Des cybercriminels sont parvenus à injecter des messages frauduleux directement dans la messagerie sécurisée de LeBonCoin, contournant ainsi le principal gage de confiance de la plateforme. Se faisant passer pour l’administration du site, ils poussent les vendeurs à soumettre leurs identifiants et leur IBAN sur une fausse page, avant de détourner le fruit de leurs ventes vers des comptes à l’étranger. L’arnaque, signalée en forte hausse au printemps 2026, est d’autant plus redoutable qu’elle est visuellement indiscernable d’une vraie communication officielle.
En bref
- —Le message frauduleux arrive dans la messagerie interne LeBonCoin, pas par email externe
- —L’IBAN du vendeur est remplacé par celui des escrocs, domicilié en Lituanie
- —Un vendeur a perdu 1 550 € avant d’être remboursé trois mois plus tard
Un piège logé au cœur de la messagerie officielle
Ce qui rend cette arnaque particulièrement efficace, c’est précisément l’endroit où elle se déroule. Contrairement aux tentatives de phishing classiques — qui transitent par des emails externes facilement identifiables ou des SMS douteux — celle-ci s’insinue directement dans la messagerie interne de LeBonCoin, au milieu des échanges légitimes entre vendeurs et acheteurs. Le message s’affiche avec l’intitulé habituel des communications officielles de la plateforme : [identifiant] via leboncoin.
Le contenu du message est soigneusement élaboré. Il prétexte une mise à jour de sécurité nécessaire suite à la mise en ligne d’une annonce, et invite l’utilisateur à cliquer sur un lien pour confirmer ses coordonnées bancaires. Rien, dans l’apparence du message, ne trahit sa nature frauduleuse. Les victimes le confirment : « Tout portait à croire que c’était réglo », témoigne l’une d’elles. Une autre précise avoir vérifié l’expéditeur dans sa boîte mail : « Il y a la certification officielle de Gmail qui dit que ce mail provient du Bon Coin ».
Les escrocs ont manifestement étudié le fonctionnement du système de notification de LeBonCoin. En exploitant le mécanisme qui relaie les échanges de la messagerie vers l’email personnel des utilisateurs — avec l’intitulé [nom d’utilisateur] via leboncoin — ils sont parvenus à faire transiter leurs faux messages d’alerte de sécurité par ce même canal, leur conférant une légitimité technique difficile à contester.
Les quatre étapes du piège : de l’IBAN volé au virement détourné
Le mécanisme de l’arnaque se déroule en quatre phases distinctes, chacune imperceptible pour la victime au moment où elle s’y engage. Première étape : rassurée par l’apparence officielle du message, la victime clique sur le lien. Elle est redirigée vers une fausse interface reproduisant à l’identique le site LeBonCoin — même mise en page, mêmes couleurs, sans un détail visuel pour la trahir.
Deuxième étape : elle saisit ses identifiants de connexion sur cette page contrefaite. En quelques secondes, ces informations sont transmises aux cybercriminels, qui accèdent immédiatement à son compte réel. Troisième étape : depuis ce compte compromis, les escrocs créent un profil portant le nom Administration et remplacent silencieusement l’IBAN du vendeur par un numéro de compte domicilié en Lituanie.
Quatrième et dernière étape : lorsque l’acheteur règle son achat via la messagerie sécurisée de LeBonCoin, les fonds sont automatiquement redirigés vers le compte des escrocs. Ni le vendeur ni l’acheteur ne constatent immédiatement l’anomalie — la transaction s’est déroulée dans le cadre prévu par la plateforme. C’est seulement au moment où le vendeur constate qu’aucune somme n’a été créditée sur son compte que le piège se révèle, souvent plusieurs jours après la vente.
Une plateforme dans le viseur des escrocs
Avec plusieurs dizaines de millions d’annonces actives, LeBonCoin est le site de petites annonces le plus fréquenté de France, ce qui en fait une cible de choix pour les cybercriminels. Les techniques évoluent constamment : après le faux virement bancaire, le faux transporteur ou le faux acheteur, les escrocs ciblent désormais directement les outils internes de la plateforme. En 2025, cybermalveillance.gouv.fr a enregistré plus de 504 000 demandes d’assistance, en hausse de 20 %, et les fraudes liées aux sites de vente entre particuliers figurent parmi les motifs les plus fréquents.
Martin, 1 550 € perdus : le témoignage qui donne un visage à l’escroquerie
Parmi les victimes documentées figure Martin, qui met en vente un appareil photo sur LeBonCoin à l’automne 2025. En novembre, il reçoit dans sa messagerie un message dont l’objet indique : « Administration via leboncoin ». Le texte l’informe qu’une mise à jour de sécurité est requise suite à son annonce. « Ça me semblait cohérent qu’il y ait une mise à jour de sécurité après que j’ai posté une grosse annonce », expliquera-t-il par la suite.
Martin clique sur le lien, saisit ses identifiants sur la fausse page et ne se doute de rien. Les escrocs remplacent aussitôt son IBAN par le leur, basé en Lituanie. Le 5 décembre 2025, l’acheteur procède au règlement de 1 550 euros — le prix de l’appareil photo. La somme atterrit directement sur le compte des fraudeurs. Martin ne reçoit rien.
Après avoir déposé plainte et mandaté un avocat pour démontrer la faille exploitée sur la plateforme, LeBonCoin finit par rembourser Martin trois mois après les faits. La plateforme qualifie ce versement de « geste commercial », sans reconnaître explicitement de responsabilité. Une formulation qui laisse entière la question de la protection des utilisateurs face à une arnaque qui exploite les outils mêmes de la plateforme.
