“Vote pour elle” : attention à l’arnaque qui circule sur WhatsApp et Messenger fin octobre

Mis à jour le 29 octobre 2025
Un visage familier, une requête polie, un lien supposé anodin. À l’automne, les pièges en messagerie redoublent d’ingéniosité.
Voici l’arnaque d’octobre sur WhatsApp et Messenger : vote pour elle cache un vol de comptes

Fin octobre, une vague de messages façon “service entre proches” circule sur WhatsApp et Messenger. Derrière le prétexte d’un concours, des fraudeurs tentent de détourner des comptes entiers en quelques minutes. Le scénario joue la proximité et la précipitation, avec des techniques efficaces sur mobile.

Le message qui semble inoffensif

Tout commence par une demande très simple: “Ma nièce est en finale d’un concours, pourrais-tu voter pour elle ?”. Le texte arrive d’un contact connu, parfois d’un membre de la famille. Les malfaiteurs ont souvent pris le contrôle de ce compte en amont, puis recopient sa façon d’écrire. Un lien suit, vers une page de pseudo-concours avec photos, compteur de votes et boutons rassurants. L’illusion suffit à déclencher un clic.

Si un vote “gratuit” exige un code reçu par SMS ou une reconnexion de compte, ce n’est pas un vote: c’est un détournement.

Comment les fraudeurs procèdent

Sur WhatsApp : le code à 6 chiffres détourné

  • Le lien redirige vers un faux site qui prétend vérifier le numéro de téléphone.
  • Un code à 6 chiffres arrive par SMS. Il sert en réalité à connecter un nouvel appareil à WhatsApp.
  • Une fois saisi, l’attaquant prend la main: conversations, carnet de contacts et diffusion du même message à grande échelle.
  • Le compte compromis sert alors de tremplin pour infecter d’autres proches.

Sur Messenger : l’écran Facebook qui n’en est pas un

L’arnaque sœur joue la carte Facebook. La page imite la charte de Facebook et invite à taper identifiant, mot de passe, parfois un code à usage unique. L’objectif est identique: voler les accès, entrer par Messenger, puis arroser la liste d’amis avec la même sollicitation. Le décor change, la mécanique reste identique.

Ne jamais communiquer un code reçu par SMS. Ne jamais saisir ses identifiants sur un site ouvert depuis une messagerie.

Signaux d’alerte à repérer

  • Message inhabituel d’un proche qui insiste gentiment ou affiche une urgence artificielle.
  • Lien vers un site inconnu qui réclame un numéro de téléphone ou des codes de sécurité.
  • Page de concours sans mentions légales visibles, règlement introuvable, logos flous.
  • Compteur de votes caricatural, photos génériques, fautes récurrentes.
  • Demande de se reconnecter à Facebook en dehors de l’application officielle.

Que faire si le clic a déjà eu lieu

Agir vite limite la casse. Chaque minute compte pour couper l’accès distant et prévenir la propagation vers les contacts.

  • WhatsApp: reconnecter le compte sur son propre numéro pour évincer l’appareil intrus. Activer la vérification en deux étapes avec un code PIN.
  • Dans WhatsApp, ouvrir Paramètres, puis Appareils connectés. Déconnecter tout appareil inconnu.
  • Facebook/Messenger: changer immédiatement le mot de passe depuis l’application officielle. Révoquer les sessions actives. Activer l’authentification à deux facteurs via application d’authentification ou clé de sécurité.
  • Informer les contacts d’un possible piratage. Leur demander d’ignorer les demandes récentes et de signaler toute sollicitation d’argent.
  • Si l’attaquant a posé un PIN WhatsApp, la récupération peut prendre du temps. Réessayer régulièrement, surveiller les alertes de sécurité et fournir les justificatifs demandés.
Symptôme Interprétation Action immédiate
SMS WhatsApp reçu sans action Tentative d’enregistrement de votre numéro par un tiers Ignorer le code, activer la vérification en deux étapes
Vos contacts reçoivent un message “vote” Votre compte diffuse l’arnaque à votre insu Déconnecter les appareils, prévenir les contacts, sécuriser le compte
Demande de code 2FA après un clic Page de phishing visant les identifiants Changer le mot de passe depuis l’app officielle, activer 2FA

Renforcer la sécurité dès maintenant

  • Activer la vérification en deux étapes sur WhatsApp pour bloquer toute nouvelle connexion non autorisée.
  • Sur Facebook, préférer une application d’authentification ou une clé physique aux codes par SMS.
  • Protéger WhatsApp par empreinte ou code, et masquer l’aperçu des messages en écran verrouillé.
  • Vérifier régulièrement les appareils connectés et l’historique des connexions actives.
  • Mettre à jour le système et les applications, et chiffrer la sauvegarde des discussions.

Avant de cliquer, changer de canal: un appel de 30 secondes suffit souvent à déjouer la manœuvre.

Pourquoi cette fraude percute si fort fin octobre

Le message active l’empathie et la réciprocité: aider un proche ne coûte rien, alors on accélère. L’argument du “vote qui se termine bientôt” installe l’urgence. Le contexte de soirée et de week-end réduit l’attention. Et la page fausse, très ordinaire, s’insère sans rupture dans une conversation privée. Le cocktail favorise le réflexe plus que la vérification.

Les biais cognitifs sont bien exploités: sentiment d’urgence, lien affectif, effet de familiarité, et peur de rater une opportunité. Face à cette stratégie, un rituel simple fait la différence: soupçonner toute demande inhabituelle, valider par un second canal et refuser tout partage de codes.

Variantes à garder à l’œil dans les semaines qui suivent

  • Faux colis ou fausse amende avec lien de suivi et petite somme à régler “immédiatement”.
  • Fausse collecte solidaire en urgence, avec promesse de reçu fiscal et virement instantané.
  • Faux lot gagné nécessitant une “vérification d’identité” via code SMS.
  • Faux support technique qui invite à “confirmer la sécurité” du compte via un formulaire.

Quel que soit le décor choisi, la cible reste la même: récupérer identifiants, codes d’authentification ou initier un paiement sous pression.

Des réflexes simples à instaurer

  • La règle du délai: patienter cinq minutes avant d’agir après un lien reçu en messagerie.
  • La règle des deux canaux: confirmer par appel, note vocale ou SMS indépendant toute requête inhabituelle.
  • La règle du chemin officiel: ouvrir l’application native pour se connecter, jamais un site issu d’un message.
  • La règle du doute: refuser toute demande de code par SMS, même si elle vient d’un proche.

Aller plus loin pour limiter l’exposition

Paramétrer des alertes de connexion sur Facebook et vérifier les e-mails de sécurité aide à repérer une intrusion précoce. Sur WhatsApp, revoir la liste des appareils connectés chaque semaine réduit la durée de compromission. Les opérateurs mobiles proposent parfois un verrouillage supplémentaire du dossier client: demander l’activation d’un code de contact ajoute une barrière contre des détournements plus ambitieux.

Pour tester la solidité actuelle, simuler une récupération de compte sur les services critiques. Si l’accès repose encore uniquement sur le SMS, basculer vers une application d’authentification et noter les codes de secours dans un gestionnaire sécurisé. Préparer ces réglages à tête reposée évite des choix hâtifs sous stress.

Vers qui se tourner en cas d’incident

  • Signaler dans l’application concernée pour aider au blocage des liens et des comptes malveillants.
  • Conserver captures d’écran et SMS reçus pour d’éventuelles démarches auprès des autorités.
  • Consulter les ressources officielles de prévention et d’assistance à la cybersécurité pour obtenir un accompagnement.

Un dernier point: si plusieurs proches confirment avoir reçu un message suspect de votre part, coupez rapidement la diffusion en publiant une note visible à tous et en activant des contrôles de confidentialité plus stricts. Mieux vaut sur-communiquer dans les premières heures que laisser l’attaque s’étendre en silence.