C'est un peu comme un leitmotiv que je répète à toute personne m'appelant pour m'expliquer avoir été escroquée par téléphone : ne jamais répondre à un appel inconnu et appliquer la règle "Si quelqu'un veut vraiment me contacter, il me laissera un message ; pas de message = peut-être une arnaque évitée...". L'aventure racontée ci-dessous est arrivée à un expert en cyber sécurité qui s'est tranquillement fait avoir à un moment où il n'était pas assez attentif. Il raconte avec humour sa triste mésaventure, en espérant que son témoignage servira d'exemple "à ne pas suivre"

Avant propos : aujourd'hui, en 2026, l'un des risques les plus importants est de se faire embobiner au téléphone par quelqu'un qui saura si bien vous manipuler, que vous ne vous en rendez même pas compte... C'est ce qu'on appelle du "Social Engineering" ou "Manipulation Sociale"

Article original publié sur le site Numerama le 1er mars 2026 par Jean-Sébastien Zanchi

Je suis journaliste tech depuis 20 ans, j’ai écrit quantité d’articles sur la cybersécurité. Et je me suis quand même fait arnaquer comme un bleu par un faux conseiller Binance. Témoignage d’une escroquerie par téléphone d’une redoutable efficacité (et d’une humiliation personnelle cuisante).

Jeudi 19 février, 12h24. Je suis en train de préparer mon déjeuner, concentré sur mes casseroles, quand mon téléphone sonne. Numéro inconnu : 01 89 48 05 96. Première erreur : je décroche. En 2026, répondre à un numéro inconnu, c’est déjà perdre la partie. Mais je suis journaliste tech, pas un pigeon, alors qu’est-ce qui pourrait mal tourner ?

Content Library Image

Une voix féminine, française, parfaite. Pas de trace d’accent synthétique, pas de call center crachotant au fond. « Service client de Binance France », annonce-t-elle avec un niveau de langage qui me fait presque regretter mon bac+5. Elle m’indique qu’une tentative de connexion sur mon compte a été effectuée depuis l’Espagne avec un smartphone Xiaomi. Des détails crédibles, précis, rassurants.

Mon compte Binance. Ah oui, cette erreur de jeunesse datant de 2021 : 1 100 euros investis sur les conseils peu avisés d’une ancienne connaissance tombée dans la cryptomonnaie. Bitcoin, Cardano, Solana, Ethereum, Audius… Un portefeuille diversifié de l’espoir qui s’était transformé en musée vivant de mes mauvaises décisions financières. Montant actuel : environ 600 euros. J’avais depuis longtemps fait le deuil de cet argent.

Le théâtre commence : l’histoire d’un hack supposé

La dame est prévenante. Elle me pose des questions légitimes : « Peut-être vous êtes-vous connecté à un réseau Wi-Fi public ? » Bingo. Je suis le genre de gars qui se connecte aux Wi-Fi d’aéroports, de gares, de bibliothèques. Je teste du matériel tech en permanence. Évidemment, je réponds : « Oui, ça m’arrive. » Confiance établie. 

« Nous devons réinitialiser vos connexions, mais pour cela, il faut d’abord sécuriser vos actifs. Si vous n’avez pas activé votre coffre-fort froid, je vous passe le service technique. » Trente secondes d’attente. Musique d’ascenseur. Professionnalisme maximal. Et voilà « Sébastien Roux » — enfin, il me semble — au bout du fil. Sympathique. Très sympathique. Le genre de voix qui vous vendrait une assurance-vie pendant que vous êtes aux toilettes.

« Désolé, j’étais en ligne avec un autre client. Un instant, j’ouvre votre dossier. » Crédibilité : +10. Qui invente ce genre de détail ? « Effectivement, je vous confirme ce que vous a dit ma collègue. C’est assez rare, mais ça arrive malheureusement. Une connexion depuis l’Espagne. Ce sont le plus souvent des opérations russes, mais rassurez-vous, je ne vois aucun transfert d’actifs. Vous pouvez vérifier sur votre application Binance. »

J’ouvre l’appli. Tout est là. Mes cryptos en constante dépréciation tranquille. Rien de suspect. Sébastien a raison. Puis vient LA phrase magique, celle qui endort toute méfiance : « Surtout, sachez que Binance ne vous demandera jamais votre identifiant et votre mot de passe, que vous ne devez absolument communiquer à personne. » Il avait raison. À aucun moment, ils ne me les demanderont. Mais l’arnaque est bien plus rusée.

« Trust Wallet » : ou comment faire confiance à une application qui n’est pas ce qu’elle prétend

Tout occupé à remuer mes casseroles — parce que oui, je suis multitâche — j’écoute religieusement les instructions de Sébastien (sans doute un peu trop) : « Avant de réinitialiser votre compte, nous allons transférer vos cryptomonnaies dans un portefeuille sécurisé. Téléchargez l’application Trust Wallet. » Je cherche sur l’App Store. Note : 4,5 étoiles. Tout semble OK. « C’est un service racheté par Binance en 2018, vous pouvez avoir confiance », ajoute-t-il.

Et c’est vrai ! Je me souviens vaguement de cette info, lue en diagonale à l’époque où j’observais le monde crypto comme on regarde un accident de train au ralenti. Information vérifiable : crédibilité renforcée. C’est le genre de détail qui tue. Parce qu’une information vraie au milieu d’une escroquerie, c’est comme un gilet de sauvetage en plomb : ça vous donne l’illusion de la sécurité juste avant de couler.

Ce que je ne vois pas, concentré sur ma cuisine improvisée, c’est que l’éditeur n’est pas Binance. C’est « Dapps Platform Software Services Ltd. » Un nom qui sent l’arnaque à dix kilomètres. Le nom de l’application n’est d’ailleurs pas « Trust Wallet » (même si elle remonte en premier sur cette requête), mais « Trust: Crypto & Bitcoin Wallet ».

Autre détail qui aurait dû m’avertir, mais qui n’est pas le premier réflexe au téléphone : leur site web. Un festival de faux témoignages avec des noms qui sonnent comme des résultats de générateur automatique : Emily Davis, COO de GreenEnergy Enterprises ; John Anderson, VP of Product Development chez EduTech Systems. Des photos de stock. Des biographies copiées-collées. Après vérification post-traumatique, ces gens n’existent absolument pas. Sans compter l’adresse e-mail « dapps2546@gmail.com » comme contact.

Parce que c’est ça, le génie de l’arnaque moderne : elle vous prend au moment où vous êtes déjà occupé à faire autre chose. Pas quand vous êtes attentif, concentré, méfiant. Non. Quand vous cuisinez. Quand vous travaillez. Quand vous êtes dans le métro.

Autre question : celle de la responsabilité d’Apple et de Google ? Que fait une application notée 4,7 étoiles sur l’App Store et le Play Store ? De nombreux commentaires signalent un scam, ce qui laisse suspecter que son usage est peut-être totalement détourné.

Un éclair de lucidité trop bref : mes cryptos transférés

« Nous allons maintenant mettre à l’abri vos cryptomonnaies le temps qu’on réinitialise votre compte Binance. On les retransférera une fois que c’est fait » est une phrase qui me hante encore. Je suis en train de m’atteler à ma purée de pommes de terre quand un éclair de lucidité me traverse l’esprit, comme un dernier sursaut de survie neuronale : « Mais c’est bizarre quand même que je n’aie reçu aucune notification de cette tentative de connexion… ». Et pourquoi transférer mon argent pour me le rendre ?

A ma question, Sébastien, imperturbable : « C’est normal. Comme la tentative n’a pas réussi, vous n’êtes pas informé directement. En revanche, nos logs nous ont alertés. C’est pour ça qu’on vous appelle ». Logique implacable sur le moment, évidemment illogique aujourd’hui. L’absence d’hésitation dans son discours m’a rassuré : c’est ça qui fait la différence entre un escroc amateur et un professionnel : la préparation. Ils ont anticipé chaque objection. Chaque question légitime a sa réponse toute prête, livrée avec l’assurance d’un acteur qui connaît son texte par cœur. Je me rassure. Retour à ma purée.

S’ensuit une série de manipulations durant lesquelles je saisis des mots de passe pour m’identifier sur l’application. Sébastien est toujours là, patient, me guidant étape par étape comme un prof particulier bienveillant.

« Maintenant, allez dans votre application Trust Wallet. » ; « Parfait. Copiez les mots que vous avez reçu par mail pour sécuriser la connexion. » ;  « Retournez dans Binance. » ; « Confirmez avec votre code de sécurité. »

Allers-retours entre les deux applications. Vérifications. Transferts. Authentifications par clé de sécurité. Je fais tout moi-même, comme un grand. Personne ne me force. Personne ne me presse. Juste un accompagnement attentionné, presque pédagogique. Cela fait déjà 25 minutes que je suis au téléphone. Ma purée commence à refroidir, mais Sébastien est toujours aussi affable : « J’ai demandé à notre service client s’il pouvait vous faire un geste commercial pour le dérangement. J’attends leur réponse. »

Un geste commercial ? Trop gentil. Ces gens sont vraiment aux petits soins. À ce stade, je suis presque reconnaissant. Ils m’appellent pour me protéger, ils sont patients avec mon incompétence technique et en plus ils veulent me dédommager. Quelle entreprise formidable, Binance ! Je devrais peut-être racheter des cryptos.

Sans le savoir encore, je viens de transférer l’intégralité de mes actifs cryptographiques à un parfait inconnu. 600 euros. Envolés. Direction inconnue. Probablement un portefeuille quelque part entre la Russie, l’Espagne et un serveur aux îles Caïmans. 

L’ironie, c’est que je suis la personne la MOINS qualifiée pour être victime de ce genre d’arnaque. Enfin, c’est ce que je croyais. J’ai écrit des dizaines d’articles sur ces arnaques. J’ai interviewé des experts en cybersécurité. J’ai lu des rapports sur le social engineering. Je SAIS comment ça marche. Et pourtant.

Une fois les manipulations terminées, je vois effectivement apparaître mon solde sur la fausse l’application Wallet. Tout semble en ordre. Et l’application semble donc complice de l’opération. « Voilà, nous allons donc lancer la réinitialisation de votre compte. Ça prend environ une heure. Fermez bien les deux applications, je vous rappelle tout à l’heure pour retransférer les cryptos vers Binance ».

Le réveil brutal : j’attends toujours son coup de fil

Trois heures plus tard, j’ai déjeuné, je travaille tranquillement, quand soudain une pensée me traverse : « Tiens, il ne m’a pas rappelé. » Je tente de joindre le 01 89 48 05 96. Une voix robotique en anglais m’annonce que ce numéro est disponible à l’achat via un service en ligne. 

Et là, tout bascule. Comme si j’avais démasqué Keyser Söze. J’ouvre l’application Wallet. Vide. Absolument vide. L’intégralité de mes cryptomonnaies a disparu dans la nature numérique.

Au début, je me suis senti incroyablement idiot. Le genre d’idiot qui mérite une médaille. Mais les minutes passant, je n’ai pu qu’admirer — oui, admirer — ce talent de piratage par « social engineering ». Avec seulement mon nom, mon numéro de téléphone et l’information que j’avais un compte Binance, ils ont réussi leur coup.

J’ai 47 ans. Pas 90. Je suis journaliste tech depuis 20 ans. J’ai écrit MILLE FOIS sur ces sujets. Les arnaques au phishing, les faux sites, les techniques de manipulation psychologique. Je connais par cœur. Et pourtant, avec un peu de bagout, quelques informations bien placées, une mise en scène impeccable, je me suis fait avoir comme un bleu.

L’art de l’escroquerie moderne

Ce qui m’a eu, c’est l’expertise du scénario. Pas d’accent louche. Pas de pression agressive du style « VITE MONSIEUR, VOTRE COMPTE VA EXPLOSER ». Non. Du professionnalisme. De la patience. De la prévenance. Des détails crédibles : le smartphone Xiaomi, les connexions suspectes depuis l’Espagne, les « opérations russes », la phrase magique sur la non-communication des mots de passe. Ils ont même proposé un « geste commercial » pour le dérangement. Le souci du détail !

Et le coup de génie : me faire télécharger une application qui ressemble à s’y méprendre à l’originale. Même logo. Même nom (presque). Note correcte sur l’App Store. Ils ont même profité de ma connaissance approximative du rachat de Trust Wallet par Binance en 2018 pour renforcer la crédibilité. Information vraie, détournée à des fins malhonnêtes. Du grand art. L’arnaque joue sur plusieurs niveaux psychologiques simultanément :

  • Le sentiment d’urgence maîtrisé : Pas de panique, pas de « VOUS AVEZ 5 MINUTES POUR AGIR », mais plutôt « nous vous appelons pour vous informer d’un problème que nous gérons pour vous ». Vous n’êtes pas en danger immédiat, vous êtes pris en charge. Différence subtile, efficacité maximale.
  • La validation par la connaissance : Ils connaissent votre nom, votre numéro, le fait que vous avez un compte Binance. Ça suffit à créer une illusion de légitimité. Parce que si c’était vraiment une arnaque, comment auraient-ils ces infos ? (Réponse : fuites de données, achats de bases sur le dark web, scraping sur les réseaux sociaux… mais on n’y pense pas sur le moment.)

  • L’inversion de la méfiance : En disant explicitement « nous ne vous demanderons jamais votre mot de passe », ils désactivent votre système d’alerte principal. C’est comme un magicien qui vous montre sa main gauche pour que vous ne regardiez pas ce que fait la droite.

  • L’accompagnement technique : Ils ne vous demandent pas de leur envoyer l’argent. Ils vous guident pour que VOUS le fassiez vous-même. Vous êtes acteur de votre propre escroquerie. Psychologiquement, c’est beaucoup plus difficile à détecter, parce que vous avez l’impression d’être en contrôle.

  • Le timing parfait : Jeudi midi. Heure du déjeuner. Moment où les gens sont moins vigilants, déjà occupés à autre chose. Ce n’est pas un hasard.

Quelques recherches sur le Web m’ont confirmé que je suis loin d’être la seule victime. Cette arnaque est bien rodée, parfaitement huilée et répliquée auprès de gens qui se sont fait avoir exactement de la même manière. Certains ont perdu bien plus que 600 euros. Des milliers, parfois. Des économies entières, transférées en quelques minutes pendant une pause-déjeuner.

La morale de cette histoire : méfiez-vous de toutes les sollicitations

Pas sûr que ça vaille 600 euros, mais je suis à deux doigts de me dire que, devant tant d’ingéniosité, ils les ont presque mérités. Presque. Parce qu’au final, ce qui me reste, c’est une leçon brutale, humiliante, mais nécessaire : en 2026, ne répondez absolument plus jamais à un numéro inconnu. Plus jamais. 

Peu importe si c’est un numéro français. Peu importe si la personne parle un français parfait. Peu importe si elle connaît des détails sur vous. C’est devenu trop risqué. Les escrocs ont accès aux mêmes bases de données que les entreprises légitimes. Ils savent où vous avez un compte. Ils savent comment vous parler. Ils savent quels détails crédibiliser leur discours.

Et surtout, ils savent que vous êtes occupé. À faire la cuisine. À travailler. À vivre votre vie. Ils comptent sur votre distraction. Sur votre confiance dans les procédures officielles. Sur votre rationalisation (« après tout, ils ne m’ont pas demandé mon mot de passe, donc tout va bien »).

Alors voilà. J’ai perdu 600 euros. Mais j’ai gagné une histoire embarrassante à raconter. Et une règle de vie simple : désormais, tous les numéros inconnus vont directement sur messagerie. S’ils ont vraiment besoin de me joindre, ils laisseront un message. Ou un mail. Ou un pigeon voyageur. Mais je ne décrocherai plus. Parce que la prochaine fois, ce ne sera peut-être pas 600 euros de cryptos imaginaires. Ce sera peut-être mon compte bancaire. Ou pire.

Sébastien, si tu me lis : bravo. Tu m’as eu. Mais sache qu’un jour, quelqu’un te piégera aussi. C’est le karma des escrocs. Et ce jour-là, j’espère que tu seras en train de faire une purée de pommes de terre.

Si vous avez été victimes de la même arnaque, signalez-le à Pharos, à votre plateforme d’échange et portez plainte. Ça ne récupérera pas votre argent, mais ça peut aider à coincer ces escrocs.

_______________________________________________________

Cette mésaventure relate avec une pointe d'humour une arnaque aux cryptomonnaies, mais ce type de "manipulation sociale" peut s'appliquer à tous les domaine de la vie courante... Désormais avec les nombreuses fuites de données provenant de grands sites institutionnels ou de e-commerce, les escrocs peuvent posséder suffisamment d'informations sur vous pour vous faire croire, dans la conversation, qu'ils sont bien votre conseiller bancaire, les impôts, la sécurité sociale ou autre...

Donc, pour conclure

  • ne plus répondre aux appels téléphoniques inconnus, si l'appel est vraiment important, le correspondant vous laissera un message sur votre répondeur

  • si vous répondez et que la conversation se dirige vers des domaine comme votre argent, vos données personnelles ou vos mots de passe, ou que votre correspondant vous presse parce qu'il y a urgence... dites simplement  "Je préfère contacter directement le service concerné", puis raccrochez et rappelez la banque, l'institution, le service concerné, etc... pour confirmer

  • ATTENTION : aujourd'hui les escrocs peuvent techniquement vous appeler en faisant s'afficher sur votre téléphone le nom de votre banque, de votre conseiller, etc... ceci est désormais à la portée de n'importe quel filou, donc si quelqu'un qui semble être votre conseiller vous appelle pour vous prévenir d'un transfert d'argent suspect sur votre compte, et qu'il vous demande de valider en urgence le blocage des fonds par un code SécuriPass, dites que vous préférez plutôt rappeler votre banque ou aller au directement guichet pour confirmer

  • de même : ne jamais cliquer sur un lien dans un SMS ou dans un email, mais accéder directement au site officiel pour consulter votre espace client

<< Voir toute l'actualité Ms2i