le paiement et ne livrent jamais.
• Marques copiées (faux Decathlon, faux Amazon, faux Zara).
• Campagnes sur réseaux sociaux (Facebook Ads, Instagram, TikTok).
• URL subtilement modifiées (typosquatting).
• Certificats HTTPS factices (HTTPS ne garantit PAS la confiance).
• Variantes : faux billetteries (concerts, spectacles), fausses plateformes de streaming.
• Pic lors des Black Friday, Noël, périodes fortes.

Arnaques sentimentales (brouteurs)

• Faux profils sur sites de rencontre ou réseaux sociaux (Meetic, Tinder, Facebook, Instagram).
• Séduction lente sur plusieurs semaines ou mois, construction d'une relation affective.
• Puis demandes d'argent successives : urgence médicale, voyage bloqué, investissement commun, cadeau douanier.
• Originaires souvent d'Afrique de l'Ouest (Côte d'Ivoire principalement, surnom « brouteurs »).
• Usage d'images volées (recherche Google Images inversée permet de démasquer).
• Préjudice moyen : plusieurs milliers à des centaines de milliers d'euros par victime.
• Victimes souvent âgées, isolées, en quête affective.

Fraude au CPF

• Faux organismes de formation qui détournent les budgets CPF des salariés.
• Appels téléphoniques, SMS prétendument de Mon Compte Formation.
• Inscription à des formations fictives, compte débité.
• Campagne massive 2020-2023.
• Loi anti-fraude CPF (décembre 2022) : renforcement du contrôle, signalement via moncompteformation.gouv.fr.
• Tout démarchage téléphonique CPF est interdit depuis cette loi.

Faux support technique

• Pop-ups ou appels prétendant que l'ordinateur est infecté.
• Faux « Microsoft support », « Apple support », « Orange », « banque ».
• Demande de prendre le contrôle à distance (TeamViewer, AnyDesk) pour « réparer ».
• En fait : installation de malware, facturation abusive, vol de données bancaires.
• Variante : vishing par téléphone avec numéro qui paraît légitime (spoofing).

Sextorsion

• Email de masse prétendant avoir filmé la victime avec sa webcam pendant qu'elle regardait du contenu intime.
• Demande de paiement en crypto pour ne pas diffuser.
• Bluff dans 95% des cas : les attaquants n'ont en réalité rien.
• Parfois le mail contient un ancien mot de passe fuité pour paraître crédible (données de combolists).
• Variante plus grave : vraie sextorsion après relation en ligne piégée (la victime a effectivement envoyé des photos/vidéos).
• Ne jamais payer. Signaler à PHAROS. Dans la vraie sextorsion : associations spécialisées (Point de Contact, e-Enfance).

Arnaques crypto

• Faux investissements : plateformes qui promettent rendements miracles.
• Rug pulls : création de cryptos qui disparaissent après avoir collecté des fonds.
• Faux airdrops : « gagnez 1000$ en connectant votre wallet » = vol du wallet.
• Phishing de seed phrases : faux support Metamask, faux mails Ledger.
• Pig butchering : version moderne des arnaques sentimentales + crypto, la « cible » est engraissée sur la durée avant d'être escroquée massivement.
• Récupération quasiment impossible (crypto irréversible).

Fraude à l'investissement

• Fausses plateformes de trading, fausses bourses en ligne.
• « Trading IA », « bots garantis », Forex frauduleux.
• Schémas de Ponzi : premiers gains pour attirer, puis disparition.
• AMF (Autorité des Marchés Financiers) publie des listes noires régulièrement mises à jour de sites frauduleux.
• Préjudices massifs — moyenne par victime très élevée.

Faux gains et héritages

• « Vous avez gagné la loterie espagnole », « Un oncle éloigné vous lègue des millions ».
• Demande de frais de dossier, taxes, avocat préalables.
• Arnaque « 419 » (nom du numéro d'article du Code pénal nigérian contre ce type de fraude).
• Très ancien schéma (dès les premiers emails) mais toujours actif.

Arnaque au président et fraude B2B

• Fraude au président : usurpation du PDG pour ordonner virements urgents à des comptes frauduleux.
• Fraude au fournisseur : détournement du paiement vers compte attaquant.
• Business Email Compromise (BEC) : compromission de messagerie pour intercepter les échanges financiers.
• Préjudices record : parfois plusieurs millions d'euros en un seul virement.

Arnaques aux proches

• Piratage de compte WhatsApp ou SMS « nouveau numéro » d'un proche en détresse.
• Demande urgente d'argent (pour un achat, une facture, un problème).
• Efficacité forte sur personnes âgées qui n'osent pas refuser aide à un proche.
• Prévention familiale : code secret à demander pour authentifier avant tout virement.

Smishing colis

• Faux SMS de La Poste, Chronopost, Colissimo, DHL, UPS demandant paiement de frais de dédouanement.
• Pic lors des périodes de fêtes.
• Lien vers faux site qui vole données bancaires.
• Variante : faux mails impôts, CAF, Ameli.

Phishing bancaire

• Faux emails, SMS ou appels prétendus de la banque.
• « Votre compte a été compromis, validez votre identité ».
• Vol des identifiants + codes de validation via sites factices.
• Puis virements frauduleux massifs.
• Les banques rappellent qu'elles ne demandent JAMAIS identifiants complets, code PIN ou code SMS par email/téléphone.

Fausses offres d'emploi

• Emplois attractifs (télétravail, salaires élevés).
• Demande d'informations personnelles (pour usurpation ultérieure).
• Ou demande d'avance pour « matériel », « formation ».
• Variante : arnaque à la « mule » : la victime est embauchée pour faire transiter des fonds frauduleux sur son compte, devient complice sans le savoir (puis responsable juridiquement).

Arnaques sur réseaux sociaux

• Faux profils d'influenceurs avec faux cadeaux.
• Fausses promotions, faux concours sur Instagram/Facebook/TikTok.
• Messages privés d'inconnus avec liens piégés.
• Comptes piratés d'amis qui envoient des messages.

03 — SignauxLes signaux d'alerte universels

Offre trop belle pour être vraie

• Prix drastiquement inférieurs au marché (-80% sur iPhone, -90% sur vêtements de marque).
• Gains importants promis sans effort (« gagnez 500€/jour en travaillant 2h »).
• Investissements à rendement garanti très élevé (>10%/an garanti = impossible dans l'économie réelle).
• Cadeaux gratuits inattendus (iPhone gratuit en cliquant ici).
• L'économie ne permet pas ces taux — règle de base : si c'est miraculeux, c'est une arnaque.

Urgence artificielle

• « Offre limitée dans les 24h ».
• « Votre compte sera fermé sans réponse immédiate ».
• « Action urgente requise pour ne pas perdre votre argent ».
• « Plus que 2 articles en stock ».
• Objectif : empêcher la réflexion. Les démarches légitimes laissent toujours du temps.

Demande d'argent précoce

• Inconnu en ligne qui demande de l'argent après peu de contact.
• Proche qui demande argent de façon inhabituelle (via message urgent plutôt qu'appel direct).
• Règle : toujours vérifier par un autre canal (appeler directement).

Pressions émotionnelles

• Détresse d'un proche simulé (« c'est ta fille, j'ai eu un accident »).
• Menaces (« on va diffuser vos photos intimes »).
• Séduction accélérée et intense (« je t'aime » après 2 semaines).
• Flatterie excessive (« vous êtes le seul qui peut m'aider »).
• Manipulation classique : l'émotion désactive le raisonnement.

Moyens de paiement inhabituels

• Cartes cadeaux Amazon, Google Play, Apple, Neosurf, PaySafeCard : signal rouge. Aucun organisme légitime ne demande ça.
• Western Union, MoneyGram : transferts internationaux non traçables.
• Virement vers compte personnel d'un prétendu professionnel.
• Cryptomonnaies : irréversible, non traçable, privilégié par arnaqueurs.
• Organismes légitimes : facturation normale, virement SEPA sur compte société identifiable.

Sites web suspects

• URL subtilement modifiée (amazon-officiel.com vs amazon.com, paypa1.com avec un « 1 » au lieu du « l »).
• Fautes d'orthographe, formulations maladroites.
• Design dégradé ou copie imparfaite de marque connue.
• Absence de mentions légales (obligatoires en France).
• CGV absentes ou copiées-collées d'autres sites.
• Pas de numéro SIRET vérifiable sur societe.com ou pappers.fr.
• Adresse physique fictive ou boîte postale.
• Avis trop récents et trop positifs uniformément.
• Ne pas se fier au HTTPS seul (tous les sites modernes l'ont).

Identité floue

• Pas de société réelle identifiable.
• Pas d'adresse physique.
• Photos de profil suspectes (test : recherche inversée Google Images — si la photo apparaît sur plusieurs profils différents, c'est du vol).
• Mauvaise qualité des photos, incohérences.
• Refus d'appel vidéo (excuses diverses) alors que la conversation est avancée.
• Histoire personnelle trop lisse ou trop compliquée.

Demandes d'informations sensibles

• Identifiants, mots de passe, codes de validation.
• Numéro carte complète avec CVV.
• Scan de pièce d'identité hors contexte justifié.
• Demande de copie de RIB (pour fraude).
• Codes reçus par SMS (validation bancaire).
• Jamais un organisme légitime ne demande ces informations par email ou téléphone.

Communication suspecte

• Emails avec fautes d'orthographe ou formulations non idiomatiques.
• Adresse email de domaine douteux (gmail au lieu du domaine d'entreprise).
• Salutation générique (« Cher client » au lieu de votre nom).
• Pièces jointes suspectes (.zip, .exe, .docm, documents Office avec macros).
• Liens qui pointent vers domaines différents de ce qu'ils affichent (survol pour vérifier).

04 — Que faireAprès une arnaque

05 — RecoursLes plateformes officielles

THESEE — pré-plainte escroqueries en ligne

• Service lancé en mars 2022 par le ministère de l'Intérieur.
• Plateforme dédiée aux escroqueries en ligne.
• Pré-plainte en ligne spécifique cyber.
• Accessible via service-public.fr.
• Couvre : faux sites, arnaques sentimentales, piratages compte avec fraude, chantage à la webcam, faux loueurs, faux support.
• Traitement plus rapide que plainte classique.
• Pas valable pour : violences physiques, atteintes graves (nécessitent commissariat).

PHAROS — contenus illicites en ligne

• Plateforme gouvernementale : internet-signalement.gouv.fr.
• Signalement de contenus illicites en ligne.
• Couvre : propos haineux, escroqueries, usurpation, apologie, images pédopornographiques, harcèlement.
• Suit les signalements, orientation vers services compétents.
• OCLCTIC (Office Central de Lutte Contre la Criminalité liée aux Technologies de l'Information et de la Communication) — police — traite les signalements.

SignalConso — consommation

• Plateforme DGCCRF : signal.conso.gouv.fr.
• Signalement de problèmes de consommation : produits défectueux, publicité mensongère, fraudes commerciales, sites frauduleux.
• Alerte les commerces concernés et la répression des fraudes.
• Suivi du dossier en ligne.

Cybermalveillance.gouv.fr

• Diagnostic en ligne guidé.
• Fiches réflexes par type d'arnaque.
• Mise en relation avec prestataires ExpertCyber si besoin technique.
• Voir notre fiche Cybermalveillance.

Info Escroqueries

• Ligne téléphonique gratuite : 0 805 805 817.
• Du lundi au vendredi, de 9h à 18h30.
• Renseignements et orientation.
• Utile pour bénéficier rapidement d'une écoute et de conseils.

Autorité des Marchés Financiers (AMF)

• Liste noire AMF : listes d'acteurs/produits non autorisés (Forex, options binaires, cryptos douteuses, diamants d'investissement).
• Épargne Info Service : 0 800 23 74 82.
• Signalement des offres d'investissement suspectes.
• Liste publique consultable sur amf-france.org.

33700 — signalement SMS et appels

• Numéro 33700 pour signaler spams SMS et appels.
• Transfère le SMS suspect au 33700.
• Opérateurs agissent ensuite (blocage numéros).

Signalements plateformes

• Facebook / Instagram : procédures dédiées pour faux profils, fausses pages.
• LinkedIn : signalement profils frauduleux.
• X (Twitter) : signalement comptes de spam/arnaques.
• Amazon, Leboncoin, Vinted : signalement annonces frauduleuses.
• Envoyer captures d'écran et informations pour accélérer.

Associations d'aide

• France Victimes : association d'aide aux victimes, présente dans toute la France.
• UFC-Que Choisir, 60 Millions de Consommateurs : associations de consommateurs.
• Point de Contact : signalement contenus illicites web.
• e-Enfance : spécialisé cyberharcèlement et protection mineurs.
• Association d'aide aux victimes d'escroquerie : support groupes spécifiques selon type d'arnaque.

06 — PréventionLes réflexes à adopter

07 — FAQQuestions fréquentes

Est-ce que je peux récupérer l'argent perdu ?

Dépend fortement du mode de paiement et de la rapidité de réaction. Cartes bancaires : contestation possible auprès de la banque (délai 13 mois), remboursement habituel sauf négligence grave prouvée. Virements SEPA récents : récupération parfois possible si la banque est prévenue très vite (quelques heures) et que le compte destinataire n'est pas encore vidé. Virements internationaux : beaucoup plus difficile. Western Union / MoneyGram : quasi impossible. Cryptomonnaies : irrécupérable sauf rare exception (action coordonnée avec exchange, autorités). Cartes cadeaux : irrécupérable après activation par l'arnaqueur. PayPal : protection acheteur possible si délai respecté. Le temps est crucial : dès suspicion, contacter banque immédiatement.

Si je paye la sextorsion, cela s'arrête-t-il ?

Non, jamais. Ne jamais payer. Les emails de sextorsion de masse sont du bluff dans 95% des cas : les attaquants n'ont rien sur vous, juste votre email issu d'une fuite et éventuellement un ancien mot de passe. Le paiement ne fait qu'inciter à de nouveaux chantages (« il paye, il repayera ») et confirme l'efficacité de cette arnaque sur vous. Pour la vraie sextorsion (vous avez effectivement envoyé des images lors d'une relation en ligne piégée) : couper tout contact, conserver preuves, signaler à PHAROS, déposer plainte, contacter associations spécialisées (e-Enfance pour mineurs, Point de Contact). Les victimes qui ne paient pas constatent majoritairement que les menaces de diffusion ne se concrétisent pas — les arnaqueurs passent à la cible suivante.

Comment protéger mes parents âgés ?

Stratégie multi-niveaux. Sensibilisation régulière : discuter des arnaques courantes sans infantiliser, donner des exemples concrets, expliquer les techniques de manipulation. Code secret familial : convenir d'un mot/phrase que vous seul(e) connaissez, à demander avant tout virement urgent demandé au téléphone. Numéros de confiance : leur donner votre numéro direct, ceux de la banque, de la gendarmerie locale. Accrocher près du téléphone. Limiter les moyens de paiement à distance : plafonds bas sur les virements à l'étranger, alertes SMS sur toutes opérations, compte « de vie » avec solde limité et compte épargne moins accessible. Accompagnement bancaire : mandat de protection familiale si déclin cognitif. La plupart des banques ont des cellules dédiées aux seniors. Vigilance proche : surveiller discrètement changements de comportement, humeurs, nouveaux « amis » en ligne. Courriers et appels : filtrer les courriers suspects, décrocher avec méfiance démarchages téléphoniques. Sans tomber dans la paranoïa — trouver l'équilibre.

Les arnaques sentimentales, pourquoi ça marche ?

Mécanismes psychologiques puissants. Construction lente d'une relation sur semaines/mois : l'arnaqueur investit du temps avant la première demande d'argent. La victime s'est réellement attachée. Ciblage précis des personnes isolées, en quête affective (veuves, divorcés récents, personnes âgées). Bombardement d'amour : flatteries, déclarations rapides, projets communs (« on va se rencontrer, bâtir notre vie ensemble »). Scripts professionnels : les brouteurs suivent des playbooks éprouvés sur des milliers de victimes. Biais de confirmation : la victime veut croire que c'est vrai, minimise les signaux d'alerte. Investissement progressif : une fois premier virement fait, la victime est engagée psychologiquement. Honte de reconnaître : l'admission d'avoir été trompé est douloureuse, pousse certaines victimes à continuer de payer plutôt qu'affronter la réalité. Usage d'images volées : photos de mannequins, militaires américains (photos publiques LinkedIn pillées). C'est pourquoi la prévention doit venir de l'entourage, pas de la victime elle-même.

Les arnaques IA et deepfakes sont-elles en hausse ?

Oui, massivement depuis 2023-2024. Voice cloning : quelques secondes d'audio d'une voix (trouvable sur réseaux sociaux, répondeurs, messages vocaux) permettent de la cloner avec des outils IA. Usage : faux appels de proches en détresse (« Maman j'ai eu un accident, envoie 10 000€ »), fraude au président avec voix clonée du PDG. Deepfakes vidéo : visioconférences truquées où plusieurs participants sont faux. Cas Arup 2024 : employé trompé par une visio deepfake avec PDG et collègues, virement de 25 millions USD. Faux profils IA-générés : images photoréalistes (This Person Does Not Exist, Midjourney, DALL-E) pour créer profils crédibles sans risque de reverse image search. Conversations IA : ChatGPT-like pour entretenir des dizaines de discussions simultanées, adapter la langue et le ton. Contre-mesures : mot de passe familial pour authentifier, méfiance sur demandes urgentes même avec voix/image reconnues, multi-canal de confirmation. Menace qui va s'intensifier dans les prochaines années. Voir deepfake.

Les nouveaux sites de rencontre sont-ils plus sûrs ?

Non pas particulièrement, parfois moins. Sites établis (Meetic, eDarling, Match) : plus de modération, bases utilisateurs vérifiées, équipes anti-fraude dédiées. Pas invulnérables mais plus de barrières. Tinder, Bumble, Hinge : gros volume rend la modération difficile. Systèmes de vérification photo (Photo Verification) améliorés récemment mais contournables. Sites niche : qualité variable. Apps gratuites : moins d'investissement en sécurité, plus de faux profils. Facebook Dating, Instagram DM : arnaqueurs de plus en plus présents. Bonnes pratiques transverses : recherche inversée d'images dès le début, refuser les déplacements de conversation hors app (les arnaqueurs cherchent à passer sur WhatsApp rapidement), refus absolu de toute demande d'argent, méfiance des profils trop « parfaits » (mannequin, militaire en mission, médecin humanitaire), refus appel vidéo = signal d'alerte fort, appel vidéo accepté ne prouve pas qu'il n'y a pas de deepfake en temps réel.