Un courriel affirme que vos données bancaires circulent sur le dark web, emprunte l’identité d’une vraie association française, puis vous oriente vers un service « gratuit » facturé 49,99 € par mois. J’ai disséqué la campagne de bout en bout.

L’histoire commence dans la boîte mail d’un proche. Un expéditeur se présentant comme une « Association de Protection des Données Personnelles » prévient que ses coordonnées (IBAN, téléphone, adresse) ont été repérées sur le dark web. Pour crédibiliser le message, il affiche les vraies données de la destinataire. La sidération est immédiate, et c’est exactement l’effet recherché.

Derrière cette mise en scène se cache une arnaque bien construite, qui empile ingénierie sociale, usurpation de l’identité d’une personne morale et pratiques commerciales trompeuses. Dans cet article, nous allons décortiquer le scénario, vérifier les éléments avancés, et surtout ouvrir le capot du faux service « d’effacement » vers lequel la victime est poussée. Tous les liens n’ont été ouverts que dans un environnement isolé, jamais depuis un appareil réel.

Un courriel qui carbure à la peur

Le ressort est unique : la peur, puis l’urgence. Le premier message annonce que les données ont été « ajoutées hier soir » sur des places de marché clandestines, et glisse une menace à peine voilée : « Je vous laisse imaginer les conséquences. » Un second courriel, présenté comme « le dernier », relance la cible.

Plusieurs détails trahissent un envoi de masse, pas un message personnel. Le corps du mail embarque des pixels de traçage d’une plateforme d’e-mailing professionnelle, qui indiquent qui a ouvert le message. Le prénom de la victime apparaît en majuscules au milieu d’une phrase, signature d’un champ de publipostage mal renseigné. L’expéditeur s’en défend d’ailleurs maladroitement (« je ne suis pas une IA, c’est écrit à la main »), alors qu’un autre message du fil présente tous les tics d’une rédaction automatisée (les tirets cadratins, dans la relance).

Remarque : un pixel de traçage est une image invisible chargée depuis un serveur tiers à l’ouverture du mail. Sa simple récupération signale que l’adresse est active. C’est pour cela qu’il ne faut jamais interagir avec ce type de courrier, pas même pour se « désabonner ».

Une vraie association, une fausse identité

Pour se parer d’une caution officielle, l’e-mail affiche un numéro SIREN (832 905 210) et une adresse parisienne. Vérification faite sur le registre officiel (annuaire-entreprises.data.gouv.fr), ce SIREN appartient à la Ligue de Protection des Données Personnelles, une association française réellement déclarée, créée en 2017. Les escrocs n’ont aucun lien avec elle : ils en recopient simplement l’identité.

L’usurpation se double d’un mensonge facile à confondre. L’expéditeur prétend avoir « créé cette initiative l’année dernière », alors que l’association dont il emprunte le SIREN existe depuis sept ans. Le nom affiché est légèrement déformé par rapport à la dénomination officielle (« Association » au lieu de « Ligue »), et le mail va jusqu’à citer le numéro de téléphone authentique de la CNIL, détourné comme gage de sérieux.

Remarque : n’importe qui peut vérifier gratuitement un SIREN sur l’annuaire des entreprises. Une divergence entre le nom annoncé, la date de création et l’activité déclarée constitue un signal d’alerte fort.

Nous avons demandé des preuves de légitimité

Plutôt que de supprimer le message, nous avons choisi de répondre. L’objectif était double : obtenir des éléments concrets sur la légitimité de l’expéditeur et sur la marche à suivre qu’il proposait, tout en observant sa réaction face à des questions précises. Un organisme sérieux justifie son identité sans difficulté ; un escroc, beaucoup moins.

Dans notre réponse, nous avons mis en avant deux incohérences déjà repérées. D’une part, le second courriel portait toutes les marques d’une rédaction par IA (des tirets cadratins disséminés au fil du texte, des tournures génériques), en contradiction directe avec le « je ne suis pas une IA, c’est écrit à la main » affiché plus haut. D’autre part, l’expéditeur prétendait avoir « créé cette initiative l’année dernière », alors que le SIREN qu’il revendique correspond à une association déclarée en 2017.

La réponse a été éclairante. À aucun moment l’expéditeur n’a fourni la moindre preuve vérifiable (statuts, mandat, page officielle, interlocuteur identifiable). Il a au contraire redoublé d’urgence et basculé sur un argumentaire de vente. Au passage, un aveu involontaire : « je m’excuse si le mail n’est pas personnalisé », suivi de l’évocation de « 3 millions de personnes concernées ». Soit la confirmation d’un envoi de masse, là encore à l’opposé du discours « écrit à la main ». D’autant que j’ai répondu à un e-mail transféré par mon proche, et que c’est mon proche qui a obtenu la réponse à l’e-mail que j’ai envoyé depuis ma propre boite.

Le vrai business : abonnement et affiliation

Cette « solution » tient en deux actions, recommandées « en urgence ». D’abord, faire une demande d’effacement « gratuite » auprès d’un service de threat intelligence, IntelIQ.AI (), présenté comme tenu par d’anciens agents du renseignement. Ensuite, installer NordVPN.

Ce second conseil, faussement désintéressé, masque un lien d’affiliation : chaque inscription génère une commission pour l’expéditeur. NordVPN n’est ici qu’une marque exploitée à son insu par un affilié.

Dans les coulisses du faux service d’effacement

C’est en examinant que l’arnaque révèle toute sa mécanique. L’analyse a été conduite dans un navigateur piloté automatiquement (Playwright), depuis une connexion anonymisée, pour ne jamais exposer un appareil réel ni générer le moindre revenu pour les escrocs.

Un « scan » qui invente vos fuites

Premier réflexe : tester le diagnostic. Nous avons saisi une adresse e-mail créée trente secondes plus tôt, qui n’a donc jamais pu fuiter nulle part. Le site a aussitôt affiché « 12 fuites potentielles », avec une animation rassurante (« Connexion aux bases de fuites », « Analyse des marchés clandestins »). En recommençant avec d’autres adresses neuves, le compteur a affiché tour à tour 11, 10, puis 9. Le nombre est tiré au hasard côté navigateur : aucune requête vers une base de données de fuites n’est émise. Le diagnostic est un décor.

Des avis clients fabriqués

Le témoignage « Trustpilot vérifié » mis en avant affiche un texte et une date identiques, mais une ville qui change selon l’adresse IP du visiteur. Le site interroge une petite API interne () et injecte la ville détectée dans l’avis, pour faire croire à un voisin satisfait. La preuve sociale est, elle aussi, générée à la volée.

Le « gratuit » qui coûte 49,99 €/mois

La page de tarification affiche un imposant « 0 € ». Sous ce chiffre, une ligne en petits caractères précise : « puis 49,99 €/mois », après un essai de sept jours. On reconnaît le piège à l’abonnement classique, où l’essai gratuit bascule tout seul en prélèvement récurrent. Le paiement transite par Paddle, un prestataire d’encaissement reconnu, détail qui constitue, on le verra, un excellent levier de signalement.

Remarque : résultats fabriqués, avis dynamiques, essai gratuit transformé en abonnement, ces trois mécanismes sont des dark patterns, des interfaces conçues pour tromper l’utilisateur ou forcer sa décision. Leur cumul ne laisse guère de place au doute sur l’intention.

Une infrastructure récente et jetable

L’examen passif de l’infrastructure (registres, DNS, bases publiques, sans émettre de trafic vers la cible) confirme l’analyse. Le domaine a été enregistré le 6 avril 2026, quelques semaines avant la campagne, chez le registrar NameCheap, derrière un service d’anonymisation du propriétaire. Le site est hébergé sur un serveur dédié bas de gamme chez OVH (Ubuntu, nginx). Tout indique une opération montée vite et à moindre coût, conçue pour durer le temps de la campagne.

Comment reconnaître ce type d’arnaque et réagir

Le schéma est toujours le même : peur, caution volée, faux sauveur, monétisation. Quelques réflexes suffisent à l’éviter :

• Un organisme officiel ne vous démarche pas depuis une adresse e-mail personnelle (Gmail, Yahoo) en jouant sur l’urgence.
• Un « scan » qui trouve systématiquement des fuites, ou un avis dont la ville correspond pile à la vôtre, doivent éveiller la méfiance.
• « Gratuit » suivi d’une demande de carte bancaire est une contradiction : lisez toujours les petits caractères.
• Ne cliquez sur aucun lien et ne tentez pas de vous désinscrire, cela confirme que votre adresse est active.
• Faire attention aux incohérences, comme dans notre cas l’initiative lancé l’année dernière, alors que l’association existe depuis bien plus longtemps.
• Pour savoir si vos données ont réellement fuité, utilisez un service reconnu et gratuit comme Have I Been Pwned.

Si vous recevez un tel message, signalez-le, c’est gratuit et rapide : à Signal Spam, sur la plateforme PHAROS, et à SignalConso pour le volet pratique commerciale trompeuse. En cas d’usurpation d’une entité, la CNIL peut aussi être saisie. Enfin, le moyen le plus efficace de couper l’opération reste de signaler le marchand à son prestataire de paiement (ici Paddle), qui peut suspendre l’encaissement.

Conclusion

Cette campagne illustre une tendance de fond : les arnaques ne cherchent plus seulement à vider un compte d’un coup, elles monétisent la peur dans la durée, via l’abonnement et l’affiliation, en s’abritant derrière l’identité d’organismes légitimes. La sophistication de la façade (site soigné, faux avis, faux diagnostic) contraste avec la fragilité de l’infrastructure réelle. C’est précisément ce qui la rend repérable : un peu de méthode suffit à faire tomber le décor.

Le public visé en priorité reste les personnes les moins aguerries, souvent nos proches les plus âgés. En parler autour de soi demeure la meilleure protection.