← Toutes les situations Urgent — agissez maintenant
J'ai cliqué sur un lien ou un SMS frauduleux. Que faire ?
D’abord, respirez. Avoir cliqué sur un lien ne veut pas encore dire que vous avez perdu quelque chose. Le vrai danger n’apparaît, le plus souvent, que si vous saisissez des données ou installez quelque chose. Vous avez le temps de suivre calmement les étapes ci-dessous, une par une.
Les premiers pas, maintenant
- Ne saisissez plus rien sur la page qui s'est ouverte. Fermez-la. Si vous avez déjà saisi des données, passez tout de suite à l'étape suivante.
- Si vous avez saisi les données de votre carte ou vos identifiants bancaires : appelez maintenant votre banque au numéro au dos de votre carte et faites opposition. Si vous ne retrouvez pas le numéro de votre banque, le serveur interbancaire d'opposition répond au 0 892 705 705 (24h/24, 7j/7 — attention, numéro majoré). N'appelez jamais le numéro indiqué dans le message.
- Si vous avez saisi un mot de passe d'un compte (e-mail, Facebook, etc.) : changez-le immédiatement depuis l'application officielle et activez la double authentification.
- Vérifiez les comptes qui vous inquiètent directement dans l'application officielle ou en tapant vous-même l'adresse dans le navigateur — jamais via le lien du message.
- Transférez le SMS suspect au 33 700 (gratuit) : le numéro et le site frauduleux pourront être bloqués, ce qui protège aussi les autres. Ensuite, supprimez le message et, si possible, signalez-le comme spam/hameçonnage (WhatsApp, SMS et e-mail ont l'option).
Ce qu’il ne faut PAS faire
- N'appelez pas et n'écrivez pas aux numéros ou adresses du message suspect.
- Ne communiquez à personne les données de votre carte, le code reçu par SMS ou votre mot de passe, même si le message a l'air officiel.
- N'installez aucune application demandée par le lien (surtout de « vérification » ou d'« accès à distance »).
Comment le repérer la prochaine fois
- Urgence et peur : « votre compte sera bloqué sous 24 h », « votre colis va être renvoyé ». La pression du temps est le signe principal.
- L'adresse ne correspond pas : le lien ressemble presque au vrai, mais avec des lettres en plus, des tirets ou un domaine bizarre.
- On vous demande des données qu'une vraie banque ne demande jamais par un lien : code PIN, mot de passe complet, cryptogramme (CVV), code reçu par SMS.
- Fautes de langue, tournures approximatives, ton officiel forcé.
- Exemples fréquents en ce moment : des « frais de douane » ou « frais de port restant dus » au nom d'un transporteur (Colissimo, Chronopost, Mondial Relay...) — vérifiez le suivi directement sur le site du transporteur, jamais via le lien ; un SMS « vignette Crit'Air » avec un lien de paiement — le seul site officiel est certificat-air.gouv.fr, et l'État ne fait pas de campagnes par SMS (l'administration, carte grise comprise, c'est uniquement des domaines en .gouv.fr).
- Faux messages FranceConnect ou CPF : les messages officiels FranceConnect viennent uniquement de @franceconnect.gouv.fr ou @notification.franceconnect.gouv.fr ; et personne ne vous appelle légitimement parce que « vos droits CPF expirent » — c'est une arnaque connue.
Ce guide vous aide à agir vite. Il ne remplace pas les instructions officielles de votre banque, de la police ou des autorités. En cas de doute, appelez les numéros ci-dessus.