Pour bon nombre d’entre nous, vendre ou acheter un objet de valeur sur une place de marché (ou marketplace) reste encore et toujours un moment empreint d’une légère appréhension. Arnaque, mauvais état, garantie… Mais Martin J., lui, est rompu à l’exercice : pour preuve son profil Leboncoin affiche plusieurs dizaines de ventes.
Et avec le gage de l’expérience, quand le vidéaste met en vente fin 2025 son appareil photo Sony A7 IV, il sait que les sollicitations ne vont pas manquer, et ça ne rate pas : « Je recevais pas mal de messages tous les jours. J’avais aussi les mails qui étaient relayés par Leboncoin », raconte-t-il à Numerama.
Le modèle est prisé, en bon état, et Martin J. espère en tirer 1 550 euros. Le 5 décembre, l’appareil est vendu à un certain Oscar, pourtant, l’argent de cette transaction n’arrivera jamais sur le compte de Martin. Conséquence d’un vol net et sans bavure, rendu possible par une technique de phishing d’une redoutable efficacité.
Une méthode qui n’exploite pas seulement la crédulité des internautes, mais s’appuie directement sur les outils de communication officiels de Leboncoin pour endormir leur méfiance.
Un site de phishing et un changement d’IBAN
En réalité, l’acheteur n’y est pour rien dans cette escroquerie. Pour comprendre comment elle fonctionne, il faut remonter quelques jours avant la transaction, au 29 novembre 2025.
À cette date, l’annonce de Martin est déjà en ligne et les sollicitations d’acheteurs potentiels continuent d’affluer, tout comme les mails de Leboncoin qui relaient systématiquement chaque message reçu dans sa boîte mail via un système certifié. Mais, au milieu de ces échanges, un message attire son attention.
Il l’invite à mettre à jour ses informations, rien d’anormal en apparence, d’autant que le contexte s’y prête : « Ça me semblait cohérent qu’il y ait une mise à jour de sécurité après que je poste une grosse annonce », se souvient Martin.
C’est pourtant ici que le piège se referme, rendu invisible par ce qui s’apparente à une véritable faille structurelle du site.
Le message reçu par Martin n’est pas un vulgaire spam : il bénéficie de la certification officielle attestant qu’il a bien été expédié depuis les serveurs de l’entreprise. « Il y a la certification officielle de Gmail qui dit ce mail provient de Leboncoin, et aussi l’intitulé ‘administration’. […] Tout le message en plus était assez crédible. Il n’y avait pas de faute d’orthographe ou quoi. Tout portait à croire que c’était réglo », détaille-t-il.
L’astuce des escrocs est simple : ils ont créé un profil utilisateur nommé « Administration ». En envoyant leur faux lien d’alerte via la messagerie interne, c’est Leboncoin lui-même qui s’est chargé de relayer automatiquement le message frauduleux dans la boîte mail personnelle de Martin. Mis en confiance par ce sceau d’authenticité, Martin clique. « Ça me redirige sur un site qui est en fait une copie parfaite de Leboncoin. […] J’ai rentré mes identifiants et je n’ai compris qu’après que c’était un hameçonnage. »
Un long chemin vers le remboursement
Une fois les accès récupérés, la mécanique se met en route : les pirates remplacent l’IBAN français de Martin, pourtant historiquement vérifié et rattaché à son compte, par un compte bancaire domicilié en Lituanie. Le 5 décembre 2025, au moment de finaliser la vente, les 1 550 euros sont automatiquement virés vers les escrocs.
Malgré la réactivité de Martin qui alerte le service client seulement onze minutes après la notification du virement inhabituel et dépose plainte au commissariat dans la foulée, Leboncoin refuse dans un premier temps d’intervenir, s’abritant derrière les conditions générales d’utilisation pour décliner toute responsabilité liée au piratage.
Il faudra l’intervention d’un avocat et l’envoi d’une mise en demeure formelle pour que la plateforme accepte de procéder, plus de trois mois plus tard, à un remboursement intégral qualifié de « geste commercial à titre discrétionnaire ».
Et la double authentifcation ?
Interrogée par Numerama, Leboncoin a développé sa ligne de défense en pointant la responsabilité de l’utilisateur, soulignant notamment que la double authentification (2FA) n’était pas activée sur le compte de Martin.
Ce dernier reconnaît effectivement ne pas avoir activé cette option, mais fait valoir qu’elle est purement facultative et peu mise en avant, uniquement visible, selon lui, si l’utilisateur prend l’initiative de fouiller dans les paramètres de son compte.
La question que pose cette affaire est plus large : une plateforme qui se positionne comme opérateur de transactions entre particuliers, doit-elle rendre la double authentification obligatoire ? Aussi est-il suffisant de permettre à un utilisateur de modifier un IBAN sans exiger de confirmation secondaire ?
Aujourd’hui, un encart de prévention s’affiche en permanence dans l’espace messagerie des vendeurs, les alertant de ne jamais cliquer sur des liens suspects. « Je suis connecté sur le site et le message s’affiche à chaque fois », confirme Martin. Une mesure bienvenue, qui pourrait renforcer la vigilance des utilisateurs à l’avenir.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Tous nos articles sont aussi sur notre profil Google : suivez-nous pour ne rien manquer !