Des chercheurs de Bitdefender Labs ont cartographié un réseau de fraude à l'investissement actif dans 25 pays, diffusé via Meta Ads. 310 campagnes, plus de 26 000 occurrences publicitaires et 15 langues : l'opération est modulaire, industrialisée et pensée pour contourner la modération automatisée.
La France figure parmi les quatre pays les plus ciblés, aux côtés de la Pologne, de l'Italie et de l'Espagne. Ces publicités sponsorisées s'appuient sur une infrastructure conçue pour tromper aussi bien les internautes que les algorithmes de vérification de Meta.
Quand une pub Facebook ressemble à un article de presse
Tout commence par une annonce qui ne ressemble pas à une publicité. L'internaute voit passer dans son fil Facebook ce qui semble être un article de France 5 ou du Figaro : une révélation choc d'un banquier sur un plateau TV, le testament d'une célébrité, ou un scandale politique. Le titre accroche. La personne clique.
L'internaute atterrit alors sur une page qui imite visuellement un vrai média. L'article "révèle" une méthode d'investissement exclusive, présentée comme celle que les banques ne veulent pas que vous connaissiez. Ils mettent en scène des personnes traditionnellement médiatisées dans chacun des pays cibles. En France, ces articles fictifs parlent par exemple de Bruno Le Maire, Christine Lagarde, Élise Lucet, Léa Salamé ou Caroline Roux. Pour "en savoir plus" ou "réserver une place", un simple formulaire suffit : nom, prénom, numéro de téléphone. Rien d'alarmant en apparence.
Mais l'arnaque commence à basculer dans le réel. Un "conseiller financier" rappelle la victime dans les heures qui suivent. Il prend le temps d'instaurer une relation de confiance, puis l'incite à déposer une première somme modeste sur une soi-disant plateforme de trading. Un tableau de bord affiche rapidement de beaux profits fictifs. La victime est encouragée à investir davantage. Mais bien entendu, lorsqu'elle tente de retirer son argent, c'est impossible.
Comment ces scams passent les filtres de détection
Ce qui singularise cette opération, c'est l'ingénierie déployée pour passer entre les mailles des contrôles automatisés. Les publicités affichaient des URL légitimes en aperçu, parfois google.com lui-même. Mais le clic redirigeait vers une page frauduleuse. Pour les systèmes de modération, l'annonce semblait propre ; le domaine de confiance servait de bouclier.
Les experts de Bitdefender ont observé d'autres méthodes comme la substitution de lettres latines par des caractères cyrilliques visuellement identiques. Pour l'utilisateur, rien ne change. Pour un filtre automatisé, le mot-clé banni n'existe plus. En Italie, les opérateurs ont utilisé des sites de vrais restaurants florentins comme URL de couverture. Et puis il y a les noms de domaines imitant ceux des médias nationaux - un faux "Blick" suisse, un faux "Le Soir" belge, un faux "Onet.pl" polonais.
Les métadonnées des campagnes contiennent des termes en russe et en ukrainien, propres au jargon du marketing d'affiliation : "leads", "créatif", "handle". Pour Bitdefender il ne s'agit pas d'une campagne étatique mais d'un réseau cybercriminel à but lucratif, structuré en modèle de franchise. Ces révélations font écho à ce que nous rapportions en novembre 2025, dans "Meta (Facebook) gagnerait des milliards grâce aux scams" : la plateforme générerait quelque 7 milliards de dollars par an via des publicités "à risque élevé", et en diffuserait 15 milliards chaque jour.
