En 2025, selon une étude du Crédoc publiée en février 2026, 73 % des internautes français déclarent avoir été exposés à une tentative d’arnaque ou de fraude en ligne. Dans le même temps, le ministère de l’Intérieur recense 453 200 crimes et délits liés au numérique sur l’année, soit une hausse de 14 % par rapport à 2024. Le commerce en ligne représente aujourd’hui 15 % des achats en France, pour un volume supérieur à 146 milliards d’euros en 2024. C’est un terrain de chasse idéal pour les escrocs.
La bonne nouvelle, c’est que la grande majorité des arnaques auraient pu être évitées avec quelques vérifications simples. Ce guide vous donne une méthode concrète, outil par outil, étape par étape.
Pourquoi les faux sites sont devenus plus difficiles à repérer
Il y a cinq ans, un site frauduleux se reconnaissait souvent au premier coup d’œil : mise en page bancale, fautes d’orthographe, photos floues. Ce n’est plus vrai.
Aujourd’hui, les outils d’IA générative permettent de créer un site e-commerce complet en quelques heures. Descriptions produits convaincantes, photos professionnelles, faux avis clients générés automatiquement, compteurs de stock qui s’égrènent pour créer de l’urgence. Le résultat ressemble à n’importe quelle boutique légitime. En janvier 2025, un réseau a cloné le site de Zara avec le domaine zarra-france.com. Plus de 3 000 victimes ont été recensées avant la fermeture du site.
Les arnaques e-commerce représentent 51 % des tentatives de fraude détectées par email selon le rapport Gen Digital Q4 2024. Et sur les réseaux sociaux, Facebook concentre à lui seul 56 % des menaces détectées, devant YouTube (26 %). Les publicités payantes jouent un rôle central : elles donnent un vernis de légitimité à des boutiques qui n’ont aucune existence réelle.
Un autre facteur aggravant : la durée de vie courte. Beaucoup de faux sites sont conçus pour fonctionner quelques semaines, le temps d’encaisser des commandes, puis disparaître avant que les plaintes s’accumulent. Les bases de données de réputation n’ont pas le temps de les référencer.
Les signaux d’alarme à repérer immédiatement
Avant même d’ouvrir un outil de vérification, certains éléments visibles à l’œil nu doivent alerter.
L’URL ne correspond pas exactement à la marque
Les escrocs utilisent des variantes proches du nom d’origine : une lettre en trop, un tiret, une extension inhabituelle (.shop, .store, .co au lieu de .fr ou .com). Le nom de domaine doit être cohérent avec la marque et les produits vendus. Si vous tapez directement le nom de la boutique dans votre moteur de recherche plutôt que de cliquer sur un lien reçu par message ou via une publicité, vous réduisez déjà ce risque.
Les prix sont anormalement bas
Une remise de 80 % sur des articles de marque, un iPhone à moitié prix, des sneakers de luxe bradées : si vous comparez le même produit sur le site officiel du fabricant et que l’écart est colossal, c’est un signal fort. Les escrocs jouent sur la réaction émotionnelle face aux bonnes affaires pour court-circuiter le jugement.
Les informations légales sont absentes ou invérifiables
En France, tout site marchand est légalement tenu d’afficher ses mentions légales complètes : raison sociale, numéro SIRET, adresse du siège, nom du responsable de publication, coordonnées de l’hébergeur. Les conditions générales de vente (CGV) sont également obligatoires pour les sites de vente en ligne. L’absence de ces éléments est une infraction et surtout un signal d’alarme immédiat.
Vérifiez aussi que l’adresse indiquée existe réellement, que le numéro SIRET correspond bien à l’entreprise (consultable gratuitement sur le site de l’INSEE ou via societe.com) et que le service client répond effectivement si vous l’appelez.
Le site ne propose que des modes de paiement irreversibles
Virement bancaire, cryptomonnaies, bons cadeaux : si un site refuse la carte bancaire classique ou PayPal et oriente vers ces méthodes, parfois avec une remise pour vous convaincre, partez. Ces paiements sont impossibles à annuler. Les boutiques légitimes proposent systématiquement des moyens de paiement avec protection acheteur.
Lire aussi : 7 tendances e-commerce qui vont transformer le shopping en 2026
Les vérifications techniques à faire avant de payer
Une fois les signaux visuels passés en revue, voici les vérifications concrètes à effectuer avec des outils accessibles à tous, gratuitement.
1. Vérifier l’âge du domaine avec WHOIS
Un site créé il y a deux semaines qui affiche des milliers de produits à prix cassés doit alerter. Le WHOIS est un annuaire public qui donne la date d’enregistrement d’un nom de domaine, son propriétaire (quand il n’est pas masqué) et ses coordonnées.
Vous pouvez l’interroger sur whois.domaintools.com ou ICANN WHOIS (lookup.icann.org). Un domaine enregistré récemment, avec un propriétaire anonymisé et domicilié dans un paradis numérique, est un signal sérieux. Ce n’est pas une preuve absolue d’arnaque (un site récent peut être légitime), mais c’est un indicateur à croiser avec les autres.
2. Analyser l’URL sur VirusTotal
VirusTotal est un outil gratuit qui soumet une adresse web à l’analyse simultanée de plus de 70 antivirus et bases de données de sécurité. Rendez-vous sur virustotal.com, collez l’URL du site concerné et lancez l’analyse. Si plusieurs moteurs signalent une activité suspecte, phishing ou malware, arrêtez-vous là.
Une URL propre sur VirusTotal ne certifie pas qu’un site est honnête, mais une URL signalée est une raison suffisante pour ne pas y entrer vos coordonnées bancaires.
3. Consulter Google Safe Browsing
Google maintient une base de données de sites signalés pour phishing ou logiciels malveillants. Vous pouvez interroger directement le Rapport de transparence Google (transparencyreport.google.com/safe-browsing/search) en collant l’URL du site à vérifier. Si le site est référencé comme dangereux, votre navigateur peut déjà afficher un avertissement avant même que vous accédiez à la page.
4. Utiliser ScamAdviser ou FranceVerif pour l’e-commerce
ScamAdviser (scamadviser.com) calcule un score de confiance à partir de l’âge du domaine, de la réputation des serveurs, des avis utilisateurs et de plusieurs dizaines d’autres paramètres. C’est particulièrement utile pour des boutiques inconnues.
FranceVerif (franceverif.fr) est un outil spécifiquement dédié à l’e-commerce français, avec plus de 127 critères d’évaluation et des avis d’achat certifiés. Il permet de distinguer rapidement les sites sérieux des autres.
5. Chercher le nom du site accompagné du mot « arnaque »
C’est le conseil officiel de la DGCCRF (Direction générale de la concurrence, de la consommation et de la répression des fraudes) : tapez le nom du site ou du produit dans un moteur de recherche, suivi du terme « arnaque » ou « avis ». Si d’autres acheteurs ont été piégés, les témoignages remontent rapidement dans les forums, sur Trustpilot ou sur des sites de signalement.
Ce que le HTTPS ne garantit pas
C’est un point souvent mal compris. Le cadenas et le préfixe https:// indiquent que la connexion entre votre navigateur et le serveur est chiffrée. Cela empêche un tiers d’intercepter les données en transit. Mais cela ne dit rien sur l’honnêteté du site lui-même.
N’importe qui, y compris un escroc, peut obtenir un certificat SSL gratuitement en quelques minutes via des autorités comme Let’s Encrypt. Un faux site de paiement peut parfaitement afficher un cadenas vert. Le HTTPS est une condition nécessaire, pas suffisante. Ne l’utilisez jamais seul comme critère de confiance.
De la même façon, les badges de sécurité affichés sur certaines boutiques (Norton Secured, Trusted Shops, etc.) peuvent être de simples images copiées-collées, sans aucun lien vers une page de vérification. Un vrai badge de confiance est cliquable et renvoie vers le site de l’organisme certificateur avec les informations du marchand.
Vérifier les avis clients : où et comment
87 % des consommateurs français consultent au moins un avis client avant un achat selon une étude Ifop pour Opinion System. C’est un bon réflexe, à condition d’aller chercher ces avis aux bons endroits.
Les avis publiés directement sur le site marchand ne présentent aucune garantie : ils peuvent être modérés, filtrés ou entièrement fabriqués. Les avis générés par IA produisent des textes fluides et sans aspérités, souvent notés 5 étoiles avec des formulations génériques qui ne mentionnent aucun détail concret sur le produit ou la livraison.
Préférez les plateformes indépendantes comme Trustpilot, Avis Vérifiés ou SiteJabber. Regardez aussi la réponse du marchand aux avis négatifs : un site sérieux ne les cache pas, il y répond avec une solution. Une page qui n’a que des avis entusiastes et aucune critique visible mérite la même méfiance qu’une page qui n’en a aucun.
La page de paiement : les vérifications de dernière minute
Même si le reste du site vous a semblé correct, la page de règlement mérite une attention particulière.
Vérifiez que l’URL reste cohérente avec le reste du site pendant toute la procédure d’achat. Un changement de domaine au moment du paiement est un signal sérieux. Assurez-vous que la page affiche les logos des prestataires de paiement habituels (Visa, Mastercard, PayPal, etc.) et que ces logos sont actifs, pas décoratifs.
Méfiez-vous de tout formulaire qui vous demande plus que l’indispensable : numéro de carte, date d’expiration et cryptogramme suffisent. Si on vous réclame votre date de naissance, votre numéro de sécurité sociale ou une copie de pièce d’identité pour finaliser un achat courant, arrêtez la transaction. Ces données supplémentaires servent rarement à sécuriser le paiement et souvent à alimenter des bases de données revendues ou utilisées pour de l’usurpation d’identité.
Privilégiez la carte bancaire ou PayPal pour tout achat sur un site que vous ne connaissez pas. Ces méthodes offrent une procédure de rétrofacturation (chargeback) qui permet dans beaucoup de cas de récupérer les sommes débitées frauduleusement, à condition d’agir rapidement.
Vous avez déjà acheté sur un site suspect : que faire ?
Si vous réalisez après coup que le site était frauduleux, voici la marche à suivre, dans l’ordre.
Contactez votre banque immédiatement. Signalez la transaction suspecte et demandez l’opposition ou la procédure de chargeback. Plus vous agissez tôt, plus vos chances de remboursement sont élevées. Les délais pour contester une transaction varient selon les établissements, mais il faut généralement agir dans les 60 à 90 jours.
Changez vos mots de passe. Si vous avez créé un compte sur le site ou utilisé une adresse email et un mot de passe que vous utilisez ailleurs, modifiez-les immédiatement sur tous les services concernés. Activez l’authentification à deux facteurs (2FA) dès que possible.
Signalez le site. En France, vous pouvez déposer un signalement sur signal.conso.gouv.fr (DGCCRF) pour les litiges consommateurs, ou sur pharos.interieur.gouv.fr pour les contenus illicites. Ces signalements alimentent les bases de données officielles et permettent de protéger d’autres acheteurs.
Vérifiez si vos données ont été exposées. Le site haveibeenpwned.com permet de savoir si votre adresse email apparaît dans des fuites de données connues. Si c’est le cas, changez le mot de passe associé sur tous les services concernés.
Restez vigilant aux relances. Les escrocs utilisent souvent les informations récupérées lors d’un achat frauduleux pour lancer des campagnes de phishing ciblées : fausses confirmations de commande, faux avis de livraison, faux services client. Si vous recevez des messages qui font référence à votre « commande » sur ce site, ne cliquez sur aucun lien.
Les bonnes habitudes qui font la différence sur le long terme
Quelques réflexes simples réduisent considérablement votre exposition au risque.
Allez directement sur le site officiel. Ne cliquez pas sur les liens dans les publicités ou les messages, même s’ils semblent provenir de marques connues. Tapez l’adresse directement dans votre navigateur ou passez par un signet que vous avez créé vous-même.
Utilisez un mot de passe unique par site. Si un site marchand est compromis et que vos identifiants fuitent, le dommage reste contenu aux données de ce seul site. Un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass) facilite cette organisation.
Évitez les Wi-Fi publics pour les achats. Un réseau ouvert dans un café ou un aéroport peut être surveillé. Si vous devez passer une commande depuis un réseau public, utilisez un VPN de confiance.
Tenez votre navigateur et votre système à jour. Les mises à jour corrigent des failles de sécurité connues. Un navigateur non mis à jour peut laisser passer des scripts malveillants que des versions plus récentes auraient bloqués.
En résumé : une checklist avant de valider votre commande
Avant de cliquer sur « Payer », prenez deux minutes pour passer mentalement cette liste en revue.
L’URL correspond exactement à la marque officielle, sans caractère suspect. Le site affiche des mentions légales avec un numéro SIRET vérifiable. Les prix sont cohérents avec le marché. Le domaine existe depuis plus de quelques semaines (vérifiable sur WHOIS). L’URL ne change pas au moment du paiement. Le site propose un moyen de paiement avec protection acheteur. Vous n’avez trouvé aucun signalement d’arnaque en cherchant le nom du site sur Google.
Deux minutes de vérification suffisent dans la grande majorité des cas. Les arnaques les plus sophistiquées passent parfois entre les mailles, mais la plupart des faux sites présentent au moins un point faible dans cette liste.
