Escroqueries, renseignements sur les menaces

Une arnaque au remboursement usurpe l'identité d'Avast pour récolter des informations de carte de crédit

par Stefan Dasic | 24 février 2026
Site de phishing Avast frauduleux

Un site web frauduleux utilisant la marque Avast incite les utilisateurs francophones à fournir toutes les informations relatives à leur carte de crédit (numéro, date d'expiration et code de sécurité à trois chiffres) sous prétexte de traiter un remboursement de 499,99 € qui ne leur est pas dû.

L'opération combine un « support » par chat en direct, un montant de transaction alarmant codé en dur et une réplique convaincante de l'identité visuelle d'Avast afin de créer un sentiment d'urgence et de récolter des données de paiement à grande échelle.

« Vous avez été débité de 499,99 € aujourd'hui. »

La page de phishing s'ouvre sur ce qui semble être un portail Web Avast légitime. Le logo Avast est chargé directement à partir du réseau de diffusion de contenu d'Avast, une touche délibérée qui garantit que le bouclier orange et blanc s'affiche parfaitement et passe un contrôle visuel informel. L'en-tête de la page propose des liens vers « Accueil », « Mon compte » et « Aide », tous conçus pour correspondre à l'interface réelle d'Avast.

Sous l'en-tête, une boîte d'avertissement dans la couleur orange caractéristique d'Avast attire l'attention : les demandes d'annulation doivent être déposées dans les 72 heures, indique-t-elle. Puis, dans la foulée, elle avertit que les transactions datant de plus de 48 heures « ne peuvent plus être annulées ». La contradiction interne est facile à manquer lorsque votre attention est fixée sur l'affirmation plus importante juste en dessous.

Cette réclamation est un relevé de transaction indiquant la date du jour et un débit de -499,99 €. La date n'est pas codée en dur. Une seule ligne de JavaScript lit l'horloge système locale du visiteur et inscrit la date du jour dans la page au moment du chargement. Quelle que soit la date à laquelle la victime arrive, que ce soit un mardi de février ou un vendredi d'août, la transaction semble avoir été effectuée le matin même.

Le montant est toutefois fixe. Chaque visiteur voit exactement 499,99 €, une somme soigneusement choisie pour être suffisamment élevée afin de provoquer une action immédiate, mais pas trop élevée pour ne pas nuire à la crédibilité d'un abonnement logiciel.

Il n'y a pas eu de transaction réelle. Aucun compte Avast n'a été piraté. Ce numéro existe uniquement pour donner au visiteur l'impression d'avoir été victime d'un vol.

Ce que le formulaire demande et où vont les données

Le formulaire d'annulation ci-dessous demande la raison du remboursement (un menu déroulant propose les options « Remboursement Avast », « Transaction frauduleuse », « Transaction en double » et « Autre »), suivi d'un ensemble complet d'informations personnelles : prénom, nom, adresse e-mail, numéro de téléphone, adresse postale, ville, région et code postal. Le fait de remplir cette section est présenté comme une vérification d'identité de routine, nécessaire, selon la page, avant que tout remboursement puisse être traité.

Une fois le formulaire soumis, une boîte de dialogue modale intitulée « Informations sur la carte » apparaît. La page demande le numéro de carte de crédit de la victime, la date d'expiration et le code de sécurité CVV, soi-disant pour que le remboursement puisse être crédité sur le mode de paiement d'origine.

Informations sur la carte
Site Avast frauduleux : demande des informations bancaires de la victime

C'est le moment vers lequel toute l'opération a tendu.

La page met même en œuvre la validation par l'algorithme de Luhn (le contrôle mathématique utilisé par les banques pour vérifier les numéros de carte) afin que les numéros de test ou les fautes de frappe accidentelles soient rejetés avant leur soumission. Seuls les numéros de carte structurellement valides sont acceptés.

Lorsque l'utilisateur clique sur le bouton « Confirmer », le navigateur envoie une requête POST à send.php, un fichier backend qui reçoit l'intégralité de la charge utile sous forme d'objet JSON. Cette charge utile contient tous les champs remplis par la victime : nom, adresse, coordonnées, numéro de carte, date d'expiration et code CVV.

Une fois les données envoyées, la victime est redirigée vers une page de confirmation qui indique :

« Votre demande est en cours de traitement — Merci pour votre demande. »

Sous ce message rassurant se trouve un bouton intitulé « Désinstaller Avast ». Une dernière manipulation psychologique encourageant la victime à supprimer le logiciel de sécurité qui pourrait autrement l'alerter sur ce qui vient de se passer.

Votre demande est en cours de traitement.
Site Avast frauduleux : votre demande est en cours de traitement

Pourquoi y a-t-il un chat en direct sur une page de phishing ?

Ce qui distingue cette campagne de nombreuses autres pages de phishing, c'est la présence d'un widget de chat en direct intégré dans le coin inférieur droit de l'écran. Ce widget est fourni par Tawk.to, une plateforme d'assistance à la clientèle légitime, et porte l'identifiant de compte 689773de2f0f7c192611b3bf avec le code de widget 1j27pp82q.

Cela signifie que quelqu'un (très certainement les exploitants du site de phishing) peut voir quand un visiteur se trouve sur la page et engager une conversation en direct avec lui.

La valeur tactique est importante. Un visiteur confus qui remarque le décalage entre les délais (« 72 heures » contre « 48 heures ») ou qui hésite avant de saisir les détails de sa carte peut être encouragé à poursuivre par un « agent d'assistance » qui le rassure en temps réel.

Il transforme une page de phishing statique en une opération de fraude interactive.

À qui s'adresse cette page ?

Ce qui rend cette page particulièrement efficace, c'est qu'elle ne cible pas un type de personne en particulier. Elle est conçue pour attirer quatre types de visiteurs totalement différents avec le même formulaire, chacun ayant une raison différente de s'y conformer.

  • Le client Avast : une personne qui a acheté une licence, ne souhaite pas la renouveler et considère cette page comme un moyen légitime de contester le paiement. Sa relation existante avec la marque lui rend l'interface familière.
  • L'abonné oublié : il possède un compte Avast, mais ne se souvient pas s'être inscrit. Peut-être que cela remonte à plusieurs années ou que ce compte était associé à un autre produit. Il voit le montant de 499,99 € et en conclut qu'il s'agit d'un prélèvement erroné. Il ne pense pas à se connecter à un compte dont il se souvient à peine.
  • Le non-client inquiet : il n'a jamais utilisé Avast. Il constate le débit et suppose que les informations de sa carte bancaire ont été volées et utilisées à son insu. Il arrive déjà convaincu qu'un crime a été commis à son encontre, pressé et prêt à faire confiance à tout processus d'apparence officielle qui lui propose de régler le problème. C'est le profil le plus dangereux, car le délai de 72 heures n'est pas seulement un détail pour lui, mais un véritable ultimatum.
  • L'opportuniste : quelqu'un qui sait qu'il n'a pas été débité, mais qui pense avoir trouvé 499,99 € à récupérer. Il tente de récupérer de l'argent qui ne lui appartient pas, mais finit par perdre les coordonnées de sa propre carte bancaire.

La page n'a jamais besoin de faire la distinction entre ces visiteurs. Elle ne pose aucune question qui permettrait de déterminer à quel profil appartient une personne. Pas de connexion à un compte, ni de clé de licence, ni de preuve d'achat. Juste un paiement, un formulaire et un champ pour la carte bancaire.

Comment savoir si une page de remboursement est une arnaque

Les escroqueries au remboursement de ce type ne se limitent pas à Avast. N'importe quelle marque peut être usurpée. Voici les signes avant-coureurs à surveiller :

  • Une dépense que vous ne reconnaissez pas et qui apparaît « aujourd'hui » : les fraudeurs insèrent souvent automatiquement la date du jour pour donner un caractère urgent et réel à la transaction.
  • windows d'annulation urgentes : les messages affirmant que vous disposez d'un temps limité pour agir sont conçus pour vous pousser à agir dans la précipitation.
  • Demandes d'informations complètes sur votre carte de crédit pour « traiter » un remboursement : les remboursements légitimes ne nécessitent pas que vous saisissiez à nouveau votre numéro de carte complet et votre code CVV sur une page aléatoire.
  • Aucune connexion, clé de licence ou preuve d'achat requise : de véritables entreprises vérifient votre compte. Les pages frauduleuses ignorent la vérification et passent directement aux détails de paiement.
  • Le chat en direct vous incite à terminer le processus : les assurances données en temps réel par un « agent d'assistance » peuvent faire partie de l'arnaque et ne constituent pas une preuve de la légitimité du site.
  • Instructions pour désinstaller votre logiciel de sécurité : Aucun processus de remboursement authentique ne vous demandera jamais de supprimer votre protection.
  • Domaines similaires : les noms de sites web légèrement modifiés constituent un signal d'alarme important. Tapez toujours l'adresse officielle du site web de l'entreprise directement dans votre navigateur au lieu de cliquer sur des liens.

Si vous remarquez ne serait-ce qu'un seul de ces signes, vous devez vous arrêter. Ne saisissez pas d'informations personnelles ou financières sur une page à laquelle vous avez accédé via un message non sollicité ou un lien suspect.

Que faire si vous avez saisi vos coordonnées

Si vous avez fourni les détails de votre carte bancaire :

  • Contactez immédiatement votre banque ou l'émetteur de votre carte et faites opposition.
  • Contestez tout frais non autorisé
  • N'attendez pas que la fraude se produise : les données de cartes volées sont souvent utilisées rapidement.
  • Modifiez les mots de passe des comptes liés à l'adresse e-mail que vous avez fournie.
  • Effectuez une analyse complète à l'aide d'un produit de sécurité réputé.

Autres moyens d'assurer votre sécurité :

  • Maintenez votre appareil et vos logiciels à jour
  • Utilisez une protection anti-malware active avec la protection Web activée.
  • Si vous n'êtes pas sûr qu'il s'agisse d'une arnaque, Malwarebytes peuvent soumettre les messages suspects à Scam Guard pour examen.

Nous ne nous contentons pas de signaler les escroqueries, nous contribuons à les détecter.

Les risques liés à la cybersécurité ne devraient jamais dépasser le stade des gros titres. Si quelque chose vous semble louche, vérifiez s'il s'agit d'une arnaque à l'aide de Malwarebytes Guard. Envoyez une capture d'écran, collez le contenu suspect ou partagez un lien, un texte ou un numéro de téléphone, et nous vous dirons s'il s'agit d'une arnaque ou d'un site légitime. Disponible avec Malwarebytes Premium pour tous vos appareils, et dans Malwarebytes pour iOS Android.

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

AI
Logo OpenClaw

OpenClaw : qu'est-ce que c'est et peut-on l'utiliser en toute sécurité ?

Février 23, 2026

OpenClaw est un sujet brûlant en ce moment. Mais qu'est-ce que c'est et comment utiliser cet assistant IA disponible 24 h/24 et 7 j/7 en toute sécurité ?

Actualités
se souvenir des mots de passe

Les gestionnaires de mots de passe protègent vos mots de passe, sauf si...

Février 23, 2026

Des chercheurs ont étudié les affirmations de confidentialité totale des gestionnaires de mots de passe et ont découvert plusieurs scénarios d'attaque possibles.

Actualités
semaine de la sécurité

Une semaine en matière de sécurité (du 16 au 22 février)

Février 23, 2026

Liste des sujets abordés au cours de la semaine du 16 au 22 février 2026

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries