Une vente entre particuliers peut basculer en quelques minutes lorsque le vendeur pense suivre une procédure officielle alors qu’il est redirigé vers une fausse interface. Dans le cas rapporté par Numerama, une victime a perdu 1 550 euros après un hameçonnage ayant permis à des escrocs de remplacer son IBAN sur Leboncoin. Le danger ne concerne pas seulement Leboncoin : sur Vinted, Facebook Marketplace ou d’autres plateformes, le même réflexe doit s’imposer avant d’envoyer un colis ou de valider une transaction. Le paiement sécurisé reste utile, mais seulement si l’échange, le paiement et les vérifications restent dans le parcours officiel.
Un faux message, un vrai paiement détourné
Le cas est parlant parce qu’il ne repose pas sur une arnaque grossière. Selon Numerama, un vendeur met en vente un appareil photo Sony A7 IV sur Leboncoin pour 1 550 euros. Alors que son annonce attire plusieurs acheteurs potentiels, il reçoit un message présenté comme venant de l’« Administration », l’invitant à mettre à jour ses informations. Le message paraît crédible, arrive dans un contexte de vente active et semble relayé par les outils de communication de la plateforme.
Le vendeur clique, arrive sur une copie du site et renseigne ses identifiants. Une fois le compte compromis, les fraudeurs remplacent l’IBAN français du vendeur par un compte domicilié en Lituanie. Le 5 décembre 2025, au moment où la transaction est finalisée, les 1 550 euros sont automatiquement dirigés vers les escrocs. La victime alerte le service client onze minutes après la notification du virement inhabituel, dépose plainte, puis obtient finalement un remboursement plus de trois mois plus tard, après l’intervention d’un avocat et l’envoi d’une mise en demeure.
Pourquoi l’IBAN est le point faible que les vendeurs surveillent trop peu
Dans une vente en ligne, le vendeur se méfie souvent d’un faux acheteur, d’un chèque volé, d’une fausse preuve de virement ou d’une demande d’envoi trop rapide. Mais cette affaire montre un autre risque : le paiement peut bien exister, tout en partant vers le mauvais compte si l’espace vendeur a été piraté.
Leboncoin indique qu’un email de modification d’IBAN sert à confirmer la validation ou la modification des coordonnées bancaires dans le compte. La plateforme précise aussi que si l’utilisateur n’est pas à l’origine de cette modification, il doit contacter rapidement ses équipes afin qu’elles puissent intervenir sur le compte.
En pratique, un changement d’IBAN doit donc être traité comme une alerte prioritaire. Avant d’expédier un objet cher, il ne suffit pas de regarder si l’acheteur a payé. Il faut vérifier que l’IBAN enregistré est bien le sien, que l’historique du compte ne montre aucune action inconnue et qu’aucune notification de connexion ou de modification bancaire suspecte n’a été reçue.
Ce que le paiement sécurisé protège vraiment
Le paiement sécurisé n’est pas inutile. Leboncoin explique que sa transaction sécurisée permet de réaliser une vente directement depuis le site ou l’application, avec un paiement sécurisé jusqu’à réception de l’article et, selon les cas, une possibilité de remboursement en cas de problème. Pour une remise en main propre, l’acheteur vérifie le produit et confirme le paiement via l’application.
Mais cette protection ne couvre pas tous les scénarios. Elle fonctionne si les deux parties restent dans le parcours prévu. Leboncoin recommande d’utiliser la messagerie sécurisée et le paiement sécurisé, précise que les étapes de la transaction sont indiquées dans la messagerie, et avertit qu’un email de confirmation de paiement non visible dans la messagerie ne doit pas déclencher l’envoi de l’article.
Ce point est essentiel : un email rassurant, un logo connu ou une interface très proche de l’original ne suffit jamais. Leboncoin rappelle d’ailleurs que des emails frauduleux peuvent reprendre les logos et les codes couleur de la marque. La bonne vérification ne se fait pas depuis le lien reçu, mais depuis l’application ou le site ouvert directement par l’utilisateur.
Leboncoin, Vinted, Marketplace : le même piège sous des formes différentes
L’affaire concerne Leboncoin, mais le réflexe vaut pour toutes les plateformes de seconde main. Cybermalveillance.gouv.fr cite explicitement Leboncoin, Vinted et Facebook Marketplace parmi les sites et applications de vente entre particuliers où des faux acheteurs ou faux vendeurs peuvent chercher à soutirer de l’argent ou des informations personnelles. Ses conseils sont constants : vérifier les conditions d’utilisation, se renseigner sur les modalités de paiement et de livraison, se méfier des invitations à poursuivre l’échange hors plateforme et utiliser de préférence le système de paiement proposé par la plateforme lorsqu’il existe.
La différence se joue dans les détails. Sur Leboncoin, le vendeur doit vérifier que la transaction apparaît bien dans la messagerie et dans la page Transaction. Sur Vinted, il faut se méfier d’un échange qui pousse vers un paiement hors application ou vers un faux lien de confirmation. Sur Facebook Marketplace, où beaucoup d’échanges reposent encore sur la messagerie et des accords directs, la prudence doit être maximale dès qu’un interlocuteur demande un virement, un paiement instantané ou une validation via un lien externe.
La règle commune est simple : si le paiement ou la confirmation de paiement n’est visible que dans un email, un SMS, un QR code ou une page ouverte depuis un lien envoyé par l’interlocuteur, il faut suspendre l’opération.
Ce qu’il faut vérifier avant d’envoyer le colis
Avant toute expédition, surtout pour un objet de valeur, six contrôles doivent devenir automatiques.
D’abord, ouvrir soi-même l’application ou le site officiel, sans passer par un lien reçu. Ensuite, vérifier que la transaction apparaît dans l’espace officiel et pas seulement dans un email. Troisième point : contrôler l’IBAN ou les coordonnées de paiement enregistrées. Quatrième point : regarder s’il y a eu une notification récente de connexion, de changement de mot de passe, de modification d’IBAN ou d’action sensible non demandée. Cinquième point : refuser les QR codes, les liens de paiement externes, les captures d’écran de virement et les demandes de coordonnées bancaires par messagerie. Sixième point : activer la double authentification dès que la plateforme le permet.
Leboncoin recommande précisément d’activer la double authentification et explique qu’un code de validation peut être envoyé par email ou SMS à chaque tentative de connexion. La plateforme conseille aussi d’utiliser un mot de passe unique et complexe, de ne pas communiquer d’informations sensibles par messagerie, téléphone ou email, et de ne pas cliquer sur les liens contenus dans des messages suspects.
Là où la responsabilité de la plateforme reste une question sensible
Dans ce type de dossier, la responsabilité n’est pas toujours simple à établir. Les conditions générales de Leboncoin indiquent que LBC France est un tiers aux correspondances et relations entre annonceurs et utilisateurs, et exclut sa responsabilité à cet égard. Elles précisent aussi que la plateforme ne saurait être tenue responsable des messages et contenus échangés via la messagerie.
Mais cela ne signifie pas qu’un utilisateur doit renoncer à toute démarche. Les conditions générales expriment la position contractuelle de la plateforme ; elles ne remplacent pas l’analyse d’un cas concret. En cas de perte importante, il faut documenter la chronologie, la nature du message frauduleux, le moment exact du changement d’IBAN, la rapidité du signalement, les réponses du service client et l’éventuelle absence de blocage du virement après alerte.
Cette nuance est importante pour le lecteur : le remboursement n’est pas automatique, mais un dossier complet peut peser dans une réclamation, une médiation, une mise en demeure ou une procédure.
Que faire si l’argent est parti vers le mauvais compte
Si l’arnaque est découverte, il faut agir vite et dans le bon ordre. La première étape consiste à sécuriser le compte : changer le mot de passe de la plateforme, changer aussi celui de la boîte mail associée, vérifier les éventuels transferts automatiques d’emails et activer la double authentification. Leboncoin rappelle que, dans de nombreux cas de piratage, la boîte mail est elle-même compromise.
Ensuite, il faut contacter immédiatement la plateforme en transmettant un dossier précis : capture du faux message, adresse du faux site, emails reçus, numéro de transaction, identifiant de l’annonce, date et heure du changement d’IBAN, ancien IBAN, nouvel IBAN suspect, échanges avec l’acheteur et preuve de l’alerte envoyée au service client.
Si un virement frauduleux est en cause, Cybermalveillance.gouv.fr recommande d’alerter immédiatement la banque pour tenter de suspendre l’opération ou demander le retour des fonds, de conserver les preuves, de vérifier les paramètres de messagerie, de changer les mots de passe et de déposer plainte rapidement. La même source rappelle que les preuves peuvent servir dans les démarches ultérieures.
Pour les arnaques en ligne, le dispositif THESEE permet, selon les cas, de déposer plainte ou de faire un signalement en ligne. Ma Sécurité précise que THESEE couvre notamment les escroqueries aux petites annonces, les faux acheteurs, les faux vendeurs, les faux sites de vente et le piratage de messagerie ou de compte de réseau social. Le site indique aussi qu’il faut préparer l’IBAN concerné lorsqu’il est lié à la déclaration.
SignalConso peut être utile si le litige concerne le comportement d’une entreprise ou d’une plateforme, mais ce n’est pas une plainte pénale contre l’escroc. Le service public précise qu’il permet de signaler un problème rencontré avec une entreprise, d’obtenir des informations sur ses droits et d’informer la Direction générale de la concurrence, de la consommation et de la répression des fraudes.
La bonne décision avant une vente de valeur
Pour une vente à quelques euros, le risque peut sembler limité. Pour un appareil photo, un vélo électrique, un smartphone récent ou une console, une seule erreur peut coûter plusieurs centaines ou milliers d’euros. L’exemple des 1 550 euros détournés montre que l’arnaque ne vise pas seulement les débutants : elle exploite surtout la confiance créée par une plateforme connue.
La meilleure décision consiste donc à ralentir au moindre doute. Pas de colis envoyé si le paiement n’apparaît pas dans l’espace officiel. Pas de clic sur un lien de validation reçu par message. Pas de confiance accordée à une interface simplement parce qu’elle ressemble au site. Et surtout, aucun changement d’IBAN ne doit être ignoré : c’est souvent là que se joue le détournement.
Soyez le premier à commenter