Sécuriser ses achats en ligne c’est sécuriser l’acte d’achat en se protégeant contre les sites frauduleux et un possible détournement de ses données bancaires.
HÉMÉRA Avocats à Paris 14e – Me Valérie LEMERLE
Nous vivons une transformation profonde de nos habitudes de consommation. Nous sommes plusieurs millions de Français à acheter en ligne chaque jour : des courses alimentaires aux billets d’avion, en passant par les vêtements et les produits high-tech. Le commerce en ligne a représenté en 2024 plus de 175 milliards d’euros de transactions en France.
C’est évidemment une commodité formidable. Mais qui s’accompagne d’une menace qui grandit proportionnellement
En 5 ans, les atteintes numériques ont bondi de +74% en France. En 2024, ce sont 348 000 victimes qui ont été recensées — soit près de 1 000 victimes par jour.
Ça va d’une commande payée et jamais reçue, aux comptes bancaires siphonnés parce que les données que vous avez saisies pour procéder à un paiement en ligne ont été interceptées, en passant par l’usurpation d’identité pour souscrire des crédits en votre nom et vous laisser le soin de les rembourser…
La menace ne vient plus seulement de geeks au fond d’une cave. Elle est aujourd’hui pilotée comme des entreprises, avec des équipes de développeurs, des traducteurs, et même des services clients.
Finies les fautes de français dans des emails approximatifs provenant du Suriname pour vous informer qu’un millionnaire mourant envisage de vous léguer sa fortune à la seule condition que vous lui adressiez votre RIB. Les arnaqueurs se sont professionnalisés, ils ont affiné leurs techniques d’hameçonnage et ont toujours une longueur d’avance. Surtout, les vols de données deviennent massifs, de très grande ampleur.
Par conséquent un achat en ligne doit s’accompagner d’un certain nombre de précautions.
4 DONNEES SIGNIFICATIVES
100 milliards d’euros. C’est le coût estimé de la cybercriminalité pour les entreprises françaises en 2024. C’est 4 fois le budget de la Justice. Et ce cout a été multiplié par 4 en 5 ans. Il inclut les rançons versées lors de cyber attaques ( qui ciblent régulièrement les hôpitaux), les pertes directes liées aux fraudes, mais aussi les coûts indirects en heures de travail et en perte de clients ou les frais juridiques.
3 /10 c’est le nombre de français qui enregistrent leurs coordonnées bancaires sur des sites marchands. C’est un geste qui peut sembler anodin. Mais c’est une porte ouverte pour les cybercriminels puisqu’une fuite de données sur ces sites aboutit à ce que vos numéros de carte se retrouvent en vente sur des forums clandestins pour quelques euros.
Les vols de données sont réguliers :
- En 2012, Linkedin s’est fait voler 164 millions d’adresses emails et de mots de passe qui étaient encore en vente sur le darkweb 4 ans plus tard ;
- En 2022 DEEZER s’est fait hackée : 240 millions d’utilisateurs ont vu leurs noms, genre, langue, zone d’utilisation, adresse email et adresses IP mis en vente sur le darkweb ;
- L’année dernière, France Travail s’est fait voler les données de 30.000 utilisateurs dont leur RIB et leur pièce d’identité, leurs bulletins de paie et leur avis d’imposition – permettant d’ouvrir des comptes et de souscrire des crédits en leur nom – ou encore leur permis conduire ;
- Il y a quelques jours ce sont les laboratoires médicaux français Cerballiance qui ont subi un vol massif de données : état civils, numéros de sécurité sociale, identifiants de connexions et compte rendus d’examens médicaux !
+170%. C’est l’explosion des escroqueries commerciales en ligne en 2025 :
- Faux sites marchands qui auront disparu dans les jours suivants votre achat ;
- Fausses plateformes de paiement, avec imitations de grandes enseignes.
Certains sites frauduleux sont très difficilement discernables des originaux : même logo, même charte graphique, URL presque identique. Les périodes les plus dangereuses recensées sont les soldes, le Black Friday et les fêtes de fin d’année. C’est dans ces moments que les faux sites prolifèrent, profitant de l’urgence d’achat. Selon l’Observatoire de la sécurité des moyens de paiement, la fraude sur les paiements en ligne c’est 73% de la fraude totale par carte bancaire, pour un préjudice annuel de plus de 400 millions d’euros rien qu’en France.
8 / 10 c’est le nombre d’entreprises françaises qui déclarent ne pas se sentir préparées à faire face à une cyberattaque. Sauf que ce auprès d’elles que nous saisissons nos données bancaires, nos adresses, nos historiques d’achat…Donc si ces entreprises sont attaquées, ce sont nos données qui seront exposées et souvent sans que nous en soyons immédiatement informés.
La bonne nouvelle, c’est que la prise de conscience progresse. Les pouvoirs publics investissent.
Les entreprises également : le nombre de formations à la cybersécurité en entreprise a doublé en deux ans. Sensibiliser les collaborateurs est essentiel car régulièrement, les malwares entrent dans les entreprises par la petite porte via un collaborateur, que ce soit à son insu ou avec sa complicité.
LA NATURE DES MENACES
On recense 5 formes principales de cyberattaques
- Le phishing = 60% des attaques
Vous recevez un email qui imite parfaitement Amazon, La Poste ou votre banque. Le logo est identique et le ton est urgent : « votre colis est bloqué », « votre compte sera suspendu dans 24 heures ». Vous cliquez. Vous arrivez sur une page de connexion qui ressemble à s’y méprendre à l’original. Vous saisissez vos identifiants, voire vos coordonnées bancaires : Ils sont volés instantanément.
Le phishing évolue et devient de plus en plus sophistiqué. On parle désormais de ‘spear phishing’ — des emails personnalisés avec votre prénom, le nom de votre banque, parfois même les 4 derniers chiffres de votre carte bancaires — des informations glanées sur les réseaux sociaux ou achetées sur le darkweb.
- Les faux sites marchands = + 170% en 2025
Ces boutiques sont construites en quelques heures grâce à des kits clés en main vendus sur internet. Elles apparaissent dans les résultats de recherche Google grâce à des campagnes publicitaires payantes (un référencement google n’est pas exclusif de fraude).Elles encaissent les paiements et disparaissent. Aucune livraison. Aucun remboursement.
- Le skimming numérique
C’est l’une des menaces les plus insidieuses car elle touche des vrais sites légitimes. Des pirates injectent un code malveillant invisible dans la page de paiement d’un site réel. Vous achetez sur un site que vous connaissez et auquel vous faites confiance — et pourtant vos données bancaires sont capturées en temps réel et envoyées aux pirates.
- Le vol de vos identifants et mots de passe
Vos identifiants de connexion sont revendus sur des marchés clandestins après des piratages massifs de bases de données. Le problème majeur : la réutilisation des mots de passe. Si vous utilisez le même mot de passe sur votre boîte mail, votre boutique en ligne et votre banque, une seule fuite dans l’une de ces bases crée un risque pour l’ensemble de vos comptes. Vous pouvez vous rendre sur le site haveibeenpwned.com et y saisir votre adresse email pour savoir si elle apparaît dans des bases de données piratées connues. Si c’est le cas, changez immédiatement vos mots de passe sur les services concernés.
- Les applications mobiles frauduleuses
Elles imitent des services connus — banques, services de livraison, sites de e-commerce — pour intercepter vos paiements ou accéder à vos données personnelles. Certaines se glissent même dans les stores officiels d’Apple et Google avant d’être détectées et supprimées.
LES REFLEXES QUI PROTEGENT
Quelques réflexes simples, accessibles à tous et qui réduisent sensiblement les risques liés aux achats en ligne :
1. Méfiez-vous des offres trop attractives
Le signal d’alarme le plus fréquent : des prix anormalement bas. Une paire de baskets de luxe à 49€, un iPhone dernier cri à 99€, un calendrier de l’avent DIOR à 39,99€. Si c’est trop beau pour être vrai, c’est que ça ne l’est pas.
Ne vous laissez pas séduire par de prétendues bonnes affaires sans avoir vérifié la réputation du site auparavant. Méfiez-vous des sites qui proposent un prix nettement plus bas que leurs concurrents. Comparez les prix sur différents sites.
La direction générale de la Concurrence, de la Consommation et de la Répression des fraudes (DGCCRF) vous conseille de prendre le temps de comparer non seulement le coût du produit mais aussi sa disponibilité, le délai de livraison, les services annexes proposés et les garanties. La disponibilité est effectivement un indice important : il arrive qu’il y ait des prix cassés, des bonnes affaires mais avec une disponibilité de tous les modèles dans toutes les tailles non !
2. N’enregistrez pas vos coordonnées bancaires
C’est tendre le bâton pour se faire battre !
3. Méfiez-vous des réseaux Wifi publics
Si vous êtes connectés à un WiFi public, dans un café, un hôtel ou une gare par exemple, il est fortement déconseillé de rentrer ses coordonnées bancaires pour effectuer un achat. Vos données sont plus facilement interceptables. Donc attendez d’être sur un réseau privé sécurisé.
4. Vérifiez le cadenas HTTPS
Avant de saisir la moindre information bancaire, regardez la barre d’adresse de votre navigateur. Elle doit afficher https:// et non pas http— car le ‘s’ signifie ‘sécurisé’ — et un petit cadenas doit être visible. Si vous voyez une alerte de sécurité, ou si l’URL commence par http:// sans le ‘s’, quittez le site immédiatement. Ce cadenas ne garantit pas que le site est légitime, mais il garantit au moins que la connexion est chiffrée. Des sites frauduleux utilisent aussi le https. Mais s’il n’y a pas le s, le site est forcément frauduleux.
5. Activez la double authentification (2FA)
La double authentification envoie un code à usage unique sur votre téléphone que vous devez renseigner pour confirmer votre commande ainsi qu’un code personnel qui est spécifique à vos opérations en ligne. Même si quelqu’un possède votre mot de passe, il ne pourra pas accéder à votre compte sans ce code. Vous pouvez l’activer sur votre boîte mail, sur votre application bancaire, sur vos réseaux sociaux et sur vos comptes e-commerce. Les banques et la plupart des grandes plateformes proposent cette option dans les paramètres de sécurité. Ça nécessite peu d’effort et peut vous éviter beaucoup de déconvenues.
6. Pensez à la carte virtuelle
Des solutions comme Revolut, Lydia ou la carte e-Bleue de votre banque permettent de générer un numéro de carte virtuel, temporaire, limité à un montant précis ou à une seule transaction. Ça n’évitera pas un achat sur un faux site marchand mais au moins en cas de vol de données, elles seront inutilisables pour toute autre transaction. C’est la protection la plus radicale contre la fraude à la carte bancaire.
7. Ne cliquez jamais sur les liens d’un email
En cas de doute : fermez l’email et tapez vous-même l’adresse du site dans votre navigateur. C’est le moyen le plus sûr d’éviter le phishing. Si un email vous dit que votre compte Amazon est bloqué, ouvrez un nouvel onglet et allez sur amazon.fr directement —mais ne cliquez pas sur le lien de l’email. Méfiez-vous aussi des SMS — on parle de ‘smishing’ — qui utilisent les mêmes techniques. La Poste, les impôts, votre opérateur téléphonique : ils ne vous demanderont jamais de cliquer sur un lien pour régler un problème urgent. Donc tout message inattendu ou alarmiste doit vous alerter.
8. Vérifiez l’identité du vendeur
Avant d’acheter sur un site inconnu, prenez le temps de vérifier les mentions légales (numéro SIRET, adresse, contact, et politique RGPD) : une société qui n’affiche pas ses informations de contact et d’indentification, c’est mauvais signe. Vérifier aussi les conditions de retour ou de remboursement dans les conditions générales de vente.
Favoriser les sociétés françaises ou européennes ou les sociétés étrangères qui ont un établissement français ou européen parce qu’en cas de contentieux, aller chercher la responsabilité d’une société chinoise ou balinaise va être complexe et couteux ou vain parce que vous ne pourrez jamais exécuter votre jugement…
Si c’est une société française, vous pourrez également ajouter une vérification sur Pappers qu’elle n’est pas en liquidation judiciaire pour éviter les mauvaises surprises.
Favoriser des enseignes dont vous savez qu’en cas de défaut de réception, vous serez facilement remboursés ou livrés à nouveau ou des enseignes labelisées par la FEVAD (fédération du e-commerce et de la vente à distance) qui vérifie leur fiabilité et met à disposition un médiateur en cas de litige.
Consultez les avis clients sur Trustpilot ou Google. En tapant simplement le nom de votre site suivi de « arnaque » ou « escroquerie », vous trouverez des avis clients éclairants ! Même précaution lorsque vous achetez à des particuliers : demander à vérifier les identifiés et taper leur nom dans des moteurs de recherches.
Petite astuce : vérifiez l’ancienneté du nom de domaine sur des outils gratuits comme ‘whois’. Un site créé il y a 3 semaines qui vend des produits à prix cassé doit vous alerter immédiatement. Faites également attention aux noms de domaine trompeurs : ‘amazon-promo.fr’, ‘laposte-livraison.com’, ‘banque-populaire-securite.net’ — ces adresses n’ont rien d’officiel.
L’ACPR (Autorité chargée du contrôle des banques et des assurances), l’AMF (Autorité des marchés financiers) et la Banque de France mettent à disposition un service vous permettant de vérifier si le site sur lequel vous souhaitez réaliser des achats n’a pas déjà été identifié comme frauduleux : Listes noires des autorités | ABE Infoservice
Téléchargez vos applications sur les sites officiels Apple ou google play store qui n’exluent pas totalement mais limitent sensiblement le risque d’installation d’applications piégées.
9. Assurez- vous d’un processus de commande conforme
Une commande en ligne doit se dérouler en plusieurs étapes qui sont autant de garanties que le site n’est pas frauduleux : L’achat doit toujours se faire en deux validations successives. Validation de la commande puis validation du paiement. Vous devez avoir pu choisir le mode de livraison et vérifier le détail de votre commande et son prix avant de valider définitivement la vente. Et une confirmation de commande doit vous êtes envoyée après paiement comportant un formulaire de rétractation.
S’il n’y a pas de rétractation possible, c’est que soit le site est frauduleux, soit votre achat ne relève pas du Code de la consommation, parce que vous l’avez réalisé auprès d’un site qui ne respecte pas le droit européen : ça vous donne tout de suite un indice sur les difficultés que vous rencontrerez en cas d’absence de livraison ou de livraison non conforme.
10. Mettez à jour systématiquement vos navigateurs, vos systèmes d’exploitation, et vos applications
Les mises à jour ne sont pas que des améliorations de confort. Elles corrigent des failles de sécurité que les pirates connaissent et exploitent activement. En 2024, 85% des cyberattaques réussies ont exploité des vulnérabilités pour lesquelles une mise à jour existait déjà. Donc activez les mises à jour automatiques et ne les reportez pas.
11. Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane ou celui de la CNIL)
Il permet de créer et stocker des mots de passe uniques et complexes pour chaque site.
Vous n’avez qu’un seul mot de passe maître à retenir. C’est la solution la plus simple pour éviter la réutilisation de mots de passe.
Ou à tout le moins choisissez des mots de passe solides complexes et différents pour chaque équipement
Et sauvegarder régulièrement vos données sur un support externe à votre équipement.
Sur le même thème:
En vidéo: visioconférence du 2 avril 2026, sécuriser ses achats sur internet
