Un internaute a découvert sur Reddit un faux courrier de l'Assurance maladie qui demande de scanner un QR code. Pour que l'arnaque réussisse, la lettre menace le destinataire de suspendre son compte ameli sous 72 heures.
Une nouvelle escroquerie sévit dans les boîtes aux lettres françaises, et elle est à la fois physique et numérique. Un internaute bienveillant a expliqué ce week-end sur la plateforme communautaire Reddit avoir reçu un courrier frauduleux imitant plutôt bien l'Assurance maladie. La lettre exige une validation urgente de son identité via QR code. La caisse primaire d'assurance maladie (CPAM) de la Marne confirme qu'il s'agit d'une tentative de phishing sophistiquée distribuée dans des enveloppes blanches non affranchies, et ce dans plusieurs départements français.
Un faux courrier sophistiqué de l'Assurance maladie qui reprend presque tous les codes officiels
Le document frauduleux reçu par l'internaute multiplie les références administratives pour paraître authentique. On y retrouve le logo à jour de l'Assurance maladie, des numéros de dossier fictifs et même les mentions répétées du « service sécurité des comptes ». Il n'y a pas de faute d'orthographe, l'IA étant peut-être passée par-là, et les escrocs évoquent une « nouvelle procédure de sécurisation » pour justifier leur demande inhabituelle. Tous ces détails pseudo-officiels visent à endormir la méfiance des destinataires.
Au cœur du piège trône un QR code présenté comme « officiel d'accès sécurisé » et surtout « unique ». Les victimes doivent le scanner pour « valider leur identité » et « confirmer la mise à jour » de leur compte. Pour être un peu plus incitative encore, la missive est accompagnée d'une menace : sans action sous 72 heures, il y a une suspension temporaire du compte ameli et un blocage des remboursements.
Ce dernier détail peut interroger, puisque nul ne sait combien de temps peut mettre une lettre postale pour faire le chemin entre l'expéditeur et le destinataire, même si le délai d'acheminement postal avoisine généralement ces fameuses 72 heures. Mais les autres éléments sont là pour, nous le disions, endormir la personne qui reçoit le courrier.
Céleste Moreau, experte en cybersécurité citée par France 3, qui a relayé le post Reddit, explique que le « sentiment d'urgence » représente l'arme favorite des escrocs, et elle a totalement raison. Cette pression temporelle, renforcée par la crédibilité du courrier, empêche la réflexion et peut piéger même les personnes averties.
Les indices révélateurs pour démasquer cette fraude
La CPAM de la Marne, contactée par nos confrères, rappelle que ces courriers frauduleux arrivent dans des enveloppes blanches anonymes, déposées directement dans les boîtes aux lettres. Or, l'Assurance maladie envoie systématiquement des courriers affranchis et personnalisés avec nom, prénom et adresse du destinataire clairement indiqués en haut du document. On a ici une première limite.
Pour les assurés qui disposent d'un compte ameli, les communications officielles passent majoritairement par e-mail ou directement dans l'espace personnel sécurisé. L'organisme précise formellement que jamais il ne demande de réaliser une transaction ou une démarche – encore plus si liée à la sécurité du compte – via QR code, uniquement de consulter des informations.
Alors si vous recevez un courrier suspect de ce type, contactez directement votre CPAM par téléphone avant toute action. N'oubliez pas non plus que votre compte ameli dispose déjà d'un code secret personnel que jamais personne ne doit vous demander, sous aucun prétexte. Cette vigilance reste votre meilleure protection contre ces escroqueries qui prolifèrent.
