Escroqueries, renseignements sur les menaces

Au cœur d'un réseau comptant plus de 20 000 boutiques frauduleuses

par Stefan Dasic | 18 mars 2026
Fausses boutiques clonées

Nous avons mis au jour un vaste réseau de fausses boutiques en ligne comprenant plus de 20 000 domaines, des dizaines d’adresses IP partagées et des vitrines identiques sur lesquelles ont simplement été collés des noms différents. Elles n’ont qu’un seul but : voler vos informations de paiement et vos données personnelles. Le fil conducteur qui les relie toutes est un titre d’onglet de navigateur auquel la plupart des gens ne prêteraient pas attention : « Unesélection inégalée, rien que pour vous. »

Des vitrines impeccables, des entrepôts vides

Les fausses boutiques en ligne sont des sites web frauduleux conçus pour ressembler à s'y méprendre à des sites de vente en ligne légitimes. Elles proposent des listes de produits, des logos de marques, des avis clients, des paniers d'achat et des pages de paiement qui semblent fonctionnelles. Mais elles ne tiennent jamais leurs promesses. Dans certains cas, les victimes ne reçoivent absolument rien. Dans d'autres, elles reçoivent une contrefaçon bon marché qui ne vaut qu'une fraction du prix annoncé.

Quoi qu'il en soit, ce sont vos données qui sont vendues : ces fausses boutiques récupèrent vos identifiants de paiement, vos adresses de facturation et vos informations personnelles, puis les revendent sur des marchés clandestins ou les utilisent directement à des fins d'usurpation d'identité.

L'ampleur du problème a explosé. D'après des données récentes issues du renseignement sur les menaces, les escroqueries liées aux fausses boutiques en ligne ont augmenté de 790 % au premier trimestre 2025 par rapport à la même période de l'année précédente, en partie en raison des inquiétudes économiques liées aux droits de douane, qui poussent les consommateurs à se tourner vers des alternatives moins chères.

Rien que pendant la période des fêtes de fin d'année 2024, les chercheurs ont recensé plus de 80 000 fausses boutiques, dont beaucoup ont disparu ou changé de nom en l'espace de quelques jours. Les données de télémétrie du secteur recueillies fin 2025 ont révélé que les fausses boutiques représentaient 65 % de l'ensemble des menaces bloquées sur les réseaux sociaux, Facebook YouTube les principales plateformes de lancement.

Ces opérations sont de plus en plus industrialisées. Des chercheurs ont récemment mis au jour « FraudWear », une campagne coordonnée impliquant plus de 30 000 boutiques frauduleuses se faisant passer pour plus de 350 marques de mode à travers le monde.

Une autre enquête a mis au jour BogusBazaar, un réseau fonctionnant sur le modèle d'une franchise, dans lequel une équipe centrale gérait les serveurs, le traitement des paiements et l'infrastructure des modèles, tandis que des opérateurs décentralisés y créaient des boutiques individuelles. Ce réseau a traité plus d'un million de commandes sur 75 000 domaines depuis 2021.

Les boutiques frauduleuses ont du succès parce qu'elles exploitent des comportements d'achat courants : cliquer sur des publicités, suivre les résultats de recherche et atterrir sur des sites à l'apparence soignée. Elles y ajoutent une pression psychologique, avec des offres à durée limitée, des comptes à rebours et des avertissements indiquant que les stocks sont sur le point de s'épuiser.

Même vitrine, noms différents

En enquêtant sur des domaines de commerce électronique suspects, nous avons identifié un groupe de plus de 20 000 sites présentant des caractéristiques d'infrastructure communes.

La plupart utilisaient le domaine de premier niveau (TLD) .shop, qui est devenu l'un des préférés des escrocs en raison de ses frais d'enregistrement peu élevés et de son nom qui semble crédible. Selon les données de Cloudflare sur la sécurité des e-mails, l'extension .shop figure désormais parmi les principaux TLD associés au spam et aux activités malveillantes.

En examinant le code source des pages, j'ai découvert ce qui relie ces sites entre eux. Tous fonctionnent sous WordPress et sont gérés par Sellvia, une plateforme de commerce électronique légitime basée aux États-Unis qui permet aux utilisateurs de lancer rapidement une boutique en dropshipping grâce à des modèles prêts à l'emploi, des catalogues de produits et des solutions de paiement.

Les vitrines reprennent les thèmes de Sellvia et récupèrent les images des produits depuis son réseau. Les six modèles « différents » que nous avons observés ne sont en réalité que deux thèmes de base présentant des variations esthétiques. Voici quelques exemples, présentés par paires pour montrer comment un même modèle peut apparaître sous des noms de marque totalement différents.

Image de gaucheImage de droite
Image de gaucheImage de droite
Image de gaucheImage de droite
Image de gaucheImage de droite
Image de gaucheImage de droite
Image de gaucheImage de droite

20 000 domaines, 36 adresses IP

Au-delà des similitudes visuelles, ces boutiques frauduleuses partagent une infrastructure commune. Les quelque 20 000 domaines redirigent tous vers un ensemble de seulement 36 adresses IP.

Ce niveau de concentration n'est pas habituel chez les commerçants en ligne légitimes. C'est une caractéristique typique des opérations de fraude à grande échelle, dans lesquelles un groupe gère les serveurs et les modèles, tandis que des opérateurs individuels créent des domaines par-dessus.

Une grande partie de cette activité se concentre autour d'un petit nombre de plages d'adresses IP, notamment des blocs dans les espaces 207.244.x.x et 23.105.x.x. Cette concentration indique une préférence pour certains hébergeurs spécifiques, ainsi qu'une configuration axée sur la rapidité : créer un domaine, y associer un modèle, et mettre en ligne.

Ce modèle reflète celui de type « franchise » que l'on retrouve dans d'autres réseaux de fausses boutiques en ligne. Un noyau dur gère les serveurs, les modèles et les systèmes de paiement, tandis que les opérateurs enregistrent des noms de domaine et lancent des boutiques en ligne par-dessus. Lorsqu'un site est signalé ou fermé, un autre prend sa place.

Mais cette concentration constitue également une faiblesse. Il suffit de mettre hors service un petit nombre de serveurs pour paralyser des milliers de sites.

Comment se prémunir contre les boutiques frauduleuses

Ces fausses boutiques ne sont pas des entreprises indépendantes. Elles font partie de vastes opérations reproductibles, conçues pour paraître crédibles, se mettre en place rapidement et disparaître tout aussi vite.

Si un site vous semble suspect, s'il donne l'impression d'avoir été créé à la va-vite ou s'il semble trop beau pour être vrai, méfiez-vous. Prendre quelques secondes pour vérifier peut vous éviter de livrer votre argent et vos données à des cybercriminels.

  • Utilisez une protection pour votre navigateur. Des outils tels que Malwarebytes Browser Guard peuvent bloquer les sites frauduleux connus avant même que vous n'arriviez à la page de paiement.
  • Vérifiez attentivement le nom de domaine. Méfiez-vous des extensions peu courantes telles que .shop, .top, .store et .xyz, surtout lorsqu’elles sont associées à des noms génériques qui ressemblent à des marques. Si vous n’avez jamais entendu parler du commerçant, c’est un premier signe d’alerte.
  • Méfiez-vous des remises importantes. Si un article est en rupture de stock partout ailleurs mais proposé à un prix très réduit sur un site inconnu, c'est un piège.
  • Méfiez-vous des boutiques en ligne copiées-collées. Si plusieurs sites présentent une mise en page, des images de produits et des bannières identiques sous des noms différents, il y a de fortes chances qu'ils utilisent le même modèle. Les boutiques légitimes ne fonctionnent pas ainsi.
  • Recherchez des avis indépendants. Tapez le nom de la boutique avec des mots-clés comme « avis » ou « arnaque ». Si les seuls résultats proviennent du site lui-même, cela en dit long.
  • Ne négligez pas votre intuition. Si quelque chose vous semble louche, arrêtez-vous. Ne saisissez pas vos informations de paiement juste pour « voir ce qui se passe ».
  • Optez pour des moyens de paiement plus sûrs. Les cartes de crédit offrent une meilleure protection que les cartes de débit. Les cartes virtuelles ou les services de paiement peuvent constituer une barrière supplémentaire entre vos données personnelles et le vendeur.

Conseil de pro : Malwarebytes bloque ces domaines car ils sont frauduleux.

Indicateurs de compromis (IOC)

Adresses IP

  • 108.59.1.151
  • 108,59,12,118
  • 108,59,14,13
  • 108,59,8,97
  • 108.62.0.220
  • 108,62,116,82
  • 108,62,117,45
  • 162.210.195.105
  • 162.210.195.113
  • 162.210.198.37
  • 162.210.199.12
  • 162.210.199.183
  • 162.210.199.235
  • 192.96.200.81
  • 198.7.58.168
  • 198.7.58.87
  • 199.115.115.2
  • 207.244.102.13
  • 207.244.109.109
  • 207.244.126.106
  • 207.244.126.19
  • 207.244.126.21
  • 207.244.67.158
  • 207.244.69.201
  • 207.244.71.143
  • 207.244.89.198
  • 207.244.91.203
  • 23,105,160,43
  • 23.105.172.14
  • 23/105/8/15
  • 23/105/8/17
  • 23/10/2019
  • 23/08/2011
  • 23,82,13,161
  • 23,82,13,34
  • 5,79,69,45

Nous ne nous contentons pas de signaler les escroqueries, nous contribuons à les détecter.

Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Si quelque chose vous semble louche, vérifiez s'il s'agit d'une arnaque à l'aide de Malwarebytes Guard. Envoyez une capture d'écran, collez le contenu suspect ou partagez un lien, un texte ou un numéro de téléphone, et nous vous dirons s'il s'agit d'une arnaque ou d'un site légitime. Disponible avec Malwarebytes Premium pour tous vos appareils, et dans Malwarebytes pour iOS Android.

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

Insectes
Pomme

Apple corrige un bug de WebKit qui aurait pu permettre à certains sites d'accéder à vos données

Mars 18, 2026

Apple a publié une mise à jour de sécurité en arrière-plan qui corrige discrètement une vulnérabilité de WebKit (CVE-2026-20643).

Escroqueries
Site « Fake Pudgy World »

Le faux site « Pudgy World » vole vos mots de passe de cryptomonnaies

Mars 17, 2026

Ce site de hameçonnage n'est pas affilié à Igloo Inc. ni à Pudgy Penguins, mais il a été conçu pour attirer les fans et leur voler leurs mots de passe de cryptomonnaie.

Mobile
Un cheval de Troie sur roues s'introduit dans l'écran d'un smartphone

Google sévit contre Android qui abusent des fonctionnalités d'accessibilité

Mars 17, 2026

Depuis des années, les logiciels malveillants exploitent les fonctionnalités d'accessibilité Android. Google vient de rendre la tâche beaucoup plus difficile.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries