Un courriel annonce que vous avez gagné un lot ou que vous êtes sélectionné pour recevoir un cadeau d’une enseigne connue. Ce scénario compte parmi les plus répandus en matière d’hameçonnage (phishing). L’objectif n’est pas de vous offrir quoi que ce soit, mais de vous inciter à cliquer sur un lien puis à saisir des données personnelles ou bancaires, réutilisées ensuite à votre insu.
Le mécanisme est stable, quelle que soit la marque usurpée. Un message se présente au nom d’un commerçant, d’une banque ou d’un service public, promet un gain (un bon d’achat, un article gratuit, un remboursement, un smartphone) et crée un sentiment d’urgence : l’offre expirerait dans quelques heures, le stock serait limité, une confirmation immédiate serait exigée.
Le fonctionnement du faux cadeau
À titre d’illustration, une campagne a circulé au nom d’une grande enseigne d’ameublement suédoise, promettant un ensemble de cuisine gratuit. Le principe reste le même d’une vague à l’autre : le destinataire croit avoir remporté un lot, clique sur le lien fourni, puis renseigne ses coordonnées sur une page qui imite l’apparence du site officiel. Les informations saisies, identité, adresse, parfois numéro de carte bancaire, alimentent des fraudes ultérieures.
La marque citée change au fil des envois, mais la structure du piège ne varie pas. Reconnaître le schéma vaut mieux que retenir un exemple précis, car l’enseigne du prochain message sera différente.
Les signaux d’alerte
- Un gain que vous n’avez pas sollicité. Si vous n’avez participé à aucun jeu ni tirage au sort, il n’y a aucune raison d’avoir gagné. C’est le premier indice.
- L’adresse de l’expéditeur. Le nom affiché peut sembler légitime, mais l’adresse réelle relève souvent d’un domaine sans rapport avec l’enseigne. Une entreprise écrit depuis son propre nom de domaine, jamais depuis une messagerie générique ou un domaine fantaisiste.
- L’urgence et la pression. Une offre authentique ne se perd pas parce que vous ne cliquez pas dans l’heure. La contrainte de temps sert à court-circuiter la réflexion.
- La demande de données sensibles. Aucun cadeau légitime n’exige de communiquer un numéro de carte bancaire, un mot de passe ou un code reçu par SMS. Une demande de « frais de livraison » à régler par carte est un signal classique de fraude.
- Le lien affiché. Un lien peut afficher un texte rassurant tout en pointant vers une autre adresse. Le survol du lien, sans cliquer, révèle la destination réelle. La présence du cadenas et de https n’atteste que du chiffrement de la connexion, pas de l’honnêteté du site : un site frauduleux peut lui aussi être en https.
- La langue. Fautes d’orthographe, formulations approximatives, absence de personnalisation (« Cher client » sans votre nom) accompagnent souvent ces messages, même si les campagnes les plus soignées les évitent.
Les bons réflexes
Ne cliquez pas sur le lien du message. Pour vérifier si une offre existe, rendez-vous directement sur le site de l’enseigne en tapant vous-même son adresse dans le navigateur, ou passez par un moteur de recherche, plutôt qu’en suivant le lien reçu. Une promotion réelle figure sur les canaux officiels de la marque.
Ne communiquez aucune donnée personnelle ou bancaire tant que la légitimité de l’expéditeur n’est pas établie. En cas de doute sur un message se présentant au nom d’un organisme, contactez ce dernier par un canal que vous connaissez déjà, et non par les coordonnées indiquées dans le courriel.
Si vous avez déjà saisi vos coordonnées bancaires, contactez sans délai votre banque pour faire opposition et surveillez vos relevés.
Signaler un message frauduleux
Un courriel de phishing peut être transféré à Signal Spam, qui recueille les signalements de courriers indésirables. La plateforme Cybermalveillance.gouv.fr oriente les victimes et recense les démarches selon la situation. Un SMS frauduleux (smishing) ou un appel indésirable se signale au 33700. En cas de préjudice financier, un dépôt de plainte est possible.
Le signalement retire de la circulation des adresses et des sites utilisés contre d’autres destinataires. Traiter ces messages comme suspects par défaut, et vérifier avant d’agir, reste la protection la plus fiable.
