Chaque année, des millions de Français reçoivent un SMS frauduleux usurpant l’identité de l’Assurance Maladie. L’arnaque carte vitale SMS consiste à convaincre le destinataire qu’il doit renouveler sa carte vitale ou récupérer un remboursement, en cliquant sur un lien piégé. En 2022, pas moins de 2,5 millions de victimes ont été touchées par des escroqueries liées à la carte vitale en France. Ce phénomène représente 70 % des escroqueries par SMS signalées la même année. Face à cette menace qui s’intensifie depuis 2020, comprendre le mécanisme de ces arnaques et savoir les reconnaître devient une nécessité. Les sept conseils qui suivent vous donnent les outils concrets pour ne pas tomber dans le piège.
Comment fonctionne l’arnaque à la carte vitale par SMS
Le scénario est toujours sensiblement le même. Vous recevez un SMS qui semble provenir de l’Assurance Maladie ou de l’Ameli, vous informant que votre carte vitale est expirée, que vous avez droit à un remboursement en attente, ou qu’une nouvelle carte doit vous être envoyée. Le message contient un lien vers un site web qui imite à la perfection l’interface officielle d’Ameli. Une fois sur ce faux site, on vous demande vos données personnelles : nom, prénom, date de naissance, numéro de sécurité sociale, coordonnées bancaires.
Cette technique s’appelle le phishing — ou hameçonnage en français. Elle repose sur un principe simple : créer une urgence artificielle pour pousser la victime à agir vite, sans réfléchir. Les escrocs exploitent la confiance que les citoyens accordent aux organismes publics de santé. Le SMS peut parfois afficher un numéro d’expéditeur crédible, voire le nom « Ameli » directement dans le champ expéditeur, grâce à une technique appelée spoofing.
Les données collectées servent ensuite à plusieurs fins : usurpation d’identité, prélèvements bancaires frauduleux, revente sur des marchés illégaux du dark web. Certaines victimes ne découvrent la fraude que plusieurs semaines après, lorsqu’elles constatent des débits inexpliqués sur leur compte. L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) rappelle régulièrement que ces campagnes sont organisées par des réseaux criminels structurés, capables d’envoyer des millions de SMS en quelques heures.
L’intensification de ces arnaques coïncide avec la pandémie de COVID-19, période durant laquelle les Français ont massivement utilisé les services numériques de santé. Les fraudeurs ont profité de cette période de vulnérabilité et d’habitude des démarches en ligne pour multiplier leurs attaques. Aujourd’hui, ces campagnes perdurent et se sophistiquent, rendant les faux messages de plus en plus difficiles à distinguer des vrais.
Les signaux d’alerte qui trahissent un message suspect
Repérer un SMS frauduleux demande un regard attentif sur quelques détails révélateurs. Le premier réflexe est d’examiner le lien contenu dans le message. L’Assurance Maladie utilise exclusivement le domaine ameli.fr. Tout lien pointant vers une URL différente — avec des variantes comme ameli-carte.fr, ameli-renouvellement.com ou toute combinaison fantaisiste — est un signal d’alarme immédiat.
Le ton du message mérite aussi attention. Les organismes publics n’envoient jamais de SMS réclamant des informations bancaires ou un paiement par ce canal. Si le message crée une urgence exagérée (« Vous avez 48 heures pour agir », « Votre carte sera désactivée demain »), c’est une technique de manipulation classique. Les fautes d’orthographe, les formulations maladroites ou les tournures qui sonnent faux indiquent souvent une traduction automatique depuis une langue étrangère.
Vérifiez également le numéro d’expéditeur. Un numéro commençant par 06 ou 07 n’est jamais utilisé par l’Assurance Maladie pour ses communications officielles. Même si l’expéditeur affiche « Ameli », cela ne garantit rien : le spoofing permet d’usurper n’importe quel nom d’expéditeur. L’Assurance Maladie ne contacte ses assurés par SMS que pour des rappels de rendez-vous ou des informations générales, jamais pour demander une mise à jour de données personnelles.
Un autre indice : le message vous redirige vers un formulaire demandant votre numéro de sécurité sociale complet et vos coordonnées bancaires. Aucun organisme public légitime ne procède ainsi par SMS. Si vous avez un doute, connectez-vous directement sur ameli.fr en tapant l’adresse manuellement dans votre navigateur, sans jamais passer par un lien reçu par message.
Sept mesures concrètes pour se protéger efficacement
La protection contre ces arnaques repose sur des réflexes simples mais à adopter systématiquement. Voici les sept mesures à mettre en place :
- Ne jamais cliquer sur un lien reçu par SMS prétendant provenir de l’Assurance Maladie ou d’un organisme de santé : rendez-vous toujours directement sur le site officiel.
- Vérifier l’URL avant toute saisie : l’adresse doit commencer par https:// et le domaine doit être exactement ameli.fr.
- Ne jamais communiquer vos coordonnées bancaires par SMS, e-mail ou sur un site auquel vous avez accédé via un lien reçu.
- Activer les alertes bancaires sur votre compte pour détecter rapidement tout mouvement suspect.
- Signaler le SMS frauduleux au numéro 33700, service gratuit dédié à la lutte contre les SMS indésirables en France.
- Mettre à jour régulièrement votre smartphone et vos applications pour bénéficier des derniers correctifs de sécurité.
- Sensibiliser votre entourage, notamment les personnes âgées, plus souvent ciblées par ces campagnes de phishing.
Ces mesures valent pour tous les membres de la famille. Les personnes âgées sont particulièrement visées par les escrocs, car elles sont statistiquement moins familières avec les codes du numérique et plus enclines à faire confiance à un message qui semble officiel. Parler de ces arnaques autour de soi reste l’un des moyens les plus efficaces de limiter leur impact.
Sur le plan technique, l’ANSSI recommande d’utiliser un gestionnaire de mots de passe et d’activer la double authentification sur votre compte Ameli. Ces deux mesures rendent l’accès à votre espace personnel beaucoup plus difficile, même si vos identifiants venaient à être compromis. La double authentification envoie un code temporaire sur votre téléphone à chaque connexion, ajoutant une barrière supplémentaire contre les intrusions.
Que faire si vous avez déjà cliqué sur un lien suspect
Avoir cliqué sur un lien frauduleux ne signifie pas que tout est perdu, à condition de réagir vite. La première action est de ne saisir aucune donnée sur le site vers lequel vous avez été redirigé. Si vous avez simplement cliqué sans remplir de formulaire, le risque reste limité. En revanche, si vous avez transmis des informations personnelles ou bancaires, chaque minute compte.
Contactez immédiatement votre banque pour signaler la situation et faire opposition sur votre carte si nécessaire. Les établissements bancaires disposent de procédures d’urgence pour bloquer les transactions frauduleuses. Changez sans délai le mot de passe de votre compte Ameli ainsi que celui de votre messagerie électronique si vous avez utilisé les mêmes identifiants.
Déposez une plainte auprès de la police ou de la gendarmerie. Cette démarche est indispensable pour activer vos droits en cas de préjudice financier et pour alimenter les statistiques permettant aux autorités de traquer les réseaux criminels. Vous pouvez également signaler l’escroquerie sur la plateforme Pharos (plateforme de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), accessible sur internet-signalement.gouv.fr.
La DGCCRF (Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes) peut être saisie si vous avez subi un préjudice commercial. Conservez toutes les preuves : captures d’écran du SMS, du site frauduleux, des échanges éventuels. Ces éléments seront utiles pour votre dossier. Seul un professionnel du droit — avocat ou juriste spécialisé — peut vous conseiller sur les recours adaptés à votre situation personnelle.
Ce que la loi prévoit pour sanctionner ces fraudes
En droit français, les arnaques par SMS relèvent de plusieurs qualifications pénales. L’escroquerie, définie à l’article 313-1 du Code pénal, est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende. Lorsqu’elle est commise en bande organisée ou via un réseau de télécommunications, les peines peuvent atteindre sept ans de prison et 750 000 euros d’amende.
L’usurpation d’identité (article 226-4-1 du Code pénal) est également caractérisée lorsque les fraudeurs se font passer pour l’Assurance Maladie. Cette infraction est punie d’un an d’emprisonnement et de 15 000 euros d’amende. La collecte frauduleuse de données personnelles tombe quant à elle sous le coup du Règlement Général sur la Protection des Données (RGPD) et de la loi Informatique et Libertés, avec des sanctions pouvant atteindre 20 millions d’euros pour les organisations responsables.
Ces dispositions légales existent, mais leur application se heurte à la dimension souvent internationale des réseaux criminels impliqués. Les serveurs hébergeant les faux sites sont fréquemment localisés hors de France, compliquant les investigations. C’est pourquoi la prévention reste la ligne de défense la plus efficace.
Les victimes d’escroqueries peuvent se constituer partie civile dans le cadre d’une procédure pénale pour obtenir réparation du préjudice subi. Le montant moyen perdu par les victimes d’escroqueries en ligne atteindrait de l’ordre de 1,5 million d’euros cumulés par campagne en 2022, selon des données à prendre avec prudence compte tenu de la sous-déclaration massive de ces infractions. Signaler systématiquement ces arnaques reste un acte citoyen qui aide les autorités à mieux cartographier et combattre ces réseaux.