Le phishing à l’ancienne : des lettres trompeuses dans nos boîtes aux lettres
Depuis des années, nous avons appris à aborder avec méfiance les emails promettant des remboursements inattendus, les SMS nous demandant de mettre à jour nos comptes, ou les messages WhatsApp qui créent une urgence excessive. Le phishing est ancré dans notre esprit comme quelque chose de numérique, lié à un lien douteux ou à un site Web imitant celui de notre banque. Cependant, cette vision devient insuffisante. La même logique de tromperie peut maintenant s’introduire chez nous, matérialisée sous la forme d’une lettre dans une enveloppe avec une apparence officielle.
La tromperie en papier : une nouvelle forme de phishing
Un exemple frappant a été partagé par Inés Zuriaga del Castillo sur LinkedIn. Elle a reçu chez elle une lettre prétendument envoyée par Ledger, une entreprise célèbre pour ses portefeuilles matériels destinés à la sauvegarde des cryptomonnaies. Le contenu de l’enveloppe incluait un papier avec un en-tête officiel et une instruction pour scanner un QR code afin de mettre à jour le dispositif et de transmettre une phrase de récupération. Ce dernier point doit immédiatement alerter : la phrase de récupération ne doit jamais être partagée.
Des alertes de sécurité de Ledger
Ledger a également mis en garde contre ces types d’escroqueries sur sa page de support. La société décrit une lettre se présentant comme un avis de “vérification de sécurité”, demandant aux utilisateurs de scanner un QR code pour entrer leur phrase de récupération, soi-disant pour éviter des problèmes de sécurité. Leur recommandation est claire : ne pas scanner ces codes, ne pas visiter de liens et ne jamais partager les 24 mots de récupération. Ne pas respecter cette consigne pourrait permettre à un attaquant de prendre le contrôle de votre portefeuille et de déplacer vos fonds.
Le phishing ne concerne pas seulement les cryptomonnaies
Cette problématique ne se limite pas au secteur des cryptomonnaies. Par exemple, la Sécurité sociale en Espagne a détecté des campagnes d’envoi de lettres frauduleuses ciblant des bénéficiaires de prestations sociales où des informations personnelles comme le DNI (carte d’identité) ou des relevés bancaires étaient demandées. Le prétexte avancé était la perte de données due à une prétendue cyberattaque, nécessitant l’envoi d’informations pour le versement de sommes dues à ces bénéficiaires. Il est essentiel de rappeler que la sécurité sociale ne demandera jamais d’envoyer des documents par email.
Une méthode d’escroquerie répétitive
Les deux exemples précités montrent la même structure sous-jacente, bien qu’ils ciblent des publics différents. Dans le cas de Ledger, le piège repose sur la phrase de récupération d’une wallet, tandis que dans le cas de la Sécurité sociale, la pression est mise sur des prestations financières. La terminologie, les institutions impliquées et le type d’informations demandées changent, mais l’essentiel reste identique : créer une communication suffisamment convaincante pour inciter la victime à agir sans vérifier.
La provenance des données personnelles
Une question se pose : comment ces lettres parviennent-elles à des adresses spécifiques ? La vérité est que les données personnelles peuvent être exposées à la suite de failles de sécurité dans des entreprises ou des administrations, même si l’utilisateur protège raisonnablement ses informations avec des mots de passe robustes ou des vérifications à deux facteurs. En 2025, l’AEPD a enregistré 2 765 notifications de violations de données personnelles, souvent liées à des ransomware et des intrusions de grande envergure.
Attention aux communications urgentes
Une règle simple s’applique aussi bien au phishing numérique qu’à ce phishing sur papier : plus une communication nous pousse à agir rapidement, plus nous devons ralentir notre réaction. Une lettre demandant des données sensibles doit déclencher des alarmes. Il est recommandé de ne pas scanner le QR code par habitude, de ne pas répondre au mail proposé, et de ne pas appeler le numéro de contact figurant sur la communication. La meilleure approche est de vérifier par nous-mêmes, en consultant le site officiel ou en utilisant des canaux reconnus. Bien que cela demande plus d’efforts, cela permet de déjouer les pièges.
Conclusion : Rester vigilant
Finalement, le format importe peu. Cela peut être un email, un SMS, un message WhatsApp, ou une lettre officielle. Ce qui change, c’est le contexte, pas l’intention : celle de nous amener à faire confiance et à divulguer des informations qui pourraient ensuite être utilisées contre nous. Ces cas nous rappellent que la sécurité débute non pas lorsque nous déceler une fausse page web, mais bien avant : dans la décision de ne pas croire aveuglément à une communication, même si elle semble légitime.