Un message annonce un remboursement en attente. Il se présente comme venant de l’Assurance maladie, d’une mutuelle, du service des impôts ou d’une plateforme de santé, et invite à cliquer sur un lien pour « récupérer » la somme. Ce procédé relève de l’hameçonnage (phishing) ; envoyé par SMS, on parle de smishing. Il cherche à obtenir des données personnelles ou bancaires. Le remboursement n’existe pas ; le lien mène à un formulaire piégé.
Comment fonctionne l’arnaque au faux remboursement
Le scénario repose sur un motif crédible et sur un léger sentiment d’urgence. Le message évoque un trop-perçu, un remboursement de soins, une régularisation fiscale ou un solde à créditer, et fixe une échéance courte pour pousser à agir sans réfléchir. Le lien renvoie vers une page qui imite l’apparence d’un organisme connu.
Sur cette page, la victime est invitée à saisir ses coordonnées, son numéro de sécurité sociale ou, surtout, ses données bancaires (numéro de carte, date d’expiration, cryptogramme). Ces informations servent ensuite à débiter le compte ou à usurper l’identité de la personne. Certaines campagnes visent une plateforme précise pour paraître plus crédibles : les utilisateurs d’un service de prise de rendez-vous médicaux comme Doctolib ont ainsi été ciblés par de faux courriels et SMS promettant un remboursement.
Reconnaître un message frauduleux
Plusieurs signaux permettent d’identifier ce type de message, même quand il est bien imité :
- Une demande de coordonnées bancaires en réponse à un SMS ou un e-mail. Un organisme public ou une mutuelle ne collecte jamais un numéro de carte de cette manière pour verser un remboursement.
- Un lien à cliquer pour « débloquer » ou « confirmer » un versement, souvent vers une adresse qui n’est pas le site officiel.
- Une pression sur le temps : délai de 24 ou 48 heures, menace de perdre la somme, ton comminatoire.
- Une adresse d’expéditeur douteuse ou un numéro inhabituel. Le nom affiché peut être falsifié (spoofing) : il ne prouve rien à lui seul.
- Des formulations approximatives, des fautes, ou une mise en page qui imite sans exactitude celle de l’organisme.
L’absence de faute n’est pas une garantie : certaines campagnes sont soignées. Le critère décisif reste la nature de la demande, pas l’apparence du message.
Vérifier sans passer par le lien reçu
La règle de base tient en deux points : ne pas cliquer sur le lien du message et ne renseigner aucune donnée depuis celui-ci. Pour lever un doute, on se connecte au service par un canal que l’on maîtrise, jamais par le lien reçu :
- en saisissant soi-même l’adresse du site officiel dans le navigateur, ou en utilisant l’application mobile installée depuis la boutique officielle ;
- en consultant directement son compte et ses messages internes sur le service concerné ;
- en appelant l’organisme via un numéro trouvé sur son site officiel ou sur un courrier papier, et non celui indiqué dans le SMS.
Chercher le nom de l’organisme dans un moteur de recherche ne garantit rien en soi : des liens sponsorisés frauduleux peuvent y figurer. De même, le cadenas HTTPS d’une page ne prouve pas qu’elle est légitime, seulement que la connexion est chiffrée. Un site d’hameçonnage peut lui aussi afficher un cadenas.
Que faire en cas de message suspect
Face à un SMS ou un e-mail de ce type, quelques réflexes limitent le risque :
- Ne pas répondre et ne pas cliquer. Un simple clic peut suffire à exposer l’appareil ou à confirmer que le numéro est actif.
- Signaler le message. Les SMS et appels frauduleux se signalent au 33700 (transfert du SMS ou signalement depuis l’application dédiée). Les tentatives d’hameçonnage par courriel et les sites piégés peuvent être signalés sur internet-signalement.gouv.fr (plateforme PHAROS) et via cybermalveillance.gouv.fr.
- Supprimer le message après signalement.
Si des données bancaires ont déjà été communiquées, il faut contacter sa banque sans délai pour faire opposition et surveiller les opérations. En cas de préjudice, un dépôt de plainte reste possible auprès de la police ou de la gendarmerie. Le dispositif d’aide aux victimes d’actes de cybermalveillance, cybermalveillance.gouv.fr, oriente vers la marche à suivre selon la situation.
La protection des données personnelles relève du Règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018, et de la loi Informatique et Libertés. Un organisme légitime respecte ce cadre et ne réclame jamais d’informations sensibles par un lien envoyé dans un SMS ou un e-mail non sollicité.