"Prouvez que vous êtes humain" : cette nouvelle arnaque peut vous ruiner en téléphone
Des pirates ont trouvé un moyen redoutablement discret de générer des frais sur votre facture téléphonique : détourner les tests CAPTCHA pour vous faire envoyer des SMS internationaux surtaxés à votre insu.
Sur internet, le test CAPTCHA est devenu aussi banal que le bouton "J'accepte les cookies". Ces petites cases à cocher, ces puzzles d'images ou ces grilles de lettres déformées sont censés vérifier que vous êtes bien un humain et non un robot. On les remplit machinalement, sans y réfléchir. C'est exactement sur ce réflexe que des cybercriminels ont bâti une nouvelle arnaque aussi simple qu'efficace, documentée par les chercheurs en sécurité d'Infoblox et active depuis plusieurs mois.
Le mécanisme est d'une perversité élégante. Lorsqu'un utilisateur arrive sur l'une de ces fausses pages Web dans son navigateur Internet, il voit ce qui ressemble à une tâche normale – identifier des animaux ou choisir des images. Après chaque réponse, un script discret contacte le serveur des attaquants, qui renvoie une liste préchargée de numéros de téléphone internationaux et un message pré-écrit.
Le téléphone de l'utilisateur ouvre alors l'application de messagerie avec ces numéros et ce texte déjà renseignés. La victime n'a plus qu'à appuyer sur Envoyer. Ce qu'elle ignore, c'est que ces numéros sont situés dans des pays où les frais de terminaison sont très élevés – Azerbaïdjan, Kazakhstan, Myanmar, Égypte – et que chaque SMS envoyé génère un revenu pour le fraudeur.
Le faux CAPTCHA comporte plusieurs étapes, et chaque message est préconfiguré avec plus d'une douzaine de numéros de téléphone. La victime n'est donc pas facturée pour un seul message – elle est facturée pour des SMS envoyés vers plus de 50 destinations internationales. Et pour éviter que l'utilisateur ne quitte la page avant d'avoir fini, un script détourne le bouton retour du navigateur : lorsqu'on tente de partir, la page redirige vers un nouveau faux CAPTCHA.
Ce type de fraude s'appelle l'IRSF – International Revenue Share Fraud, ou fraude au partage de revenus internationaux. Les cybercriminels s'associent à des fournisseurs de numéros à tarif premium international, qui acceptent de partager les revenus générés par tout trafic artificiel. Europol la qualifie de schéma de fraude parmi les plus dommageables dans le secteur des télécommunications. Ce qui est nouveau ici, c'est l'utilisation du CAPTCHA comme détonateur – un outil de confiance transformé en arme.
Ce qui rend cette arnaque particulièrement difficile à détecter, c'est son timing. Les frais liés aux SMS internationaux apparaissent souvent sur la facture des victimes des semaines après l'incident, et le souvenir de la vérification CAPTCHA a depuis longtemps été oublié. La connexion entre les deux événements est donc rarement faite spontanément. Le caractère discret de cette fraude tient à la nature même de l'action : aucun malware installé, aucune donnée personnelle volée – juste un geste ordinaire détourné à des fins financières.
À grande échelle, plus de 120 campagnes distinctes ont été identifiées sur une période de quatre mois entre octobre 2025 et janvier 2026, générant plus de 226 000 requêtes DNS sur 13 500 domaines. Ces campagnes circulent via des réseaux publicitaires légitimes détournés, ce qui leur permet d'atteindre un très grand nombre d'utilisateurs sans éveiller les soupçons des plateformes qui les hébergent.
Comment s'en prémunir ? La vigilance reste la meilleure défense. Un vrai CAPTCHA ne demande jamais d'envoyer un SMS, ni aucune autre action sur votre application de messagerie. Si une page de vérification ouvre votre application SMS ou vous demande d'envoyer un message, fermez immédiatement l'onglet. Et si des frais inhabituels apparaissent sur votre facture téléphonique, contactez votre opérateur sans attendre : certains remboursements sont possibles en cas de fraude avérée.