IA, arnaques

Pourquoi nous ne fêtons toujours pas le 1er avril

par Malwarebytes Labs | 1er avril 2026
Une peau de banane laissée sur le sol

Selon l'Alliance mondiale contre l'escroquerie, les victimes auraient perdu environ 442 milliards de dollars à cause d'escroqueries l'année dernière à l'échelle mondiale.

L'ampleur du phénomène est difficile à imaginer, mais l'expérience quotidienne des gens en matière d'escroquerie est plus facile à cerner : notre étude a révélé que 44 % des personnes interrogées déclarent être confrontées à des escroqueries sur mobile chaque jour. Deux personnes sur trois affirment qu'il est difficile de « distinguer une escroquerie d'une véritable offre », et seules 15 % se disent tout à fait d'accord pour dire qu'elles seraient capables de détecter une escroquerie.

Il y a un an, nous avions annoncé que nous ne participerions plus au poisson d'avril. Non pas parce que nous n'aimons pas les blagues, mais parce que celles-ci commençaient à ressembler de trop près aux sujets qui préoccupent déjà les gens.

Certains nous ont peut-être reproché notre manque d'humour. Mais un an plus tard, nous sommes plus convaincus que jamais d'avoir pris la bonne décision. Nous souhaitons vous expliquer pourquoi, en nous appuyant cette fois-ci sur davantage de données.

La situation s'est aggravée, elle ne s'est pas améliorée

Lorsque nous avons rédigé notre article l'année dernière, les escroqueries assistées par l'IA constituaient une menace émergente. Aujourd'hui, elles sont la norme. L'anglais approximatif et les fautes d'orthographe flagrantes qui permettaient autrefois de démasquer ces escroqueries ont laissé place à des textes soignés, à des sites web bien conçus et à des messages aussi convaincants que ceux qu'enverrait une véritable entreprise.

Les tactiques des escrocs ont également évolué. Il y a un an, le principal cas d’escroquerie liée à l’IA concernait le clonage vocal (des fraudeurs utilisaient une réplique générée par l’IA de la voix d’un proche pour appeler un membre de la famille et prétendre qu’ils étaient en difficulté). Ce type d’arnaque existe toujours, mais on observe désormais également des appelsdeepfake provenant de personnes se faisant passer pour des directeurs de banque ou des candidats à un emploi, ainsi que des escroqueries assistées par l’IA qui ne se contentent pas d’envoyer un message, mais répondent en temps réel, en adaptant leurs réponses et en guidant les victimes pas à pas.

Si l'on compare une campagne du 1er avril bien menée à une tentative moderne d'hameçonnage, beaucoup d'entre nous auront vraiment besoin de y regarder à deux fois. Cette année, les escrocs ont même utilisé l'IA pour cloner notre propre site:

Site Malwarebytes imitant Malwarebytes

Le problème du 1er avril

On a l'habitude de faire fi de toute prudence le 1er avril et de s'amuser de ces farces. Des offres trop belles pour être vraies côtoient dans votre boîte de réception le rouge à lèvres « boulette de viande » d'IKEA, les « Waffholes » de Birds Eye et l'« interface agricole » de Yahoo.

Un autre jour, vous auriez sans doute pris le temps de réfléchir un instant. Le 1er avril, vous cliquez pour découvrir de quoi il s'agit.

Pour les escrocs, rien ne change le 1er avril. Ils continuent d'envoyer les mêmes messages en utilisant les mêmes tactiques. La seule différence réside dans la façon dont les gens réagissent à ces messages ce jour-là. Dans le cadre d'une campagne qui inonde des millions de boîtes de réception, il suffit que quelques personnes de plus cliquent sur le lien qui télécharge automatiquement un logiciel malveillant, saisissent leurs identifiants de connexion sur un faux site ou partagent l'arnaque avec leurs proches en pensant que c'est juste pour s'amuser.

Malheureusement, tout cela n'a rien d'hypothétique. En 2021, Deliveroo a envoyé à des milliers de clients en France de faux e-mails de confirmation de commande dans le cadre d'un poisson d'avril, indiquant qu'ils avaient commandé 38 pizzas aux anchois pour un montant total de 466 €. Les clients ont submergé leurs banques de signalements de fraude. Deliveroo a dû présenter des excuses publiques, reconnaissant qu'il n'aurait jamais dû laisser croire aux gens, même à titre de plaisanterie, que les données de leur compte avaient été compromises.

Trois ans plus tard, la chaîne britannique de hamburgers Gourmet Burger Kitchen a envoyé un faux e-mail de confirmation de commande à sa liste de diffusion. Même blague. Mêmes conséquences. Les clients ont été pris de panique, les cartes bancaires ont été bloquées et le service client a été submergé.

Ces deux cas étaient de véritables erreurs commises par des équipes marketing bien intentionnées. Ils illustrent parfaitement le problème : une blague qui ressemble à une arnaque cause un préjudice réel, quelle que soit l'intention.

Ce que nous a appris cette année avec Scam Guard

Scam Guard a été lancé en juin 2025 afin de permettre aux utilisateurs de vérifier rapidement un message qui ne semble pas… manifestement faux, mais qui ne semble pas tout à fait correct non plus.

Les données issues de notre (presque) première année d'existence de Scam Guard donnent à réfléchir. Dans environ 15 % des cas où une personne a pris le temps de vérifier avec Scam Guard, nous lui avons évité de perdre plus de 1 000 dollars ou de se retrouver dans une situation aux conséquences personnelles graves. Une personne sur sept qui a pris le temps de vérifier était sur le point de faire quelque chose qui lui aurait coûté très cher.

Les arnaques sont désormais si convaincantes que les gens ne savent plus quoi penser. Elles suscitent suffisamment de méfiance pour qu’ils prennent le temps de vérifier. Et souvent, elles sont suffisamment dangereuses pour que ce moment de réflexion fasse toute la différence.

Et si tout ressemble à une blague le 1er avril, il est plus difficile de repérer une arnaque.

Si on dit que c'est vrai, c'est vrai

Nous avons décidé de ne pas participer au poisson d'avril, car nous voulons être une entreprise en laquelle vous pouvez avoir entièrement confiance, tous les jours de l'année. Si nous affirmons que quelque chose est faux, c'est faux. Si nous affirmons que quelque chose est vrai, c'est vrai. Il y a déjà suffisamment de choses sur Internet qui poussent les gens à douter de ce qu'ils voient. Nous n'avons pas besoin d'en rajouter.

Que faire le 1er avril, et tous les jours qui suivront

Si vous êtes la victime d'un poisson d'avril, les enjeux sont généralement minimes. Si vous êtes la victime d'une arnaque, ce n'est pas le cas. Le 1er avril, il est particulièrement difficile de faire la différence entre les deux.

Voici quelques conseils à suivre au quotidien pour vous protéger contre blagues arnaques :

  • Méfiez-vous des faux sentiments d'urgence. Les escrocs ont souvent recours à la pression du temps pour vous inciter à cliquer, à fournir vos données personnelles ou à leur verser de l'argent. Si vous avez l'impression qu'on vous presse d'agir rapidement, prenez le temps de réfléchir.
  • Est-ce trop beau pour être vrai ? Les offres proposant des remises importantes ou des cadeaux peuvent être très tentantes, mais elles servent souvent d'appât aux escrocs. Il y a fort à parier que c'est effectivement trop beau pour être vrai et qu'il faut les éviter à tout prix.
  • Choisissez un mot de passe familial. On sait que les escrocs utilisent parfois une voix générée par IA imitant celle d'un proche pour inciter un membre de la famille à leur remettre de l'argent. Choisissez ensemble, en personne, un mot de passe que seuls vous et vos proches connaissez, et gardez-le secret afin de pouvoir le demander si vous recevez un tel appel.
  • Vérifiez par un autre moyen. Si votre banque vous appelle à l'improviste, raccrochez et rappelez-la en utilisant un numéro figurant sur son site web officiel. Si un ami vous envoie un lien sans crier gare, envoyez-lui un SMS séparément pour vérifier que c'est bien lui. Cette simple précaution permet de déjouer un nombre surprenant d'escroqueries.
  • Utilisez un mot de passe différent pour chaque compte. Si votre identifiant et votre mot de passe sont volés sur un compte, vous ne voulez pas que les escrocs puissent les utiliser sur un autre. Les gestionnaires de mots de passe vous aident à créer des mots de passe complexes et les mémorisent pour vous. 
  • Configurez l'authentification multifactorielle sur tous les comptes que vous pouvez. Ce n'est pas infaillible, mais cela complique considérablement la tâche des escrocs.

Si quelque chose vous semble louche, vérifiez. C'est justement à cela que sert Scam Guard.

Quelque chose vous semble bizarre ? Vérifiez avant de cliquer.  

Malwarebytes Guardvous aide à analyser instantanément les liens, les messages et les captures d'écran suspects.  

Disponible avecMalwarebytes Premium pour tous vos appareils, ainsi que dansMalwarebytes pour iOS Android.  

Essayez-le gratuitement → 

À propos de l'auteur

Malwarebytes Labs

Malwarebytes Labs

DERNIERS ARTICLES

Actualités
semaine de la sécurité

Une semaine dans le domaine de la sécurité ( 4 mai 10 mai)

Mai 11, 2026

Liste des sujets que nous avons abordés au cours de la semaine du 4 au 10 mai 2026

Actualités
se souvenir des mots de passe

Microsoft affirme que le comportement Edgeconcernant les mots de passe en clair est « voulu »

Mai 8, 2026

Un chercheur a découvert Edge les mots de passe enregistrés dans la mémoire de l'ordinateur au démarrage, ce qui facilite leur vol si l'appareil est déjà piraté.

Violations de données
Logo sur toile

ShinyHunters intensifie ses attaques contre Canvas en déformant les pages de connexion des établissements scolaires

Mai 8, 2026

Quelques jours après la première attaque, ShinyHunters intensifie la pression en affichant des messages de rançon sur les portails de connexion des établissements scolaires.

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries