La chaîne complète, étape par étape
La fuite
Une administration, un hôpital, un club de sport ou un opérateur télécom se fait pirater. Vous n'avez rien fait de mal — la faille est chez le tiers qui détenait vos données. Voir le dossier fuites de données pour les cas français documentés.
La circulation
Les données volées sont mises en vente ou en accès libre, souvent sur des forums spécialisés. Un lot de données identitaires complet (nom, adresse, date de naissance, parfois numéro de sécurité sociale) peut se négocier pour quelques dizaines de dollars — les prix précis varient énormément selon les sources et le type de données, mais le principe reste le même : c'est un marché, avec une offre et une demande.
developpez.com, citant une étude sur la tarification du dark webLa construction du scénario
C'est l'étape la moins visible et la plus déterminante. L'escroc ne travaille pas au hasard : il croise plusieurs fuites ou sources pour bâtir un scénario cohérent — votre banque, votre agence, votre employeur, parfois même votre club de sport ou votre dernier séjour en vacances. L'ingénierie sociale exploite la psychologie humaine, pas une faille technique : les attaques se construisent en couches, avec une légitimité perçue qui augmente à chaque détail exact fourni.
Trend Micro · MetaCompliance — dossiers sur l'ingénierie socialeL'exécution
Le contact arrive par téléphone, SMS, parfois WhatsApp — avec une urgence fabriquée (« une fraude est en cours sur votre compte », « votre dossier doit être régularisé »). Rien dans le message ne ressemble à une arnaque générique : pas de faute d'orthographe, pas de promesse de gain improbable. Juste des informations exactes et une pression temporelle.
La demande finale
Virement vers un « compte sécurisé », code de validation à communiquer, ou redirection vers un faux site. Le montant moyen détourné par virement en France atteint aujourd'hui 3 000 € par victime.
Que Choisir, 2026Ce que confirment les chiffres officiels
Le rapport d'activité 2025 de Cybermalveillance.gouv.fr (dispositif national porté par l'État, publié en mars 2026) documente une accélération nette, précisément sur les catégories d'arnaques qui exploitent des données personnalisées :
Deux témoignages qui illustrent le mécanisme
« J'ai reçu un appel de mon « conseiller » qui connaissait mon nom, mon adresse et même le nom de mon agence. Il m'a dit qu'une fraude était en cours et qu'il fallait transférer mon argent sur un compte sécurisé. J'étais paniquée, j'ai fait le virement de 4 200 €. »
Témoignage de victime, rapporté par Que Choisir, 2026« La quantité d'informations qu'ils détenaient sur moi est impressionnante. Ils connaissaient mon nom et mon prénom, la ville où j'habite, mon agence bancaire… Ils ont même tenté de me faire croire qu'ils avaient en leur possession le numéro complet de mon compte. »
Témoignage de victime, rapporté par Que Choisir, 2026Le cadre juridique reste complexe pour les victimes : le 12 mai 2026, le tribunal judiciaire de Paris a débouté deux victimes faute de preuve que le numéro affiché était bien celui de leur banque — illustration concrète de pourquoi le spoofing de numéro n'est pas qu'un détail technique.
Qui est visé
Les personnes de 60 ans et plus restent surreprésentées, mais pas pour les raisons qu'on imagine souvent :
60 %
Part des plaintes pour escroquerie ou abus de faiblesse concernant des personnes âgées, en France.
23 %
Part des Français de 60 ans et plus déclarant avoir déjà subi une tentative d'arnaque numérique (étude Ifop pour la Fondation April, mars 2023).
Facteurs cumulés
Maîtrise numérique plus faible, isolement social, déclin cognitif progressif — mais aussi un patrimoine accumulé (épargne, immobilier, pension stable) qui rend la cible économiquement plus intéressante.
Une nuance importante
Les organismes qui documentent ces arnaques insistent : « tous les profils peuvent se faire avoir ». La personnalisation par données volées neutralise l'avantage habituel des profils plus avertis.
Questions fréquentes
Une fuite de données mène-t-elle automatiquement à une arnaque ?
Pas automatiquement et pas immédiatement — les données volées circulent, sont revendues, puis exploitées parfois plusieurs mois après la fuite d'origine. Mais le lien statistique est clair : les vagues d'arnaques par faux conseiller suivent de près les grandes fuites médiatisées.
Pourquoi un appel d'arnaque peut-il connaître mon vrai numéro d'agence ou mon vrai club de sport ?
Parce que cette information a probablement fuité lors d'une violation de données touchant votre banque, votre administration ou une association à laquelle vous êtes inscrit. Les escrocs achètent ces lots de données pour construire un scénario qui semble impossible à deviner au hasard.
Pourquoi les seniors sont-ils davantage ciblés ?
Une combinaison de facteurs : maîtrise numérique parfois plus faible, isolement social, et un patrimoine accumulé (épargne, immobilier, pension stable) qui rend la cible économiquement plus intéressante. Mais les organismes qui documentent ces arnaques insistent : tous les profils peuvent se faire avoir, la personnalisation par données volées neutralise l'avantage habituel des profils plus avertis.