● Numerama 📅 25/04/2026 à 15:27

Cybersécurité 👤 Amine Baba Aissa

🏷️ Tags : phishing cert rte

Lecture Zen Résumer l'article Martin J. a été victime d'une arnaque sur leboncoin, orchestrée par un phishing sophistiqué utilisant les outils de communication officiels du site pour obtenir ses informations personnelles. Les escrocs ont réussi à changer l'IBAN de Martin sur son compte leboncoin, redirigeant ainsi le paiement de 1 550 euros vers un compte en Lituanie sans qu'il ne s'en aperçoive immédiatement. Leboncoin, après une intervention légale, a remboursé Martin plus de trois mois après, tout en soulignant que la sécurisation de son compte par double authentification aurait pu prévenir ce piratage. Martin J. a été victime d'une arnaque sur leboncoin, orchestrée par un phishing sophistiqué utilisant les outils de communication officiels du site pour obtenir ses informations personnelles. Les escrocs ont réussi à changer l'IBAN de Martin sur son compte leboncoin, redirigeant ainsi le paiement de 1 550 euros vers un compte en Lituanie sans qu'il ne s'en aperçoive immédiatement. Leboncoin, après une intervention légale, a remboursé Martin plus de trois mois après, tout en soulignant que la sécurisation de son compte par double authentification aurait pu prévenir ce piratage. Recevez tous les soirs un résumé de l’actu importante avec Le Récap’ Martin J., lecteur de Numerama, a souhaité nous faire part de sa mésaventure survenue lors d’une vente sur Leboncoin, la plateforme d’annonces numéro 1 en France. Une arnaque rendue possible par une faille structurelle du site, mêlant phishing particulièrement retors et ingénierie sociale bien rodée. Pour bon nombre d’entre nous, vendre ou acheter un objet de valeur sur une place de marché (ou marketplace) reste encore et toujours un moment empreint d’une légère appréhension. Arnaque, mauvais état, garantie… Mais Martin J., lui, est rompu à l’exercice : pour preuve son profil Leboncoin affiche plusieurs dizaines de ventes. Et avec le gage de l’expérience, quand le vidéaste met en vente fin 2025 son appareil photo Sony A7 IV, il sait que les sollicitations ne vont pas manquer, et ça ne rate pas : « Je recevais pas mal de messages tous les jours. J’avais aussi les mails qui étaient relayés par Leboncoin », raconte-t-il à Numerama. Message reçu par Martin J. le 29 novembre 2025, intitulé « Administration » // Source : capture d’écran Le modèle est prisé, en bon état, et Martin J. espère en tirer 1 550 euros. Le 5 décembre, l’appareil est vendu à un certain Oscar, pourtant, l’argent de cette transaction n’arrivera jamais sur le compte de Martin. Conséquence d’un vol net et sans bavure, rendu possible par une technique de phishing d’une redoutable efficacité. Une méthode qui n’exploite pas seulement la crédulité des internautes, mais s’appuie directement sur les outils de communication officiels de Leboncoin pour endormir leur méfiance. Un site de phishing et un changement d’IBAN En réalité, l’acheteur n’y est pour rien dans cette escroquerie. Pour comprendre comment elle fonctionne, il faut remonter quelques jours avant la transaction, au 29 novembre 2025. Faux SMS, mails frauduleux… Ne tombez plus dans le piège ! Gardez toujours une longueur d’avance sur les fraudeurs. Bitdefender Scam Protection analyse, détecte et neutralise instantanément les escroqueries qui visent votre argent. Une protection invisible mais redoutable, intégrée à Bitdefender Premium Security. Sponsorisé Je me protège contre les arnaques. À cette date, l’annonce de Martin est déjà en ligne et les sollicitations d’acheteurs potentiels continuent d’affluer, tout comme les mails de Leboncoin qui relaient systématiquement chaque message reçu dans sa boîte mail via un système certifié. Mais, au milieu de ces échanges, un message attire son attention. Il l’invite à mettre à jour ses informations, rien d’anormal en apparence, d’autant que le contexte s’y prête : « Ça me semblait cohérent qu’il y ait une mise à jour de sécurité après que je poste une grosse annonce », se souvient Martin. C’est pourtant ici que le piège se referme, rendu invisible par ce qui s’apparente à une véritable faille structurelle du site. Le message reçu par Martin n’est pas un vulgaire spam : il bénéficie de la certification officielle attestant qu’il a bien été expédié depuis les serveurs de l’entreprise. « Il y a la certification officielle de Gmail qui dit ce mail provient de Leboncoin, et aussi l’intitulé ‘administration’. […] Tout le message en plus était assez crédible. Il n’y avait pas de faute d’orthographe ou quoi. Tout portait à croire que c’était réglo », détaille-t-il. Mail certifié provenant de Leboncoin. // Source : capture d’écran L’astuce des escrocs est simple : ils ont créé un profil utilisateur nommé « Administration ». En envoyant leur faux lien d’alerte via la messagerie interne, c’est Leboncoin lui-même qui s’est chargé de relayer automatiquement le message frauduleux dans la boîte mail personnelle de Martin. Mis en confiance par ce sceau d’authenticité, Martin clique. « Ça me redirige sur un site qui est en fait une copie parfaite de Leboncoin. […] J’ai rentré mes identifiants et je n’ai compris qu’après que c’était un hameçonnage. » Un long chemin vers le remboursement Une fois les accès récupérés, la mécanique se met en route : les pirates remplacent l’IBAN français de Martin, pourtant historiquement vérifié et rattaché à son compte, par un compte bancaire domicilié en Lituanie. Le 5 décembre 2025, au moment de finaliser la vente, les 1 550 euros sont automatiquement virés vers les escrocs. Malgré la réactivité de Martin qui alerte le service client seulement onze minutes après la notification du virement inhabituel et dépose plainte au commissariat dans la foulée, Leboncoin refuse dans un premier temps d’intervenir, s’abritant derrière les conditions générales d’utilisation pour décliner toute responsabilité liée au piratage. Il faudra l’intervention d’un avocat et l’envoi d’une mise en demeure formelle pour que la plateforme accepte de procéder, plus de trois mois plus tard, à un remboursement intégral qualifié de « geste commercial à titre discrétionnaire ». Et la double authentifcation ? Interrogée par Numerama, Leboncoin a développé sa ligne de défense en pointant la responsabilité de l’utilisateur, soulignant notamment que la double authentification (2FA) n’était pas activée sur le compte de Martin. Ce dernier reconnaît effectivement ne pas avoir activé cette option, mais fait valoir qu’elle est purement facultative et peu mise en avant, uniquement visible, selon lui, si l’utilisateur prend l’initiative de fouiller dans les paramètres de son compte. La question que pose cette affaire est plus large : une plateforme qui se positionne comme opérateur de transactions entre particuliers, doit-elle rendre la double authentification obligatoire ? Aussi est-il suffisant de permettre à un utilisateur de modifier un IBAN sans exiger de confirmation secondaire ? Aujourd’hui, un encart de prévention s’affiche en permanence dans l’espace messagerie des vendeurs, les alertant de ne jamais cliquer sur des liens suspects. « Je suis connecté sur le site et le message s’affiche à chaque fois », confirme Martin. Une mesure bienvenue, qui pourrait renforcer la vigilance des utilisateurs à l’avenir. Quel est le meilleur Gestionnaire de mots de passe ? Quel gestionnaire de mots de passe est le meilleur en 2026 ? Le comparatif complet Retrouvez nos tests complets Toute l'actu tech en un clin d'œil Ajoutez Numerama à votre écran d'accueil et restez connectés au futur ! Installer Numerama Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer ! Crédit photo de la une : montage Numerama Signaler une erreur dans le texte LeBonCoin marketplace SCAM Cybercriminalité Données personnelles Ne plus voir cette pub Ne plus voir cette pub

🔗 Lire l'article original 👁️ 0 lecture