Guide d’hygiène numérique

Se protéger au quotidien contre le phishing, les messages piégés et les arnaques téléphoniques. Édition Belgique / Union européenne.

Télécharger le PDF Mise à jour : juin 2026 · PDF · A4 · français

01 —Les 3 signaux d’alarme universels

Presque toutes les arnaques — par téléphone, e-mail, SMS ou messagerie — combinent au moins un de ces trois leviers psychologiques.

L’urgence

« Vous avez 10 minutes ! »

« Compte bloqué », « dernier rappel », « colis retourné aujourd’hui » : l’urgence vise à court-circuiter votre réflexion.

L’autorité

« Police, banque, Card Stop… »

L’appelant se dit de votre banque, de la police ou du support technique. Le numéro affiché peut être falsifié (spoofing).

Le code secret

« Donnez le code reçu par SMS »

On vous demande un code, un mot de passe, les données de votre carte ou d’installer une application. Personne de légitime ne demande cela.

Deux leviers à la fois = raccrochez ou supprimez immédiatement. Un code de confirmation ne se partage jamais : le donner, c’est signer.

02 —Les 7 règles d’or

  1. 01

    Un code de confirmation ne se partage jamais. Ni par téléphone, ni par SMS, ni « au support ». Un code sert à autoriser une opération : le donner, c’est signer.

  2. 02

    On raccroche, on rappelle soi-même. Au numéro officiel : dos de la carte bancaire ou site officiel tapé à la main.

  3. 03

    Jamais de lien cliqué dans un message non sollicité. On ouvre l’application ou le site officiel soi-même.

  4. 04

    Peur + pression = arnaque. Une administration ou une banque belge ne menace jamais par téléphone et laisse toujours le temps de vérifier.

  5. 05

    Ni la banque, ni Card Stop, ni la police. Personne ne demande codes, mots de passe ou transferts vers un « compte sécurisé » — il n’existe pas.

  6. 06

    Mot de passe unique + double authentification. Sur chaque compte important : e-mail d’abord, banque, itsme, messageries.

  7. 07

    Vérifier par un autre canal. « Nouveau numéro » d’un proche ? Rappelez l’ancien numéro. Convenez d’un mot de passe familial secret.

03 —Hygiène numérique quotidienne

Mots de passe & accès

  • 12 caractères minimum, uniques pour chaque compte — utilisez un gestionnaire de mots de passe.
  • Double authentification partout : e-mail, banque, itsme, CSAM, messageries, réseaux sociaux.
  • Vérifiez régulièrement les sessions actives et déconnectez les appareils inconnus.
  • Le compte e-mail principal est la clé de tout le reste : protégez-le en priorité.

Appareils & logiciels

  • Mises à jour immédiates du système, du navigateur et des applications.
  • Applications uniquement depuis les magasins officiels — un fichier .apk reçu par messagerie n’est pas une photo.
  • Sauvegardes régulières : votre assurance contre les rançongiciels.
  • Verrouillage d’écran et chiffrement activés ; codes PIN distincts pour le téléphone et la carte SIM.

Données personnelles

  • Minimisez votre empreinte : pas de documents, d’adresse ou de géolocalisation en temps réel sur les réseaux sociaux.
  • Créez une adresse e-mail secondaire pour les boutiques et inscriptions.
  • Le RGPD vous donne le droit de demander la suppression de vos données auprès de tout site européen.

Réseaux & navigation

  • Wi-Fi public : jamais d’opération bancaire.
  • Accédez à votre banque par vos favoris ou son application officielle — jamais via un lien reçu.
  • Vérifiez l’orthographe du domaine : un caractère change tout.
  • Installez l’application Safeonweb : alertes officielles belges sur les campagnes en cours.

04 —E-mails : reconnaître le phishing

Anatomie d’un e-mail piégé

  1. 01
    Domaine exotique

    .top, .xyz… L’affichage « bpost » ne prouve rien : seul le domaine réel compte.

  2. 02
    Urgence + menace

    « Dernier avis », « dans les 24 heures » : levier de panique.

  3. 03
    Petit montant crédible

    2,99 € : le but est votre carte, pas la somme.

  4. 04
    Lien réel ≠ lien affiché

    Survolez ou appui long : le vrai domaine apparaît.

  5. 05
    Pièce jointe piégée

    .html, .zip, .iso, macros Office : ne pas ouvrir.

L’IA a changé la donne : plus de fautes grossières. Un français parfait, un logo correct et votre nom ne prouvent plus rien — seuls comptent le domaine réel, le lien réel et la nature de la demande.

Les bons réflexes

  • Ne cliquez pas : ouvrez vous-même le site ou l’application officielle pour vérifier si l’action existe vraiment.
  • Une organisation légitime ne demande jamais mot de passe, code PIN ou code à usage unique par e-mail ou téléphone.
  • Doute sur un « collègue » ou un « fournisseur » qui change de compte bancaire ? Vérifiez par téléphone au numéro connu.
  • Transférez le message à suspect@safeonweb.be puis supprimez-le : votre signalement fait bloquer les sites frauduleux.
  • Sur smartphone, les liens sont masqués : en cas de doute, revérifiez sur un ordinateur.

Si vous avez cliqué ou répondu

  • Données de carte communiquées → Card Stop 078 170 170 immédiatement, puis prévenez votre banque.
  • Mot de passe saisi → changez-le partout où il est réutilisé, e-mail d’abord ; fermez toutes les sessions ; activez la double authentification.
  • Pièce jointe ouverte → antivirus complet ; en cas de doute, ne plus utiliser l’appareil pour la banque.
  • Argent débité → banque + plainte à la police locale : les paiements non autorisés doivent en principe être remboursés (franchise max. 50 €).

05 —Messageries & arnaques téléphoniques

Réglages indispensables (5 minutes)

  • Vérification en deux étapes sur WhatsApp et Telegram : c’est LA protection contre le vol de compte.
  • Masquez votre numéro, votre photo de profil et le « vu à » pour les inconnus.
  • Interdisez l’ajout automatique aux groupes par des inconnus.
  • Contrôlez la liste des appareils connectés et fermez les sessions inconnues.

Pièges classiques

  • « Mon code SMS est arrivé chez toi par erreur, renvoie-le » → vol de compte instantané. Un code ne se transfère jamais.
  • « Maman/Papa, c’est mon nouveau numéro » + demande d’argent urgente : rappelez l’ancien numéro.
  • QR codes (« quishing ») : scannez uniquement avec la fonction interne du messager et lisez l’avertissement affiché.
  • Fichier « Photo » ou « Invitation » en .apk : un programme de prise de contrôle, pas une image.
  • Deepfakes vocaux : quelques secondes d’audio suffisent à imiter une voix. Convenez d’un mot code familial secret.

Les schémas courants au téléphone

N°1

Le faux appel de la banque / Card Stop

« Transaction suspecte, confirmez vos codes », puis transfert vers un « compte sécurisé »… qui est celui du voleur.

N°2

Le faux policier

« Collaborez à l’enquête, n’en parlez à personne. » La police ne mène aucune enquête financière par téléphone.

N°3

Le colis / la livraison

Frais de douane, code à donner au « livreur » : le code demandé ouvre en réalité votre compte.

N°4

Le faux support technique

« Un virus détecté », puis installation d’un outil de prise en main à distance. N’installez jamais un logiciel à la demande d’un appelant.

N°5

Le proche en détresse

« J’ai eu un accident » — parfois avec la vraie voix clonée. Raccrochez et rappelez le numéro habituel.

N°6

Le faux investissement

Rendements garantis, « conseiller » attitré ; pour « retirer », des taxes sans fin. Vérifiez toute plateforme sur les listes d’alerte de la FSMA.

N°7

La mise en scène à étapes

Plusieurs appels successifs qui se « confirment » l’un l’autre. Les vraies administrations ne fonctionnent pas ainsi.

N°8

SIM swap et divers

Perte soudaine de réseau mobile sans raison ? Contactez votre opérateur : votre carte SIM a peut-être été dupliquée.

Un appel inattendu arrive

01

Il parle d’argent, de codes, d’urgence ?

Ou d’une application à installer ? Chaque minute de conversation donne des informations et un échantillon de votre voix.

02

Raccrochez

Sans excuse, sans débat. Raccrocher n’est pas impoli : c’est la réponse recommandée par la Police Fédérale et Safeonweb.

03

Vérifiez vous-même

Au numéro officiel : dos de la carte, site tapé à la main. Ne rappelez jamais le numéro donné par l’appelant.

Avec les proches vulnérables, instaurez la règle : « tout appel qui parle d’argent → on raccroche et on m’appelle d’abord ». Cette seule règle neutralise la plupart des schémas.

06 —Victime ou tentative ? Plan d’action

  1. 01

    Bloquez. Cartes → Card Stop 078 170 170 (24h/24) ; accès bancaire via votre banque ; document d’identité perdu ou utilisé → Doc Stop 00800 2123 2123.

  2. 02

    Documentez. Captures d’écran, numéros, e-mails, extraits de compte, heures des appels.

  3. 03

    Contestez. Auprès de votre banque toute opération non autorisée, par écrit et sans délai ; litige non résolu → médiateur Ombudsfin.

  4. 04

    Portez plainte. À la police locale — indispensable pour le remboursement et l’enquête. Certains faits se déclarent en ligne via Police-on-web.

  5. 05

    Signalez. Message frauduleux → suspect@safeonweb.be ; pratique commerciale trompeuse → SPF Économie ; fraude à l’investissement → FSMA.

  6. 06

    Nettoyez. Mots de passe changés (e-mail d’abord), sessions fermées, double authentification activée, appareil scanné, opérateur prévenu si la carte SIM est compromise.

Sources : Safeonweb / Centre pour la Cybersécurité Belgique, SPF Économie, Police Fédérale, FSMA — 2026.