Un dimanche soir, un proche m’envoie une capture d’écran : “Tu confirmes ce code de vérification pour sécuriser ton compte ?” Le message “a l’air” de venir de WhatsApp. Ton posé, logo familier, lien impeccable… et pourtant, tout est faux. Les escrocs s’appuient désormais sur des modèles d’IA capables d’imiter le style des messages officiels et de se glisser dans le fil de discussion. Résultat : un piège très convaincant qui, une fois le code saisi, leur ouvre votre compte… et vos contacts.
Un message qui se fond dans la conversation
Le procédé joue sur deux leviers : l’usurpation d’identité (nom, visuel, formulation) et l’empressement. Vous recevez un texte qui paraît “normal” : on vous “confirme” une vérification et on vous invite à cliquer puis à taper un code. C’est précisément ce que recherchent les attaquants. Rappel essentiel : WhatsApp ne vous demandera jamais de transmettre un code reçu par SMS ni de “valider” votre identité via un lien non sollicité. La CNIL et l’ANSSI martèlent la même règle : ne jamais partager un secret à usage unique, même “pour vérification”.
Le mécanisme : lien + code = prise de contrôle
Une fois le lien suivi et le code saisi, les pirates lient un nouvel appareil à votre compte, lisent vos conversations et, surtout, contactent vos proches à votre place pour étendre l’arnaque (demandes d’argent, faux colis, “urgence” familiale). C’est l’effet domino classique des fraudes sur messageries : la confiance se propage… comme l’attaque.
Les 5 réflexes pour vous protéger
- Doutez des messages non sollicités. Si vous n’avez rien demandé, ignorez. En cas de doute, ouvrez directement l’app et vérifiez les alertes dans les paramètres, jamais via un lien reçu.
- Activez la vérification en deux étapes. Dans Paramètres > Compte > Vérification en deux étapes, créez un code PIN et ajoutez une adresse mail de récupération. C’est votre ceinture de sécurité.
- Surveillez vos appareils liés. Dans Paramètres > Appareils liés, déconnectez tout appareil inconnu. Faites-en une routine, comme on vérifie ses relevés bancaires.
- Protégez votre carte SIM. Activez le code PIN de la SIM pour limiter les détournements d’appel/SMS (utile contre certaines prises de contrôle).
- Éduquez votre entourage. Dites à vos proches que vous ne leur demanderez jamais un code reçu par SMS ni un virement en urgence via messagerie. Les arnaques prospèrent sur l’effet “famille/amis”.
Les recommandations des autorités (ANSSI, Cybermalveillance.gouv.fr) convergent : l’anticipation et la configuration de base évitent l’immense majorité des intrusions.
Que faire si votre compte est compromis ?
- Coupez l’accès. Dans Appareils liés, déconnectez tout ce que vous ne reconnaissez pas.
- Reprenez la main. Réinstallez WhatsApp, refaites la vérification par SMS et activez (ou changez) la vérification en deux étapes.
- Prévenez vos contacts. Un simple message “Mon compte a été compromis, ignorez les demandes reçues” brise la chaîne.
- Signalez. Utilisez la fonction de signalement dans l’app et, si nécessaire, faites un signalement sur les plateformes publiques dédiées (ex. services de lutte contre la cybermalveillance).
- Changez vos mots de passe associés. Si le même téléphone ou la même boîte mail servent à d’autres services, sécurisez-les immédiatement.
Pourquoi l’arnaque marche si bien (et comment garder l’avantage)
L’IA permet aux fraudeurs d’imiter le ton, les gabarits et même d’adapter l’orthographe à votre région. Mais votre meilleur bouclier reste… la lenteur volontaire. Avant de cliquer, posez-vous deux questions : ai-je sollicité ce message ? Puis-je vérifier la demande depuis l’app, sans passer par le lien ? L’ANSSI recommande ce “temps de contrôle” à chaque tentative d’authentification.
En clair : la combinaison vérification en deux étapes, vigilance sur les appareils liés, et refus catégorique de partager un code de vérification suffit à déjouer la majorité des pièges. Les escrocs ont des outils sophistiqués ; vous avez des habitudes simples et robustes. Adoptez-les une fois… et vous les battrez à chaque fois.
