Des cybercriminels sont parvenus à injecter des messages frauduleux directement dans la messagerie sécurisée de LeBonCoin, contournant ainsi le principal gage de confiance de la plateforme. Se faisant passer pour l’administration du site, ils poussent les vendeurs à soumettre leurs identifiants et leur IBAN sur une fausse page, avant de détourner le fruit de leurs ventes vers des comptes à l’étranger. L’arnaque, signalée en forte hausse au printemps 2026, est d’autant plus redoutable qu’elle est visuellement indiscernable d’une vraie communication officielle.
En bref
- —Le message frauduleux arrive dans la messagerie interne LeBonCoin, pas par email externe
- —L’IBAN du vendeur est remplacé par celui des escrocs, domicilié en Lituanie
- —Un vendeur a perdu 1 550 € avant d’être remboursé trois mois plus tard
Un piège logé au cœur de la messagerie officielle
Ce qui rend cette arnaque particulièrement efficace, c’est précisément l’endroit où elle se déroule. Contrairement aux tentatives de phishing classiques — qui transitent par des emails externes facilement identifiables ou des SMS douteux — celle-ci s’insinue directement dans la messagerie interne de LeBonCoin, au milieu des échanges légitimes entre vendeurs et acheteurs. Le message s’affiche avec l’intitulé habituel des communications officielles de la plateforme : [identifiant] via leboncoin.
Le contenu du message est soigneusement élaboré. Il prétexte une mise à jour de sécurité nécessaire suite à la mise en ligne d’une annonce, et invite l’utilisateur à cliquer sur un lien pour confirmer ses coordonnées bancaires. Rien, dans l’apparence du message, ne trahit sa nature frauduleuse. Les victimes le confirment : « Tout portait à croire que c’était réglo », témoigne l’une d’elles. Une autre précise avoir vérifié l’expéditeur dans sa boîte mail : « Il y a la certification officielle de Gmail qui dit que ce mail provient du Bon Coin ».
Les escrocs ont manifestement étudié le fonctionnement du système de notification de LeBonCoin. En exploitant le mécanisme qui relaie les échanges de la messagerie vers l’email personnel des utilisateurs — avec l’intitulé [nom d’utilisateur] via leboncoin — ils sont parvenus à faire transiter leurs faux messages d’alerte de sécurité par ce même canal, leur conférant une légitimité technique difficile à contester.
Les quatre étapes du piège : de l’IBAN volé au virement détourné
Le mécanisme de l’arnaque se déroule en quatre phases distinctes, chacune imperceptible pour la victime au moment où elle s’y engage. Première étape : rassurée par l’apparence officielle du message, la victime clique sur le lien. Elle est redirigée vers une fausse interface reproduisant à l’identique le site LeBonCoin — même mise en page, mêmes couleurs, sans un détail visuel pour la trahir.
Deuxième étape : elle saisit ses identifiants de connexion sur cette page contrefaite. En quelques secondes, ces informations sont transmises aux cybercriminels, qui accèdent immédiatement à son compte réel. Troisième étape : depuis ce compte compromis, les escrocs créent un profil portant le nom Administration et remplacent silencieusement l’IBAN du vendeur par un numéro de compte domicilié en Lituanie.
