arnaques

J'ai cliqué sur un lien frauduleux : que faire dans l'heure qui suit

Cliqué sur un lien suspect dans un SMS ou un mail ? La checklist en 7 étapes des 60 premières minutes pour limiter les dégâts.

Par Étienne Aubry · · 8 min de lecture
Illustration : checklist d'urgence après avoir cliqué sur un lien frauduleux

J’ai cliqué sur un lien frauduleux : que faire dans l’heure qui suit

Ça arrive à tout le monde, y compris à des gens qui se croient prudents. Un SMS de Chronopost qui annonce un colis bloqué, un mail de votre banque qui demande une « régularisation », une notification Vinted qui annonce une vente urgente. Vous cliquez par réflexe, en pensant que vous regarderez d’abord avant de saisir quoi que ce soit — sauf que la page chargée vous demande déjà votre mot de passe et que vous le tapez machinalement.

Une heure plus tard, le doute s’installe. Vous relisez le SMS, vous voyez que l’URL est bizarre, vous comprenez que vous venez de remettre vos identifiants à un escroc.

La bonne nouvelle : si vous réagissez dans les 60 premières minutes, vous limitez les dégâts dans 90 % des cas. Cet article vous donne la checklist exacte, dans l’ordre où il faut faire les choses.

Diagnostiquer ce que vous avez réellement donné

Avant tout, posez-vous la question : qu’ai-je précisément saisi sur la page suspecte ?

Trois cas typiques, avec des niveaux d’urgence très différents :

Cas 1 — Je n’ai rien saisi du tout. Le seul fait d’avoir cliqué sur le lien ne suffit presque jamais à infecter votre appareil. Vous êtes très probablement tranquille. Fermez l’onglet, videz l’historique de navigation et les cookies de la session, et passez à autre chose. Restez attentif aux jours suivants : si vous recevez des mails inhabituels, c’est que votre adresse a été ajoutée à une liste de spam, mais sans plus.

Cas 2 — J’ai saisi un mot de passe (ou un mot de passe + un code reçu par ailleurs). C’est l’urgence majeure. L’attaquant a votre identifiant + mot de passe, et peut s’en servir immédiatement, sur le site visé ET sur tous les autres sites où vous utilisez le même mot de passe. Passez immédiatement aux étapes ci-dessous.

Cas 3 — J’ai saisi des coordonnées bancaires (numéro de carte, date d’expiration, cryptogramme). Urgence maximale. L’attaquant peut faire des achats en ligne dans la minute qui suit. Appelez votre banque immédiatement pour faire opposition.

La checklist des 60 minutes

Minutes 0 à 10 — Couper le risque immédiat

Si vous avez saisi des coordonnées bancaires : appelez le numéro d’opposition au dos de votre carte (jamais le numéro affiché dans le SMS frauduleux !) et faites opposition immédiate. Demandez à votre banque d’examiner les opérations en cours et de bloquer toute opération suspecte.

Si vous avez saisi un mot de passe : changez ce mot de passe immédiatement sur le service concerné, et sur tous les autres services où vous l’utilisez. C’est précisément pour cela qu’il faut un mot de passe unique par compte — si vous réutilisez le même partout, vous devrez tout changer.

Minutes 10 à 25 — Sécuriser les comptes critiques

Activez la double authentification (2FA) sur le service compromis si elle n’était pas déjà active. Utilisez de préférence une application authentificatrice (Google Authenticator, Authy) plutôt que le SMS. Pour le détail des activations sur l’ensemble de vos comptes, voyez notre guide complet pour activer la 2FA partout.

Vérifiez les sessions actives sur le compte concerné, et déconnectez tout ce qui n’est pas vous. Sur Gmail c’est dans Sécurité → Vos appareils ; sur Facebook dans Sécurité → Où vous êtes connecté ; sur Instagram dans Sécurité → Sessions actives.

Minutes 25 à 40 — Identifier la fuite

Quel service exactement avez-vous donné vos identifiants ? Si c’était votre compte bancaire (faux mail de la banque), votre compte impôts (faux mail des impôts), votre compte Ameli, votre compte CPF — chacun a sa propre procédure de signalement. Au minimum, prévenez le service officiel par un canal sûr (téléphone du conseiller, site officiel tapé manuellement) que vous avez été ciblé·e.

Listez aussi les autres services où vous utilisiez le même mot de passe et changez-les tous, dans l’ordre de criticité : mail principal d’abord, banque ensuite, principaux réseaux sociaux après.

Minutes 40 à 50 — Documenter

Conservez le SMS ou le mail d’origine (capture d’écran), l’URL frauduleuse exacte, l’heure du clic, et le contenu de la page sur laquelle vous avez saisi vos données. Ces éléments seront nécessaires pour :

  • Le signalement officiel sur 17cyber.gouv.fr (gratuit, étatique, vous donne un numéro de dossier utile pour vos démarches ultérieures).
  • Le signalement à votre banque si un débit frauduleux suit.
  • Un éventuel dépôt de plainte au commissariat.
  • Si c’était un SMS : signalement gratuit au 33700 (service officiel français anti-spam SMS).

Minutes 50 à 60 — Anticiper la suite

L’attaquant qui a réussi une fois revient souvent dans les jours suivants, parfois sous une autre identité, avec une nouvelle arnaque adaptée à ce qu’il a appris. Restez en alerte sur :

  • Tout SMS ou mail prétendument lié à la première arnaque (« suite de votre dossier », « remboursement à valider »).
  • Tout appel d’un faux conseiller bancaire (l’arnaque qui a explosé de +159 % en 2025 selon Cybermalveillance.gouv.fr).
  • Tout mail vous demandant de cliquer sur un lien pour « valider » une opération de sécurité.

Pendant les 30 jours suivants, ne cliquez sur aucun lien reçu par SMS ou mail concernant la banque, les impôts, les opérateurs ou les services publics. Allez TOUJOURS sur le site officiel en tapant l’adresse vous-même, et connectez-vous depuis là.

Et si l’arnaque a déjà coûté de l’argent ?

Si un virement, un prélèvement ou un débit a déjà eu lieu :

  • Contactez votre banque dans la première heure : certains virements peuvent être rappelés s’ils sont signalés très vite.
  • Demandez par écrit le remboursement au titre de la DSP2 (directive européenne sur les services de paiement, qui prévoit le remboursement sauf en cas de négligence grave).
  • Déposez plainte au commissariat. C’est obligatoire pour faire valoir vos droits auprès de l’assurance ou de la banque.
  • Signalez sur Perceval (perceval.signalement.gouv.fr) si c’est une fraude à la carte bancaire spécifiquement.

Le délai légal pour contester une opération non autorisée est de 13 mois (article L133-24 du Code monétaire et financier). Le remboursement doit intervenir sous 1 jour ouvré (article L133-18). En pratique, les banques peuvent invoquer la « négligence grave » pour refuser — c’est contestable mais juridiquement complexe.

Comment se sentir après ?

Premier point : ne vous flagellez pas. Les arnaques par phishing sont aujourd’hui d’une qualité technique élevée. Les URL ressemblent parfois trait pour trait aux vraies (« amazn.fr » au lieu de « amazon.fr »). Les pages clonent les vraies au pixel près. Le timing exploite vos moments de fatigue ou d’inattention. Tomber dans le piège ne signifie pas que vous êtes naïf ou imprudent — cela signifie que la machine d’arnaque est bien construite.

Ce qui compte, c’est la réaction. Si vous appliquez la checklist des 60 minutes, vous limitez les dégâts dans la quasi-totalité des cas. Si vous n’avez rien remarqué pendant plusieurs heures ou jours, c’est encore largement rattrapable, mais le périmètre s’élargit (plus de comptes à changer, plus d’opérations à contester).

Comment éviter la prochaine fois

Trois réflexes qui éliminent 90 % du risque :

  1. Un mot de passe unique par compte, stocké dans un gestionnaire (Bitwarden, 1Password, trousseau Apple, Proton Pass). Quand un site est piraté, seul ce compte est exposé, pas votre vie numérique entière.

  2. La 2FA par application authentificatrice sur tous les comptes critiques. Même si l’attaquant a votre mot de passe, il lui faut aussi votre téléphone — bien plus difficile.

  3. Le réflexe « je tape l’URL moi-même » pour toute action sensible. Reçu un SMS d’Ameli ? Allez sur ameli.fr en tapant vous-même. Reçu un mail de votre banque ? Ouvrez l’app bancaire ou tapez l’URL officielle. Ne cliquez jamais sur le lien dans le SMS / le mail.

En résumé

Cliqué sur un lien suspect ? Diagnostic d’abord (qu’ai-je saisi ?), action immédiate ensuite (opposition CB / changement mot de passe / 2FA), documentation et signalement (17Cyber, 33700, banque). Si une perte d’argent suit, contestez par écrit dans le délai légal et déposez plainte. Et anticipez les 30 jours suivants en restant attentif aux relances de l’attaquant.

Si vous êtes au Mans ou en Sarthe et que vous voulez un accompagnement pour reprendre le contrôle, sécuriser vos comptes et préparer le dossier banque, je propose un forfait curatif à 199 € (99,50 € après crédit d’impôt service à la personne). Le détail est sur la page intervention d’urgence. Premier contact gratuit au 07 51 13 37 69.

Vous voulez aller plus loin ?

Forfait intervention post-piratage

Forfait clair pour reprendre le contrôle après un compte piraté, une arnaque téléphonique ou une fraude bancaire. Pas de surprise tarifaire.

Réserver une intervention

199 € — 99,50 € après déduction fiscale