Arnaque du code WhatsApp à 6 chiffres : comment un seul SMS peut faire voler votre compte

L'histoire commence toujours pareil : un contact dans votre WhatsApp — votre cousin, votre collègue, votre ami d'enfance — vous envoie un message paniqué. « Désolé, j'ai envoyé un code à 6 chiffres par erreur à ton numéro. Tu peux me le renvoyer ? »

Vous jetez un œil à vos SMS. Effectivement, un code de WhatsApp vient d'arriver. Il a l'air authentique. Votre ami semble gêné. Vous transférez le code.

Dans les cinq secondes qui suivent, vous venez de perdre votre compte WhatsApp au profit d'un inconnu. Et dès demain, cet inconnu utilisera votre identité pour faire la même arnaque à tous vos contacts.

C'est l'arnaque du code WhatsApp à 6 chiffres — et selon le rapport d'activité 2024 de Cybermalveillance.gouv.fr, les demandes d'assistance pour piratage de compte ont bondi de +47 % en 2024, avec plus de 430 000 consultations d'articles sur le sujet. C'est désormais l'une des trois menaces les plus traitées par l'agence.

À quoi ressemble le message

Il provient le plus souvent d'un numéro que vous connaissez — parce que l'attaquant a déjà pris le contrôle du compte d'un ami plus haut dans la chaîne. Quelques variantes typiques :

« Salut, j'ai envoyé un code par erreur à ton numéro, tu peux me le renvoyer ? C'est pour mon compte qui est bloqué »

« Wach 3andek SMS mn WhatsApp ? Sift liya code daba 3afak, m9ad la carte SIM »

« Tu as reçu un SMS avec un code de WhatsApp ? Envoie-le moi vite, j'en ai besoin pour réactiver mon compte »

Au même moment, un vrai SMS arrive sur votre téléphone :

« Votre code WhatsApp : 123-456. Vous pouvez aussi appuyer sur ce lien pour vérifier : v.whatsapp.com/123456. Ne partagez ce code avec personne. »

Cette dernière phrase — « Ne partagez ce code avec personne » — c'est WhatsApp qui vous dit exactement ce qui se passe. L'attaquant a entré votre numéro dans l'écran de connexion WhatsApp sur son téléphone. WhatsApp vous a envoyé le code pour confirmer que c'est bien vous. Si vous le donnez à l'attaquant, vous l'autorisez à se connecter à votre place. Votre compte bascule sur son téléphone. Votre session se termine.

Pourquoi ça marche — l'ingénierie sociale

Le génie de cette arnaque n'est pas technique, il est émotionnel :

1. Ça vient de quelqu'un que vous connaissez. Le compte précédent étant déjà piraté, le message arrive d'un vrai contact, avec un vrai historique de conversations.
2. Ça semble inoffensif. « J'ai envoyé un truc par erreur, tu peux me le rendre ? » ne déclenche pas votre alarme anti-arnaque. On ne vous demande pas d'argent, ni d'identifiant — juste un chiffre.
3. L'histoire est plausible. Carte SIM bloquée, téléphone perdu, double validation — tout cela arrive vraiment dans la vraie vie.
4. La pression est légère mais présente. « Vite, c'est pour mon compte » — assez doux pour ne pas vous alerter, assez urgent pour court-circuiter la prudence.
5. Le code est vrai. Parce qu'il est vrai. WhatsApp l'a effectivement envoyé. L'attaquant a juste déclenché la demande.

L'agence française classe cette technique comme vecteur n°1 de piratage de compte en 2024, les comptes piratés étant ensuite utilisés pour pousser des arnaques aux placements crypto à tous les contacts de la victime — une croissance de +109 % en 2024 selon le même rapport.

Cas réels

• France, 2024 : Le rapport d'activité 2024 de Cybermalveillance.gouv.fr détaille comment les attaquants se font passer pour un ami et demandent à la victime de transférer un code SMS « lié à une carte SIM bloquée ». L'agence en fait sa demande d'assistance n°1 des particuliers.
• Maroc, 2023-2024 : Médias24 documente une vague nationale de piratages WhatsApp. La DGSN a lancé en réponse la plateforme E-Blagh le 18 mai 2024 — un portail 24h/24 pour signaler la cybercriminalité, dont les arnaques WhatsApp.
• Belgique, 2024 : Belga News Agency chiffre à près de 50 millions d'euros les pertes liées au phishing (dont l'arnaque au code) en 2024 rien qu'en Belgique.
• Algérie : DNAlgérie rapporte qu'un géant des télécoms a dû mettre en garde ses clients algériens face à la même arnaque.

Les signaux à reconnaître

Si vous voyez un seul de ces éléments, traitez le message comme une arnaque par défaut :

• Un code SMS arrive sans que vous l'ayez demandé — vous n'avez essayé de vous connecter à rien
• Un contact vous demande de lui transférer un code « reçu par erreur »
• La raison invoquée évoque un téléphone perdu, une carte SIM bloquée, un compte expiré
• Le contact insiste pour faire ça sur WhatsApp, pas vous appeler ni vous voir en personne
• Quelque chose sonne légèrement faux — tournure de phrase inhabituelle, ton plus formel ou plus relâché que d'habitude, pas d'anecdote privée

La seule règle absolue, sans exception : aucun vrai contact n'a jamais besoin d'un code de vérification envoyé sur votre téléphone. Les codes que WhatsApp envoie à votre numéro sont conçus exclusivement pour vous, sur votre appareil. Il n'existe aucun scénario où transférer un code aide quelqu'un d'autre.

Que faire si vous recevez ce message

1. Ne transférez pas le code. Point. Même si le contact est votre mère, votre patron ou votre meilleur ami — le code reste sur votre téléphone.
2. Appelez le contact sur son vrai numéro (pas via WhatsApp). Vérifiez s'il a vraiment envoyé le message. 9 fois sur 10, son compte est déjà piraté.
3. Prévenez-le s'il ne le sait pas encore. Son compte a été volé et il doit le récupérer (voir ci-dessous).
4. Signalez le message en spam directement dans WhatsApp (appui long sur le message → Signaler).
5. Au Maroc, déclarez sur la plateforme officielle E-Blagh. En France, Cybermalveillance.gouv.fr propose un formulaire de signalement. En Belgique, safeonweb.be centralise les signalements.

Si vous avez déjà transféré le code (ne paniquez pas)

Vous avez quelques minutes avant que l'attaquant ne vous expulse complètement. Agissez vite :

1. Réinstallez WhatsApp sur votre téléphone et réinscrivez votre numéro. Le simple fait de vous re-vérifier déconnecte l'attaquant.
2. Activez immédiatement la vérification en deux étapes : Réglages → Compte → Vérification en deux étapes → Activer, et choisissez un code PIN à 6 chiffres. Désormais, même si l'attaquant retente, il lui faudra aussi ce PIN.
3. Ajoutez une adresse e-mail à la vérification en deux étapes pour pouvoir la récupérer.
4. Alertez tous vos contacts WhatsApp — envoyez un message en broadcast pour les prévenir que vous avez été piraté. Sinon, ils recevront la même arnaque de « votre » part.
5. Si de l'argent a été envoyé via votre compte ou demandé à vos contacts, déposez plainte immédiatement. En France : Pré-plainte en ligne. Au Maroc : commissariat le plus proche ou plateforme E-Blagh.

Activez la vérification en deux étapes maintenant — même si rien ne s'est passé

La vérification en deux étapes de WhatsApp est la seule défense vraiment efficace. Une fois activée :

• Toute personne qui tente d'inscrire votre numéro sur un nouvel appareil devra aussi taper un code PIN à 6 chiffres que vous seul connaissez
• Ce PIN n'est pas envoyé par SMS, donc même si vos SMS sont interceptés, l'attaquant est bloqué
• Cela prend 30 secondes à activer et ne vous dérange presque jamais ensuite

Réglages → Compte → Vérification en deux étapes → Activer. Faites-le maintenant. Si vous ne retenez qu'une chose de cet article, c'est ça.

Un second avis en 5 secondes

Si vous regardez un message en ce moment et que vous n'êtes pas sûr que c'est une arnaque, transférez-le à Digiscam sur WhatsApp ou collez-le dans la boîte de vérification de notre page d'accueil. Notre IA analyse le pattern en quelques secondes, avec les mêmes critères que les agences officielles — gratuit, anonyme, en français, anglais et arabe.

Ne transférez pas le code. Ne faites pas confiance au message. Vérifiez d'abord.

Sources : Cybermalveillance.gouv.fr — Rapport d'activité 2024 (PDF) · Belga News Agency — Pertes phishing Belgique 2024 · Médias24 — Lancement DGSN E-Blagh · DNAlgérie — Arnaque WhatsApp en Algérie