Les arnaques sur Facebook sont devenues monnaie courante. En tant que webmaster, je reçois régulièrement des messages prétendant provenir de Meta, Facebook ou du support technique officiel.
Cette fois-ci, j’ai décidé d’aller un peu plus loin que d’habitude. Sans jamais utiliser mon véritable compte ni fournir la moindre information réelle, j’ai suivi toute la procédure afin de comprendre comment fonctionnait cette tentative de phishing.
Tout a commencé par un message reçu sur ma page Facebook. L’expéditeur prétendait représenter Meta et affirmait que certains contenus de ma page faisaient l’objet d’une vérification urgente.
Le message contenait un fichier PDF présenté comme un document officiel de Facebook.
À première vue, le message pouvait sembler crédible pour un utilisateur peu expérimenté. Pourtant, plusieurs éléments devaient déjà attirer l’attention : l’urgence du message, le ton alarmiste et l’absence de toute notification officielle directement dans Facebook.
J’ai ouvert le PDF dans un navigateur invité afin d’éviter tout risque.
Le document utilisait les logos de Meta, Facebook, Messenger et Instagram afin d’inspirer confiance. Il annonçait que mon compte risquait d’être bloqué dans les 24 heures et m’invitait à cliquer sur un bouton de vérification.
C’est une technique classique utilisée par les escrocs : créer un sentiment d’urgence pour pousser la victime à agir sans réfléchir.
En observant attentivement le document, plusieurs détails paraissaient étranges. Le style de rédaction était approximatif et certains passages semblaient avoir été traduits automatiquement.
Le bouton du PDF menait vers un site totalement étranger à Facebook.
L’adresse du site ne contenait aucun domaine officiel Meta ou Facebook. Pourtant, le design imitait grossièrement un centre d’aide Facebook.
C’est souvent le premier réflexe à avoir : regarder l’adresse du site avant même de lire son contenu.
Le site me demandait ensuite différentes informations personnelles : nom de la page, adresse e-mail, numéro de téléphone et date de naissance.
Afin de vérifier le sérieux du système, j’ai volontairement rempli le formulaire avec des informations totalement fantaisistes.
À ma grande surprise, tout a été accepté sans la moindre vérification.
À ce stade, il devenait évident que l’objectif n’était pas de vérifier une page Facebook mais simplement de récupérer des informations auprès des victimes.
Après validation du formulaire, une nouvelle étape est apparue : la saisie du mot de passe Facebook.
J’ai alors introduit un mot de passe totalement inventé.
Le site a prétendu que le mot de passe était incorrect.
Cette réaction est intéressante : elle donne l’illusion d’une véritable vérification alors qu’en réalité rien ne permettait de savoir si le mot de passe était correct ou non.
Le but est simplement de pousser la victime à saisir son véritable mot de passe.
Après plusieurs essais, le système m’a redirigé vers une étape de double authentification.
Le site demandait un code à six chiffres censé provenir d’une application d’authentification.
J’ai alors saisi un code totalement aléatoire.
Le système l’a refusé, puis a proposé d’en saisir un autre.
Nous étions clairement face à une imitation de la procédure officielle de Facebook destinée à récupérer les codes de sécurité des utilisateurs.
Au fil de l’analyse, plusieurs incohérences sont apparues.
Le site mélangeait le français, le néerlandais et parfois l’anglais. Certaines pages semblaient provenir de modèles différents assemblés à la hâte.
Ces erreurs sont fréquentes dans les kits de phishing vendus ou partagés entre cybercriminels.
Pour un utilisateur expérimenté, ces détails sautent immédiatement aux yeux.
Après avoir compris le fonctionnement complet de l’arnaque, j’ai signalé la conversation comme spam dans Meta Business Suite.
L’objectif de cette expérience n’était pas de jouer avec les escrocs, mais de comprendre précisément leurs méthodes afin de mieux informer les internautes.
Cette affaire rappelle une règle simple : Facebook ne vous demandera jamais votre mot de passe via un PDF reçu dans Messenger, ni sur un site hébergé sur un domaine inconnu.
Avant de cliquer sur un lien, prenez toujours quelques secondes pour vérifier l’adresse du site. Cette simple habitude permet d’éviter la grande majorité des tentatives de phishing qui circulent aujourd’hui sur les réseaux sociaux.