Ce matin-là, un email arrive dans ma boîte : Meta m’avertit d’une violation de droits d’auteur sur mon compte publicitaire. Mon compte sera suspendu dans 48 heures si je ne soumets pas un formulaire d’appel. J’ai failli cliquer. J’ai cliqué sur le lien. Mais je n’ai pas validé le formulaire, et c’est ce qui a tout changé. Voici ce que j’ai appris, pour que vous ne fassiez pas la même erreur.

Ce que j’ai reçu

L’email semblait parfaitement crédible. Logo Facebook, couleurs bleues de Meta, mise en page professionnelle. Le message était urgent : mon compte publicitaire associé à ma page Leavo RH avait été signalé pour utilisation de contenus protégés par des tiers. Un timer indiquait 48 heures avant suspension définitive.

Un code d’appel était affiché (« ne le partagez jamais en dehors des pages officielles Meta ») et un bouton bleu invitait à ouvrir le formulaire d’appel.

🔍 Indice n°1 : L’email avait été classé SPAM automatiquement. Mon serveur de messagerie avait ajouté le tag [SPAM] dans l’objet. C’est le premier signal que j’aurais dû voir. Les filtres anti-spam sont entraînés à reconnaître ces patterns.

J’ai ouvert le lien. La page imitait parfaitement l’interface Meta Business. C’est là que j’ai remarqué quelque chose d’essentiel : l’URL dans la barre du navigateur.

🔍 Indice n°2 : L’adresse était : navex-lirvo-biz-tapru-zxcd22526r-glanex-pages.dev. Pas facebook.com. Pas meta.com. Un domaine aléatoire généré pour tromper.

Meta ne vous contactera jamais via un domaine .dev inconnu. Jamais.

Comment fonctionne cette arnaque

Ce type d’attaque s’appelle du phishing (en français : hameçonnage). Le principe est simple : créer une panique artificielle pour vous pousser à agir vite, sans réfléchir.

Étape 1 : L’appât

Un email imitant Meta arrive, souvent ciblé sur des pages d’entreprises actives. Les escrocs récupèrent les adresses email depuis les pages Facebook publiques ou des fuites de données. Ils choisissent intentionnellement des propriétaires de pages récentes, plus susceptibles d’être inquiets.

Étape 2 : L’urgence artificielle

Le compte-à-rebours de 48 heures, les mentions « suspension définitive », les codes d’appel confidentiels : tout est conçu pour court-circuiter votre jugement. La peur vous pousse à agir avant de vérifier.

Étape 3 : La fausse page

Le lien mène vers une page qui copie l’interface Meta pixel pour pixel. Si vous saisissez vos identifiants pour « vous connecter afin de soumettre l’appel », vous les transmettez directement aux escrocs.

Étape 4 : La prise de contrôle

En quelques minutes, les pirates se connectent à votre vrai compte Facebook, changent le mot de passe, retirent votre accès, et utilisent votre page et votre compte pub pour leurs propres arnaques, ou la revendent.

⚠️ Ce qui se passe si vous validez le formulaire :

• Vos identifiants Facebook sont volés en temps réel
• Votre page peut être prise en otage ou supprimée
• Votre compte pub peut servir à diffuser de fausses publicités
• Des centaines de milliers de FCFA peuvent être dépensés sans votre accord
• Récupérer l’accès peut prendre des semaines, voire être impossible

Comment reconnaître ces arnaques

Voici les signaux d’alerte à vérifier systématiquement avant de cliquer sur quoi que ce soit :

1. Vérifiez l’adresse email de l’expéditeur. Les emails légitimes de Meta viennent de @facebookmail.com ou @metamail.com. Tout autre domaine est suspect.
2. Passez la souris sur le lien AVANT de cliquer. Regardez l’URL qui s’affiche en bas de votre navigateur. Si ce n’est pas facebook.com ou meta.com, ne cliquez pas.
3. Ouvrez un nouvel onglet et connectez-vous directement. Allez sur business.facebook.com vous-même, sans passer par le lien du mail. Si votre compte a un vrai problème, vous le verrez là.
4. Méfiez-vous de l’urgence extrême. « 48 heures », « suspension définitive », « action immédiate requise » : ce sont des techniques de manipulation classiques. Prenez toujours 5 minutes pour vérifier.
5. Regardez si l’email a été marqué SPAM. Votre messagerie a souvent raison. C’est un premier filtre précieux.

J’ai ouvert le lien. Que faire maintenant ?

Ouvrir le lien sans soumettre le formulaire présente un risque limité, mais il faut agir rapidement par précaution.

⚡ Actions immédiates si vous avez cliqué :

1. Changez votre mot de passe Facebook immédiatement. Paramètres, puis Sécurité et connexion, puis Changer le mot de passe.
2. Activez la double authentification (2FA). Même section. C’est la protection la plus efficace.
3. Vérifiez les sessions actives. Rubrique « Où vous êtes connecté » : déconnectez toute session inconnue.
4. Vérifiez les administrateurs de votre page. Paramètres de la page, puis Accès à la page : aucun inconnu ne doit figurer.
5. Videz le cache de votre navigateur et lancez un scan antivirus si disponible.

Les bonnes pratiques pour protéger votre page durablement

✅ Checklist de sécurité pour entrepreneurs :

• Mot de passe long et unique pour Facebook (jamais réutilisé ailleurs)
• Double authentification (2FA) activée : obligatoire
• Adresse email de récupération sécurisée et à jour
• Vérification régulière des administrateurs de votre page et Business Manager
• Ne jamais cliquer sur un lien reçu par email pour se connecter à Facebook
• Signaler tout email suspect à phish@fb.com

Un mot aux entrepreneurs d’Afrique francophone

Ces arnaques ciblent de plus en plus les PME et entrepreneurs africains qui développent leur présence digitale. Nos pages grandissent, nos comptes publicitaires sont actifs : nous devenons des cibles de choix. Les escrocs le savent.

Chez Leavo RH, nous construisons des outils numériques pour les entreprises africaines. La sécurité numérique fait partie de ce voyage. Partager ce type d’information, y compris nos propres erreurs, c’est contribuer à un écosystème digital plus sain pour tout le monde.

La meilleure défense contre le phishing, c’est de savoir qu’il existe, et de s’arrêter une seconde avant de cliquer.

Partagez cet article à un entrepreneur de votre entourage. Une lecture de trois minutes peut lui éviter des semaines de galère.