Un proche peut vous contacter sur WhatsApp avec un faux message pour voter pour une petite fille à un concours de danse. Il veut vous faire cliquer sur un lien, mais attention : vous risqueriez aussi de vous faire pirater votre compte WhatsApp. Et oui, ce proche s’est lui-même fait avoir.
Tout commence par un message assez étrange
Vendredi, 18h53. Je reçois un message d’une amie sur WhatsApp : « Salut, pourrais-tu voter pour Francesca ? C’est la fille de mes amis, le premier prix est un cours de danse gratuit, et c’est très important pour elle ! » Suivi d’un lien qui paraît tout à fait normal. Un détail fait directement tiquer : la prévisualisation du lien est une photo de celle qui doit être Francesca. Sauf qu’à l’évidence, il s’agit d’une photo générée par IA. On note aussi l’extension du site, en .cfd, qui renvoie surtout à des sites de mode, mais qui est très peu utilisé. Mis à part ça, le message est bien rédigé, il n’y a aucun autre détail qui pourrait nous mettre la puce à l’oreille. Alors il faut aller plus loin en cliquant sur le lien : on a essayé.
On peut y lire que « L’école de danse classique « NG Ballet » organise un concours pour la meilleure prestation sur scène parmi les enfants. Le premier prix est une année de cours gratuits avec nos professeurs. » Le classement entre Francesca et la petite Anna est serré : 449 voix pour l’une, 462 pour l’autre. Vite, il faut voter pour Francesca, comme nous l’a dit notre proche ! En gagnant le concours, elle remportera « une rémunération en argent, un mois de formation, un mois de cours d’anglais. Mais le prix le plus important est une année de pratique avec notre entraîneuse olympique Maria Costa. » C’est justement son rêve !
Derrière ce message WhatsApp, une bonne vieille tentative de phishing
Pour valider son vote, rien de plus simple : il faut faire une vérification avec son compte WhatsApp. Le site explique qu’elle est nécessaire : « Nous luttons avec détermination contre la falsification et les décisions injustes concernant les résultats de la compétition. Chaque participant doit être une personne réelle. » C’est là que ça coince et que le phishing se révèle : on essaie de prendre le contrôle de votre compte WhatsApp.
Sur l’écran suivant, on vous demande de scanner un QR code depuis la section « Appareils connectés » de votre application WhatsApp, comme si vous vouliez vous connecter depuis un autre ordinateur ou un autre téléphone. Autre solution : renseigner son numéro de téléphone ainsi que le code reçu par SMS ou dans WhatsApp. Ça y est, le site pirate a récupéré votre numéro de téléphone ainsi que le code de vérification et s’est connecté à votre compte WhatsApp. Il va alors envoyer le même message à tous vos contacts, tandis que Francesca restera à 449 votes, juste derrière sa concurrente Anna (qu’elle doit détester).
Cette méthode de phishing sévit depuis plusieurs mois : parfois le concours est à un autre sujet, parfois Francesca est remplacé par une nièce (qui s’appelle Maria par exemple), les pirates ont toujours de l’imagination. La société de cybersécurité Kaspersky alertait déjà en septembre 2025.
L’erreur dans cette arnaque sur WhatsApp, c’est vous (désolé)
Aucun bug de WhatsApp n’est utilisé, seulement vos biais cognitifs. En utilisant un concours facile et gratuit, une petite fille, un membre de la famille de votre proche, et le compte WhatsApp dudit proche, l’arnaque met toutes les chances de son côté pour vous avoir. C’est d’autant plus puissant si plusieurs de vos proches (qui se sont faits pirater) vous envoient le message en question. À l’évidence, les personnes âgées sont les plus sujettes à « tomber dans le panneau », mais pas que : des gens très au fait de ces arnaques peuvent se faire avoir. Y compris ceux qui soupçonnent le lien d’être une tentative de phishing, mais qui y vont quand même.
Pour y faire face, nous vous recommandons d’activer la vérification à double facteur (2FA) sur votre compte WhatsApp. L’application ajoutera ainsi un code PIN à entrer pour toute nouvelle connexion. Pensez également à vérifier l’authenticité des sites : ici, les photos sont générées par IA, il n’y a que très peu de contexte et seulement deux participants au concours. Pensez aussi ne communiquer aucun code de vérification.
