Arnaque à l'IBAN sur Leboncoin : comment un faux mail officiel a permis de détourner 1 550 euros

Un utilisateur de Leboncoin a été victime d’une arnaque sophistiquée, où des escrocs ont détourné le paiement d’un appareil photo vendu 1 550 euros en modifiant son IBAN, selon Numerama. L’escroquerie, rendue possible par un phishing exploitant les outils de communication officiels de la plateforme, n’a été détectée que le jour de la transaction, lorsque l’argent a été viré vers un compte en Lituanie. Leboncoin a finalement remboursé la victime après plus de trois mois d’intervention légale, tout en soulignant que l’absence de double authentification avait facilité le piratage.

Un phishing exploitant les outils officiels de Leboncoin

Martin J., utilisateur expérimenté de Leboncoin avec des dizaines de ventes à son actif, a été piégé par une arnaque mettant en œuvre une technique de phishing particulièrement retorse. Selon ses déclarations à Numerama, tout a commencé le 29 novembre 2025, lorsqu’il a reçu un message intitulé « Administration » dans sa boîte mail. Ce mail, certifié par les serveurs de Gmail comme provenant bien de Leboncoin, invitait le vendeur à mettre à jour ses informations de sécurité, une démarche présentée comme nécessaire après la publication d’une annonce pour un appareil photo Sony A7 IV.

Le message, dépourvu de faute d’orthographe et doté des mentions légales officielles, semblait tout à fait légitime. « Tout portait à croire que c’était réglo », a expliqué Martin J. à Numerama. Une fois le lien cliqué, la victime a été redirigée vers un site miroir quasi identique à celui de Leboncoin, où elle a saisi ses identifiants. Ce n’est qu’après la transaction qu’il a réalisé avoir été victime d’un hameçonnage.

Un détournement d’IBAN rendu possible par la prise de contrôle du compte

Les escrocs, une fois en possession des identifiants, ont modifié l’IBAN associé au compte Leboncoin de Martin J. Remplaçant l’original – un compte bancaire français historiquement vérifié – par un RIB domicilié en Lituanie, ils ont attendu le 5 décembre 2025 pour finaliser la vente. Le paiement de 1 550 euros a alors été automatiquement viré vers le compte frauduleux, sans que le vendeur ne s’en aperçoive immédiatement.

Malgré une réaction rapide – Martin J. a alerté le service client de Leboncoin onze minutes seulement après la notification du virement inhabituel et déposé plainte au commissariat –, la plateforme a d’abord refusé d’intervenir. Dans un premier temps, Leboncoin s’est abrité derrière ses conditions générales d’utilisation pour décliner toute responsabilité, invoquant l’absence de double authentification sur le compte compromis.

Un remboursement obtenu après trois mois de procédure

Ce n’est qu’après l’intervention d’un avocat et l’envoi d’une mise en demeure formelle que Leboncoin a finalement accepté de procéder au remboursement intégral de Martin J., qualifié de « geste commercial à titre discrétionnaire ». Ce délai de plus de trois mois illustre les difficultés rencontrées par les victimes d’arnaques en ligne pour obtenir gain de cause, même lorsque la plateforme reconnaît partiellement sa responsabilité.

Interrogée par Numerama, Leboncoin a confirmé avoir remboursé la victime, tout en réaffirmant que l’absence de double authentification sur le compte avait joué un rôle dans la réussite de l’escroquerie. La plateforme a également rappelé que ses systèmes de certification des mails permettent de vérifier l’origine des communications, une mesure présentée comme un garde-fou contre les tentatives de phishing classiques.

Une faille structurelle qui interroge la sécurité des transactions

Cette arnaque met en lumière une faille structurelle des plateformes de marché entre particuliers : la possibilité pour un utilisateur de modifier son IBAN sans validation secondaire. Alors que les virements bancaires en France sont généralement sécurisés par des dispositifs comme le code IBAN, les escrocs ont contourné cette protection en exploitant une faille humaine – la confiance accordée à un mail certifié – et technique, via la prise de contrôle du compte.

Pour Martin J., la double authentification, bien que facultative, aurait pu empêcher le piratage. Pourtant, cette option reste peu visible et mal expliquée, accessible uniquement via les paramètres avancés du compte. « Elle est purement facultative et peu mise en avant », a-t-il souligné auprès de Numerama, ajoutant que la plupart des utilisateurs n’ont pas conscience de son existence.

Des mesures correctives, mais des interrogations persistent

Face à cette affaire, Leboncoin a déployé un encart de prévention dans l’espace messagerie des vendeurs, rappelant les bonnes pratiques à adopter face aux tentatives de phishing. « Je suis connecté sur le site et le message s’affiche à chaque fois », a confirmé Martin J., jugeant cette mesure bienvenue mais insuffisante pour éviter de futures victimes.

La question de la double authentification obligatoire se pose désormais avec acuité. Si les plateformes comme Leboncoin insistent sur la responsabilité des utilisateurs, elles doivent aussi assumer leur rôle dans la sécurisation des transactions. Entre phishing ciblé, ingénierie sociale et failles techniques, les arnaques à l’IBAN sur les marketplaces pourraient se multiplier sans un renforcement significatif des mesures de sécurité.