Le commerce en ligne français a franchi en 2025 la barre des 175 milliards d’euros de chiffre d’affaires.
Cette croissance attire les marques sérieuses autant que les escrocs. L’arnaque en ligne n’est plus l’apanage de petits sites grossièrement bricolés.
En 2026, l’intelligence artificielle permet de générer en quelques minutes des boutiques visuellement irréprochables, copiées sur de vraies marques, avec des avis fabriqués sur mesure.
Devant cette sophistication croissante, les anciens réflexes ne suffisent plus.
Le cadenas dans la barre d’adresse, l’absence de fautes d’orthographe ou un design soigné rassurent à tort. Un site frauduleux coche désormais sans peine toutes ces cases.
Comment distinguer un marchand digne de confiance d’une vitrine fabriquée pour vous dépouiller ?
Quels signaux observer avant de saisir votre numéro de carte ? Quelles obligations légales s’imposent réellement aux e-commerçants français en 2026 ? Que faire si vous avez déjà payé sur un site douteux ?
Ce guide rassemble les points de contrôle qui résistent aux nouvelles techniques de fraude.
Chaque vérification prend quelques secondes. L’ensemble vous protège contre la majorité des pièges actuels, y compris ceux générés par IA.
L’arnaque en ligne en 2026 : un phénomène en pleine mutation
Les chiffres parlent d’eux-mêmes.
Selon une enquête du CREDOC publiée en 2026, 73 % des internautes français ont été confrontés à une cyber-arnaque au cours de l’année écoulée. Près de quatre sur dix en ont été réellement victimes.
Le taux de fraude en e-commerce atteint 0,16 % des montants collectés selon France Num, soit vingt fois celui observé dans les commerces de proximité.
Quelques repères chiffrés à garder en tête
| Indicateur | Valeur 2025-2026 | Source |
|---|---|---|
| Internautes français confrontés à une arnaque | 73 % | CREDOC, 2026 |
| Hausse des demandes d’assistance hameçonnage | +70 % en 2025 | Cybermalveillance.gouv.fr |
| Part de la fraude sur les paiements e-commerce | 0,16 % des montants | France Num |
| Augmentation des arnaques pendant la crise sanitaire | +400 % (référence) | France Verif |
| Critères analysés par les outils de vérification | jusqu’à 127 critères | France Verif |
Pourquoi les vieux réflexes ne tiennent plus
Pendant des années, on a appris aux internautes à se méfier des sites bourrés de fautes, des designs approximatifs et des URL bizarres.
Ces signaux fonctionnent de moins en moins.
L’IA générative produit en quelques secondes des textes commerciaux irréprochables, traduit dans n’importe quelle langue.
Les outils no-code permettent de cloner l’apparence d’une grande marque en une après-midi. Les certificats SSL gratuits sont accessibles à tout le monde, escrocs compris.
Le ministère de l’Intérieur, dans sa fiche officielle Ma Sécurité, confirme que certains faux sites marchands sont aujourd’hui si bien réalisés que des consommateurs avertis se laissent prendre.
La vigilance ne doit plus reposer sur l’apparence, plutôt sur des vérifications de fond.
|
Les vérifications techniques à faire en moins d’une minute
Avant tout achat, trois contrôles rapides permettent d’écarter une grande partie des sites manifestement douteux.
Ils ne suffisent plus à eux seuls, on l’a vu, leur absence reste néanmoins éliminatoire.
HTTPS et certificat SSL
L’adresse du site doit commencer par https:// et un cadenas fermé doit apparaître à gauche de l’URL.
Ce protocole chiffre les échanges entre votre navigateur et le serveur. Sans lui, vos données bancaires circulent en clair.
Un site marchand sans HTTPS en 2026 est soit techniquement abandonné, soit frauduleux. Aucune autre option crédible.
Cliquer sur le cadenas affiche le détail du certificat. Le nom du titulaire doit correspondre au nom de la boutique.
Les certificats EV (Extended Validation) restent les plus solides, car ils impliquent une vérification d’identité réelle de l’entreprise.
Ils sont utiliser par plusieurs sites de confiances ainsi que dans leurs page de login comme pour se connecter au compte Damart.
L’âge et la cohérence du nom de domaine
Les escrocs travaillent vite. Un faux site survit en moyenne quelques semaines avant d’être signalé et fermé.
Vérifier la date de création d’un domaine est donc révélateur.
Des outils gratuits comme Whois.domaintools.com ou ScamDoc affichent en quelques secondes la date d’enregistrement, le pays du registrant et son anonymat éventuel.
Méfiez-vous d’un domaine créé il y a moins de six mois, surtout si le site se présente comme une marque française installée.
L’incohérence entre le discours commercial et l’âge réel du domaine est l’un des signaux les plus fiables d’une fraude.
Surveillez aussi les variations subtiles d’URL. Les escrocs achètent des domaines très proches des grandes enseignes : amaz0n.fr, amazzon.fr, fnnac.com, cdiscownt.fr. Une lettre suffit à tromper un œil pressé.
Le WHOIS : qui se cache derrière le site
Une recherche WHOIS dévoile le propriétaire d’un nom de domaine, son pays d’enregistrement et la date de création.
Un site qui prétend être basé à Paris et dont le domaine a été enregistré anonymement aux îles Caïmans la semaine dernière mérite une fuite immédiate.
À l’inverse, un domaine ancien, enregistré en France, au nom d’une société identifiée, constitue un indice fort de sérieux.
|
Les mentions légales obligatoires en France
La législation française et européenne encadre strictement l’identité des e-commerçants.
Un site qui ne respecte pas ces obligations agit dans l’illégalité, même s’il semble par ailleurs sérieux.
Leur absence est l’un des signaux les plus discriminants en 2026.
Ce que la loi LCEN impose
L’article 6-III-1 de la loi LCEN oblige tout site marchand français à afficher de manière accessible et lisible :
- la raison sociale et la forme juridique de l’entreprise (SAS, SARL, EURL, etc.) ;
- l’adresse du siège social ;
- un moyen de contact direct (téléphone, email ou formulaire) ;
- le numéro SIRET ou SIREN ;
- le numéro de TVA intracommunautaire pour les structures soumises ;
- le nom du directeur de la publication ;
- les coordonnées de l’hébergeur du site.
Ces informations doivent être facilement trouvables, généralement via un lien « Mentions légales » en pied de page.
Une absence ou une présence partielle révèle souvent une volonté de dissimulation.
Vérifier le SIRET sur l’annuaire INSEE
Un numéro SIRET ne se vérifie pas seulement parce qu’il existe.
Il se vérifie parce qu’il correspond réellement à l’entreprise affichée.
L’annuaire officiel des entreprises (annuaire-entreprises.data.gouv.fr) permet d’effectuer cette vérification gratuitement en quelques secondes.
Tapez le numéro ou le nom de l’enseigne : la fiche affiche la dénomination, l’adresse, l’activité déclarée et la date de création.
Trois cas doivent vous alerter :
- un SIRET introuvable dans la base,
- un SIRET qui correspond à une activité sans rapport avec les produits vendus (par exemple, un site de chaussures dont le SIRET pointe vers une activité de coiffure),
- une société radiée depuis plusieurs mois.
Les CGV et le médiateur de la consommation
Les Conditions Générales de Vente sont obligatoires et doivent être consultables avant tout achat.
Elles précisent les modalités de livraison, le droit de rétractation de 14 jours, les garanties légales (conformité et vices cachés), les conditions de retour et de remboursement.
Depuis 2016, les e-commerçants doivent également désigner un médiateur de la consommation et afficher ses coordonnées.
Cette obligation est souvent négligée par les sites frauduleux, qui n’envisagent évidemment aucun recours pour leurs « clients ».
|
Vérifiez la fiabilité avant d’acheter
| Type de vérification | Outil recommandé |
|---|---|
| Identité de l’entreprise | annuaire-entreprises.data.gouv.fr |
| Réputation globale du site | France Verif, ScamDoc |
| Historique du nom de domaine | Whois.domaintools.com |
Évaluer la réputation : avis clients et présence sociale
Une fois les vérifications techniques et légales passées, reste à évaluer ce que d’autres acheteurs ont réellement vécu.
La réputation d’un site se lit à plusieurs niveaux.
Plateformes ouvertes ou plateformes certifiées
Toutes les plateformes d’avis ne se valent pas. Deux modèles coexistent.
- Les plateformes ouvertes comme Trustpilot, Google Reviews ou Facebook acceptent les avis de toute personne, qu’elle ait acheté ou non. Elles offrent une grande volumétrie et une diversité de points de vue. Leur faiblesse : un site peut y être noyé sous de faux avis positifs déposés par le marchand lui-même ou par des prestataires payés à cet effet, sans véritable filtre d’authenticité.
- Les plateformes fermées comme Avis Vérifiés (certifié NF Service par AFNOR), Trusted Shops ou Société des Avis Garantis ne sollicitent un avis qu’auprès de personnes ayant effectivement passé commande. Le numéro de commande est croisé avec le formulaire d’avis. Ce modèle, plus contraignant, garantit une authenticité supérieure.
En 2026, un site qui mise uniquement sur sa note Trustpilot offre un signal moyen.
Un site qui affiche le label NF Service d’une plateforme certifiée envoie un signal très fort.
Ce label couvre à la fois la dimension technique et la dimension commerciale, ce que de simples mentions légales ne garantissent jamais.
Décrypter un avis crédible
Tous les avis ne se valent pas non plus. Plusieurs critères distinguent un retour authentique d’un avis fabriqué.
- La spécificité. Un vrai client mentionne le nom du produit, le délai de livraison reçu, le contact avec le service client. Un faux avis reste vague et générique.
- Le ton. Une critique authentique alterne points positifs et négatifs. Une succession d’avis cinq étoiles dithyrambiques signale souvent une manipulation.
- La répartition des notes. Une distribution naturelle ressemble à une courbe : beaucoup de 4 et 5 étoiles, quelques 1 ou 2 étoiles, peu de 3. Une courbe en U avec uniquement des notes extrêmes est suspecte.
- Les réponses du marchand. Un vendeur sérieux répond aux avis négatifs de façon personnalisée, propose une solution, assume ses erreurs. Le silence ou la suppression systématique des critiques en disent long.
Le test « nom du site + arnaque »
Cette astuce, recommandée par la DDPP, reste l’un des contrôles les plus efficaces.
Tapez dans Google ou Bing le nom de la boutique suivi de termes comme « arnaque », « avis négatif », « problème livraison ».
Si plusieurs internautes ont signalé des litiges récents sur des forums, sur Reddit ou sur des sites spécialisés comme Signal-Arnaques, l’alerte est claire.
L’absence totale de mentions sur internet pose aussi question.
Une boutique qui prétend exister depuis cinq ans devrait laisser au moins quelques traces : articles de presse locale, mentions sur les réseaux sociaux, retours clients sur Reddit, comparateurs de prix.
Le silence numérique total est rarement un bon signe.
|
Le paiement : ultime ligne de défense
Même un site qui passe les filtres précédents peut décevoir. Le moment du paiement constitue donc votre dernière barrière.
Le choix du moyen de paiement détermine en grande partie votre capacité à récupérer votre argent en cas de problème.
Pourquoi 3D Secure 2 change tout
La directive européenne DSP2 a rendu obligatoire l’authentification forte pour la quasi-totalité des paiements en ligne.
Le protocole 3D Secure 2.x, déployé massivement depuis 2021, exige deux facteurs d’authentification parmi :
- quelque chose que vous savez (mot de passe),
- quelque chose que vous possédez (smartphone)
- quelque chose que vous êtes (empreinte, reconnaissance faciale).
En pratique, lors d’un paiement, votre banque envoie une notification dans son application mobile.
Vous validez avec votre empreinte ou un code biométrique. Sans cette validation, la transaction échoue.
Cette double couche réduit drastiquement le risque qu’un numéro de carte volé soit utilisé sans votre accord.
Un site marchand qui ne déclenche aucune authentification 3DS pour un paiement supérieur à 30 euros n’est pas conforme.
Soit son intégration technique est défaillante, soit il opère hors du cadre européen. Dans les deux cas, prudence.
Les solutions à privilégier
Plusieurs moyens de paiement offrent une protection acheteur renforcée et facilitent les recours en cas de litige.
- PayPal reste l’option la plus protectrice. Sa politique de remboursement couvre les articles non reçus ou non conformes. Le vendeur ne voit jamais votre numéro de carte.
- Stripe et les passerelles bancaires reconnues (Adyen, Mollie, Payplug, Lyra) intègrent nativement le 3DS2 et reposent sur des établissements de paiement agréés.
- La carte bancaire avec 3D Secure activé. En cas de fraude avérée, la procédure de chargeback permet d’obtenir un remboursement par votre banque, sous conditions.
- Les cartes virtuelles à usage unique proposées par plusieurs néobanques génèrent un numéro de carte différent à chaque achat, limitant l’exposition de votre vraie carte.
Les modes de paiement à fuir absolument
Certaines méthodes éliminent toute possibilité de recours. Les escrocs les imposent souvent sous prétexte d’urgence ou de remise commerciale.
- Le virement bancaire vers un IBAN étranger (souvent lituanien, estonien ou polonais). Une fois exécuté, il est quasi impossible à annuler.
- Western Union et MoneyGram, conçus pour les transferts entre proches, ne prévoient aucun recours commercial.
- Les cryptomonnaies, intraçables et irréversibles, restent un signal d’alerte rouge sur un site marchand grand public.
- Les cartes prépayées à gratter (Paysafecard, Transcash) demandées en paiement d’un produit physique sont presque toujours liées à une fraude.
|
Les nouvelles arnaques boostées par l’IA en 2026
L’année 2026 marque un tournant. L’intelligence artificielle générative est désormais accessible à tous, y compris aux escrocs.
Plusieurs schémas inédits ont émergé.
Les faux sites générés en quelques minutes
Des outils combinant LLM et générateurs d’images permettent de cloner visuellement n’importe quelle boutique connue en une après-midi. Photos produits, descriptions, page « À propos », pages catégories : tout est fabriqué automatiquement.
Les escrocs ciblent particulièrement les ventes flash, les marques en rupture de stock ou les produits saisonniers très demandés.
Selon le ministère de l’Intérieur, ces sites imitent des plateformes légitimes avec des différences minimes : un caractère modifié dans l’URL, un nom de domaine en .shop ou .store au lieu du .com officiel, un sous-domaine bizarrement structuré.
Les deepfakes dans les publicités
Le phénomène a explosé en mars-avril 2026.
De fausses vidéos de personnalités françaises (animateurs, sportifs, anciens champions de jeux télévisés) circulent sur les réseaux sociaux pour promouvoir de prétendues plateformes d’investissement ou des sites e-commerce miracles.
La voix et le visage sont reproduits par IA à partir de quelques minutes de vidéos publiques.
Le réflexe à acquérir : aucune célébrité ne fait la promotion personnelle d’une boutique en ligne dans une vidéo Instagram ou X. Si le contenu semble trop beau, une recherche rapide sur le compte officiel de la personne révélera presque toujours un démenti public.
Le phishing personnalisé
L’IA permet aux escrocs d’envoyer des SMS et des emails parfaitement rédigés, sans fautes, et personnalisés avec le nom, l’adresse et même l’historique d’achat récent de la victime.
En mars 2026, des escrocs ont diffusé en France des SMS de faux colis incluant une photo générée par IA du paquet, avec le nom et le prénom de la cible imprimés sur l’étiquette.
Le seul réflexe efficace est désormais le « second canal ». Si un message vous demande d’agir, ne cliquez sur aucun lien.
Tapez vous-même l’adresse officielle du transporteur ou de la marque dans votre navigateur, ou appelez le service client via un numéro trouvé sur le site officiel.
Les outils gratuits pour vérifier un site en deux clics
Plusieurs services en ligne permettent d’évaluer la fiabilité d’un site en quelques secondes.
Aucun n’est infaillible, leur croisement reste la meilleure approche.
| Outil | Type d’analyse | Particularité |
|---|---|---|
| France Verif | Score de fiabilité multicritère | 127 critères analysés, gratuit |
| ScamDoc | Score de confiance par IA | Notation rapide en pourcentage |
| Verifsites | Modération humaine | Équipe de modérateurs réels |
| F-Secure Online Shopping Checker | Vérificateur d’URL | Détection de phishing intégrée |
| Google Transparency Report | Sécurité technique du site | Source officielle Google |
| Annuaire INSEE entreprises | Vérification SIRET | Source officielle gouvernementale |
| Whois.domaintools.com | Âge et propriété du domaine | Données d’enregistrement détaillées |
| Liste noire AMF / ACPR | Plateformes financières non autorisées | Indispensable pour l’investissement |
Aucun de ces outils ne se substitue à votre jugement. Leur intérêt est de croiser plusieurs signaux objectifs en moins de deux minutes. Un site qui obtient un score médiocre sur trois outils différents est presque toujours problématique.
Que faire si vous avez déjà payé sur un site frauduleux ?
L’erreur arrive aux internautes les plus aguerris.
La rapidité de réaction conditionne vos chances de récupérer votre argent.
Bloquer la transaction et la carte
Premier réflexe : contactez immédiatement votre banque.
Si le débit n’est pas encore validé, certaines opérations peuvent être annulées.
Faites opposition sur la carte si vous suspectez que vos données ont été collectées dans un objectif de réutilisation.
Lancer une procédure de chargeback
Le chargeback (rétrofacturation) permet à votre banque de demander à la banque du commerçant le remboursement de la transaction.
La procédure est ouverte si vous n’avez pas reçu le produit, si le produit ne correspond pas du tout à la description, ou si une fraude est avérée.
Les délais varient selon les banques et les réseaux (Visa, Mastercard), généralement entre 60 et 120 jours après la transaction.
Préparez un dossier solide : capture d’écran de la commande, échanges avec le service client, suivi de livraison, photos du produit reçu si non conforme. Plus votre dossier est documenté, plus la procédure aboutit.
Signaler officiellement la fraude
Plusieurs canaux officiels existent en France pour signaler une escroquerie en ligne :
- Cybermalveillance.gouv.fr propose un parcours d’assistance personnalisé selon le type d’arnaque rencontré.
- THESEE (Traitement Harmonisé des Enquêtes et Signalements pour les e-Escroqueries) permet de déposer plainte en ligne pour les escroqueries jusqu’à un certain montant.
- PHAROS recueille les signalements de contenus illicites en ligne.
- SignalConso de la DGCCRF traite les litiges commerciaux et alimente les contrôles administratifs.
- La CNIL intervient si vos données personnelles ont été détournées.
Le commissariat ou la gendarmerie reste compétent pour les dépôts de plainte. Une plainte déposée alimente les enquêtes en cours et peut, à terme, contribuer à la fermeture du site frauduleux.
|
Foire aux questions
Un site avec HTTPS est-il forcément fiable ?
Non. Le HTTPS chiffre les échanges de données, il ne valide pas l’identité du marchand.
Les certificats SSL sont aujourd’hui gratuits et accessibles à n’importe qui, escrocs inclus. Le HTTPS reste indispensable, sa présence est nécessaire sans être suffisante.
Comment vérifier rapidement le SIRET d’un site marchand ?
Rendez-vous sur annuaire-entreprises.data.gouv.fr et tapez le numéro SIRET ou le nom de l’entreprise. La fiche officielle indique la dénomination, l’adresse, l’activité déclarée et la date de création.
La vérification prend trente secondes et révèle immédiatement les incohérences.
Quelle est la différence entre Trustpilot et Avis Vérifiés ?
Trustpilot fonctionne en modèle ouvert : tout le monde peut déposer un avis, qu’il ait acheté ou non.
Avis Vérifiés (groupe Skeepers) fonctionne en modèle fermé.
Seuls les clients ayant réellement passé commande sont sollicités, et la plateforme est certifiée NF Service par AFNOR.
Le second offre une meilleure garantie d’authenticité, le premier offre davantage de volume.
Que faire si je ne reçois jamais ma commande ?
Contactez d’abord le service client en conservant des preuves écrites.
Si aucune réponse après 15 jours, lancez une procédure de chargeback auprès de votre banque et signalez le marchand sur SignalConso.
Pour les paiements PayPal, ouvrez un litige depuis votre compte sous 180 jours.
Un prix beaucoup plus bas qu’ailleurs est-il toujours louche ?
Une remise de 70 à 90 % par rapport au prix moyen du marché sur un produit neuf et populaire est rarement honnête.
Les marges des e-commerçants ne permettent pas ce type d’écart sur les produits de marque.
Soit le produit est contrefait, soit la commande ne sera jamais honorée. Comparez systématiquement avec deux ou trois sites de référence avant d’acheter.
Les marketplaces comme Amazon ou Cdiscount sont-elles toutes sûres ?
La plateforme elle-même est fiable, néanmoins les vendeurs tiers qui y proposent leurs produits ne le sont pas tous.
Lisez attentivement le profil du vendeur avant d’acheter : ancienneté, nombre d’évaluations, note moyenne, pays d’expédition.
Le règlement DSA impose désormais aux marketplaces d’identifier et de contrôler leurs vendeurs professionnels, ce qui renforce la protection sans la rendre absolue.
En résumé : la checklist à garder sous la main
Avant tout paiement sur un site que vous ne connaissez pas, vérifiez les points suivants :
- ✅ URL en HTTPS avec cadenas et certificat valide ;
- ✅ Nom de domaine cohérent et créé depuis plus de six mois ;
- ✅ Mentions légales complètes avec SIRET vérifiable sur l’annuaire INSEE ;
- ✅ CGV accessibles, droit de rétractation de 14 jours mentionné, médiateur de la consommation indiqué ;
- ✅ Avis clients vérifiés (idéalement plateforme certifiée NF Service) avec notes naturellement réparties ;
- ✅ Recherche « nom du site + arnaque » sans résultats alarmants ;
- ✅ Présence sociale réelle et cohérente avec l’ancienneté annoncée ;
- ✅ Paiement par carte bancaire avec 3D Secure 2 ou via PayPal ;
- ✅ Refus de tout paiement par virement vers IBAN étranger, crypto ou Western Union.
Aucun de ces points pris isolément ne garantit qu’un site est honnête. Leur cumul, lui, élimine la grande majorité des arnaques.
Cinq minutes de vérification suffisent souvent à éviter plusieurs centaines d’euros de pertes et des heures de démarches administratives.
Le commerce en ligne reste un formidable outil pour acheter mieux et moins cher, à condition de garder ces réflexes à jour. La sophistication des escrocs progresse vite, votre vigilance doit suivre le même rythme.