Un e-mail frauduleux signé « VINCI » réclame 6,80 € aux utilisateurs du badge Ulys. Le message invoque un prélèvement de péage en échec et presse de payer. Ulys a porté plainte contre X.
Sept millions d'automobilistes roulent avec un badge Ulys. À quelques jours de la Pentecôte, avec de nombreux trajets effectués sur autouroute, pour le long week-end, il va en passer, des badges ! Alors attention aux arnaques, dont celle que révèle notre confrère RMC Conso.
La rédaction a reçu cet e-mail mardi matin. Dans l'objet, une « relance avant fin de votre badge télépéage ». Dans le corps, une erreur de paiement. Comme expéditeur, on lit noreply@vashiagency.com, sans aucun lien avec l'opérateur. Logo orange, onglets « Mon espace client » et « Mes factures », mention « © Ulys - Vinci Autoroutes » : les escrocs ont tout recopié. Mais ne sont pas si malins qu'on croit, et heureusement. Car comme la récente arnaque au paiement refusé similaire envoyée cette fois par SMS, quelques détails montrent que les hackers se sont plantés sur toute la ligne.
Les escrocs imitent Ulys et réclament une somme dérisoire
« Votre badge Ulys a bien été détecté, mais le prélèvement automatique a échoué. », peut-on lire dans le cœur du message. Un bouton invite à régulariser 6,80 €. Sinon ? Des « frais de retard », menace le texte. Les escrocs misent sur la panique pour vous faire payer avant que vous ne vérifiiez quoi que ce soit.
D'après RMC Conso, Ulys a porté plainte contre X et dément toute fuite de ses propres données. Les véritables e-mails de l'opérateur se terminent toujours par un domaine officiel, du type @ulys.com ou @vinci-autoroutes.com. Pour les SMS, fiez-vous aux mentions « VINCI », « 36035 » ou « 36105 », jamais à un numéro en 06 ou 07. Et jamais l'entreprise ne vous demande vos données personnelles par ces canaux.
Quant à la somme précise de 6,80, c'est typiquement le prix d'un trajet ordinaire, assez bas pour qu'on paie sans se poser de question. Les escrocs gardent d'ailleurs ce même montant d'un e-mail à l'autre.
Un abonné au télépéage n'a jamais rien à régulariser
Avec un badge, on ne reçoit jamais de demande de régularisation après un passage. Sur une autoroute en flux libre, le compte de l'abonné subit un prélèvement automatique du tarif dû, et l'opération reste « transparente » pour lui, selon la réponse de l'administration à une question parlementaire. Bref, quand on possède un badge, on n'a rien de plus à payer. Le faux mail réclame quand même une régularisation, et se contredit dès sa première phrase.
Et le flux libre, justement, on le paie tout autrement. Sans badge, on règle sur le site de la Sanef pour l'A13 et l'A14, ou de l'Aliae pour l'A79. La gendarmerie le rappelle, le règlement ne transite jamais par Ulys. On peut aussi payer chez un buraliste affilié au réseau Nirio, sous 72 heures. De bout en bout, donc, le faux courriel se trompe de circuit.
Quant aux coordonnées, les escros les récupèrent dans des bases volées ailleurs. En mai 2025, Autosur a été victime d'une fuite de données de ses quelque 4 millions de clients. Dans certains messages, les fraudeurs affichent désormais votre nom complet, votre plaque et la marque de votre voiture, suffisemment de détails pour que n'importe qui baisse la garde.
À note que le phishing aux impayés de péage est remonté dans les nouveautés en 2025.
Mais à malin, malin et demi car il est totalement possible de déjouer les pièges et donc, éviter se faire avoir par ce genre de campagne malveillante.
D'abord, lisez l'adresse complète de l'expéditeur, pas seulement le nom affiché. Sur votre ordinateur, survolez-la avec la souris. Sur smartphone, appuyez longuement dessus pour la dérouler. Dès que la terminaison s'écarte des domaines officiels, vous tenez un faux.
Ne cliquez jamais sur le bouton du mail. Tapez plutôt vous-même espaceabonnes.vinci-autoroutes.com et regardez vos factures à la source. Si vous avez un badge, vous n'y verrez aucune somme en attente.
Méfiez-vous d'un ton pressant, d'une menace de frais de retard, d'une demande de carte bancaire en dehors d'un site bancaire sécurisé.
Enfin, pour signaler un e-mail suspect, écrivez à alerte.phishing.ulys@vinci-autoroutes.com. Pour un SMS douteux, transférez-le au 33700. Et si vous avez déjà donné vos coordonnées, appelez tout de suite votre banque pour faire opposition.
Source : RMC Conso
