FR
Un paquet déposé au hasard à votre porte peut sembler être un cadeau surprise, mais il pourrait en fait être le signe que vos données personnelles sont déjà exposées.
Ce qui ressemble à un "brossage" inoffensif est en train de se transformer en une véritable cybermenace, où les codes QR et les fausses livraisons sont utilisés pour voler votre argent et votre identité.
En bref
Un livreur dépose une boîte à votre porte. En l'ouvrant, vous découvrez un smartphone ou une smartwatch flambant neuf(e) que vous n'avez jamais acheté(e). Votre premier réflexe est peut-être de vous réjouir, mais il devrait être de vous alarmer. Le colis que vous n'avez pas commandé est le signe d'une menace active. Les escrocs disposent de votre adresse réelle, votre nom figure dans des bases de données criminelles et le colis lui-même peut être utilisé pour voler vos coordonnées bancaires.
L'escroquerie par brossage est une forme de fraude au commerce électronique dans laquelle les escrocs envoient des colis non sollicités à des adresses réelles afin de fabriquer de faux enregistrements de ventes vérifiées. Ils ont besoin d'un numéro de suivi indiquant que le colis a été livré pour publier un avis d'"achat vérifié" sur des plateformes telles qu'Amazon ou Temu.
Amazon a supprimé plus de 275 millions de faux avis rien qu'en 2024, obligeant les fraudeurs à générer constamment de nouvelles expéditions vérifiées pour que leurs boutiques restent visibles dans les classements de recherche. Le mécanisme est simple : ils achètent leur propre produit bon marché, l'expédient à votre adresse réelle et rédigent un avis élogieux sur un faux compte lié à votre livraison. Vous recevez un article sans valeur ; ils s'assurent un meilleur classement qui trompe des milliers d'acheteurs authentiques.
Les escroqueries au débroussaillage ont évolué bien au-delà des faux avis. Les fraudeurs incluent désormais des encarts imprimés à l'intérieur du colis - des cartes qui ont l'air d'avoir été produites par des professionnels et qui vous incitent à "enregistrer votre appareil", "rechercher la garantie" ou "activer votre produit".
Source : Trendmicro
Avertissement du FBI : Le FBI a émis un avertissement actif selon lequel la numérisation de codes QR trouvés dans des colis non sollicités dirige votre appareil vers des sites Web de phishing ou installe des logiciels malveillants conçus pour voler des informations d'identification bancaires. Ne scannez aucun code QR provenant d'une livraison inattendue.
Cela transforme une livraison étrange en une cyberattaque ciblée. Les criminels ne se contentent plus d'une revue boostée : ils veulent un accès direct à votre portefeuille numérique et à vos comptes financiers.
Le branchement d'un appareil électronique mystérieux peut compromettre l'ensemble de votre réseau domestique. Les téléphones et tablettes non sollicités présentent un risque important de logiciels malveillants préinstallés - des logiciels qui enregistrent vos frappes au clavier ou interceptent les messages de vérification que votre banque vous envoie. En allumant l'appareil et en le connectant à votre réseau Wi-Fi, l'expéditeur a accès à tous les appareils de votre réseau local.
Les attaques au niveau du matériel contournent complètement les logiciels antivirus standard, car la menace réside dans les circuits physiques de l'appareil. Si vous recevez des appareils électroniques non sollicités, traitez-les comme des objets hostiles plutôt que comme des aubaines.
"Ils ne vous envoient pas un cadeau, mais un piège à votre porte d'entrée".
Recevoir un paquet de brossage confirme que votre nom et votre adresse physique circulent dans des bases de données criminelles. Rien qu'en 2025, 3 322 violations majeures de données ont révélé les noms et adresses utilisés pour mener à bien ces opérations. Les escrocs recoupent votre adresse avec des historiques d'achats divulgués afin de rendre les livraisons plausibles.
Vous pouvez vérifier si votre adresse électronique a été exposée dans le cadre d'une violation connue en utilisant Have I Been Pwned, une base de données gratuite qui répertorie les identifiants de connexion compromis. Si votre adresse électronique apparaît, mettez immédiatement à jour vos mots de passe, en particulier pour les comptes bancaires et les comptes de commerce électronique.
~ ROYAUME-UNI : Action Fraud
~ UE : Europol Cybercrime Reporting
Vous n'avez aucune obligation légale de retourner ou de payer une livraison non sollicitée. En vertu de la loi fédérale américaine, vous avez le droit de conserver toute marchandise non sollicitée en tant que cadeau gratuit. Vous ne devez pas d'argent à l'expéditeur et n'avez jamais à payer les frais de retour. Le même principe s'applique au Royaume-Uni en vertu de la loi de 2015 sur les droits des consommateurs (Consumer Rights Act 2015).
Confirmez si le site web de l'expéditeur est une escroquerie connue avant de vous engager plus avant.
Conservez l'emballage extérieur et les encarts éventuels si vous avez l'intention de déposer un rapport officiel - ils peuvent aider les enquêteurs à retracer l'origine de l'envoi.
Confirmez que le site web de l'expéditeur est un site d'escroquerie connu avant de poursuivre votre démarche.
Questions fréquemment posées
Dois-je payer pour un colis inattendu ?
Non. En vertu du droit fédéral américain et du droit de la consommation britannique, vous avez le droit de conserver une marchandise non sollicitée en tant que cadeau gratuit, sans aucune obligation de paiement envers l'expéditeur.
Puis-je utiliser en toute sécurité un téléphone gratuit envoyé dans le cadre d'une arnaque à la brosse à dents ?
Vous ne devez jamais allumer ou connecter un appareil non sollicité à votre réseau Wi-Fi. Les appareils électroniques non sollicités contiennent souvent des logiciels malveillants préinstallés qui peuvent compromettre l'ensemble de votre réseau domestique et intercepter vos codes de vérification bancaire.
Comment les escrocs ont-ils obtenu mon adresse personnelle ?
Les fraudeurs achètent des listes de noms et d'adresses divulguées lors de violations de données d'entreprises et vendues sur des places de marché du dark web. Vérifiez votre courrier électronique sur le site Have I Been Pwned pour voir si vos coordonnées figurent parmi les enregistrements exposés.
Que se passe-t-il si je scanne le code QR contenu dans l'emballage ?
Le code QR dirige votre appareil vers un site de phishing ou télécharge silencieusement un logiciel malveillant conçu pour voler vos mots de passe et intercepter vos données bancaires. Le FBI a spécifiquement averti les consommateurs de ne pas scanner les codes QR trouvés dans les colis non sollicités.
Adam Collins est chercheur en cybersécurité chez ScamAdviser. Il travaille sous un pseudonyme pour des raisons de confidentialité et de sécurité. Avec plus de quatre ans d'expérience sur le front numérique, il s'est spécialisé dans la traduction de menaces complexes en conseils exploitables. Sa mission : révéler les signaux d'alarme pour que vous puissiez naviguer en toute confiance sur le web.
