À l’approche des fêtes, entre les fausses promos de Noël et le Black Friday qui s’étire en cyber-mois complet, une arnaque bien rôdée prend de l’ampleur sur les réseaux sociaux : la promesse d’un abonnement gratuit ou presque aux transports publics.
Un cadeau du ciel ? Non. Un piège bien huilé.
Depuis plusieurs semaines, des centaines de Français se font avoir par de fausses pages Facebook usurpant l’identité de régies de transport locales : STGA à Angoulême, TAN à Nantes, RTM à Marseille, RATP à Paris, etc.
L’arnaque est simple, mais diaboliquement efficace :
🎁 “Recevez votre abonnement gratuit pour 2025 – Offre limitée !”
✅ “Rendez-vous sur notre plateforme pour valider vos droits !”
Un clic plus tard, vous êtes sur une page imitant parfaitement un site officiel. Le logo, les couleurs, le ton administratif… Tout est là. Et on vous demande :
– votre nom,
– votre adresse,
– votre numéro de téléphone,
– et vos informations de carte bancaire, “pour valider l’offre”.
Et là, c’est terminé.
Vos données sont parties. Soit revendues à d’autres groupes cybercriminels, soit utilisées directement pour vous prélever des sommes allant de 1€ à plusieurs centaines, souvent en différé, pour éviter de déclencher les alertes de votre banque.
Pourquoi ça fonctionne (trop) bien
Parce que les escrocs ont compris le point faible : la confiance locale.
Quand une pub s’affiche sur Facebook avec le logo de votre régie, un langage administratif et une promesse de réduction, on baisse la garde. Surtout en période de crise, quand chaque économie compte. Et surtout quand :
- la page est récente, mais sponsorisée (donc perçue comme “fiable”) ;
- les commentaires sous la publication sont eux aussi factices (“merci la STGA, je viens de m’inscrire !”) ;
- et que personne ne prend le temps de vérifier si l’offre existe vraiment.
C’est ce que j’appelle, dans mon livre Être en cybersécurité, l’illusion de légitimité par familiarité : plus une attaque ressemble à quelque chose de familier, plus elle est dangereuse.
Le piège du “trop beau pour être faux”
Beaucoup se disent “mais ça se voit que c’est faux”. Peut-être. Mais ça se voit surtout après coup.
Et c’est bien là le problème. L’émotion – la joie d’un bon plan – court-circuite le bon sens. Or en cybersécurité, ce qui compte n’est pas ce que vous savez, mais ce que vous faites sous pression, dans l’instant.
J’en parle longuement dans mon livre, avec une règle simple :
👉 Plus une offre semble généreuse, plus elle mérite d’être vérifiée.
Comment se protéger
Voici quelques conseils simples, tirés directement de Être en cybersécurité, pour éviter de tomber dans ce genre d’arnaque :
1. Ne croyez jamais un lien Facebook sur parole.
Tapez l’URL du site vous-même ou passez par Google. La RATP, la STGA ou la TAN n’ont pas besoin de pubs payantes pour vous faire des cadeaux. Si une offre est réelle, elle est affichée en grand sur leur site officiel.
2. Aucune régie ne vous demandera votre carte bancaire pour un abonnement “gratuit”.
C’est un signal d’alerte immédiat. Si vous devez valider un droit, ce sera via un portail sécurisé, souvent avec votre identifiant d’usager, pas avec votre CB.
3. Vérifiez les pages officielles.
Une vraie page RATP ou STGA a des milliers d’abonnés, des années d’historique, un lien “bleu vérifié” parfois, et surtout, pas de fautes dans les visuels.
4. Utilisez une carte virtuelle ou un compte secondaire pour les achats en ligne.
Même si vous tombez dans un piège, vous limitez la casse. C’est l’un des piliers d’une stratégie de défense intelligente. Je détaille cette méthode dans Être en cybersécurité, chapitre “Hygiène financière en ligne”.
5. Signalez les fausses pages.
À Facebook. À la régie de transport. Aux associations de consommateurs. Chaque signalement compte pour faire fermer ces pages rapidement.
Un mal plus large qu’il n’y paraît
Cette arnaque n’est pas un cas isolé. Elle s’inscrit dans une tendance lourde : le phishing localisé, qui repose sur l’usurpation d’identités institutionnelles. On a déjà vu le même mécanisme avec :
- des faux mails CAF ;
- de fausses campagnes CPAM ou Pôle Emploi ;
- des “amendes” de préfecture factices…
En jouant sur l’autorité d’un service public, les cybercriminels désactivent vos défenses naturelles. Ce n’est plus un mail douteux d’un prince nigérian. C’est un message bien présenté, dans votre langue, avec le nom de votre ville.
Il ne suffit pas de savoir, il faut faire
La sécurité numérique, ce n’est pas un diplôme. C’est une discipline.
Et face à ces attaques de plus en plus ciblées, ce sont les utilisateurs les moins vigilants qui deviennent le point d’entrée. Ne soyez pas ce maillon faible.
👉 Prenez le temps de vous former, de vous équiper, de comprendre.
C’est exactement pour ça que j’ai écrit Être en cybersécurité : pour vous donner des réflexes simples, des scénarios concrets, et les outils pour ne plus être à la merci du prochain piège.
Le livre est disponible en ligne, dans toutes les bonnes librairies et sur etrecyber.fr.
En cette période de fêtes, le meilleur cadeau à vous faire, c’est peut-être celui de la vigilance.
Et de la lucidité.
