Faux SMS Uber, fausses notifications préfecture, fausses pages de connexion plateforme : les chauffeurs VTC sont devenus une cible privilégiée des escrocs en 2026. Les techniques, les signaux d'alerte, les bons réflexes en cas de doute.
Trois caractéristiques font des conducteurs T3P une cible idéale pour les escrocs :
Selon le rapport 2025 de Cybermalveillance.gouv.fr, les signalements de phishing visant explicitement les T3P (taxis et VTC confondus) ont progressé de 142 % entre 2023 et 2025. La tendance se confirme au premier trimestre 2026.
1. Faux SMS Uber « votre compte est suspendu, cliquez ici pour réactiver ». Lien vers une fausse page de connexion qui capture identifiants et mot de passe.
2. Faux email « préfecture » sur la carte pro VTC. Demande de paiement de 27 € pour « éviter la suspension de la carte ». Les vrais paiements préfecture ne se font jamais par lien email.
3. Appel téléphonique « du support Bolt ». L'escroc explique qu'un client a contesté la course et demande les identifiants pour « rembourser le client ». Bolt ne demande jamais le mot de passe par téléphone.
4. Faux remboursement Urssaf. Email qui annonce un remboursement de cotisations sur compte bancaire, avec demande de RIB et de copie de pièce d'identité.
5. Faux email « offre de partenariat ». Hôtel ou agence VIP qui propose un contrat alléchant, avec demande d'avance ou d'envoi de documents personnels.
Urgence artificielle. « Votre compte sera désactivé dans 24h », « action requise immédiatement ». Les vraies plateformes laissent toujours au moins 7 jours de préavis depuis la directive européenne 2024/2831 (voir notre article dédié).
Lien suspect. URL qui ressemble vaguement mais pas exactement à l'officielle : uber-driver-paris.fr, uber-support.com, bolt-recovery.fr. Toujours vérifier le domaine exact : uber.com, bolt.eu, heetch.com.
Faute d'orthographe ou de syntaxe. Les services officiels relisent leurs communications. Une faute évidente, une formule étrange : signal fort.
Demande de mot de passe. Aucune plateforme légitime, aucune administration ne demande votre mot de passe par téléphone, SMS ou email. Aucune exception.
Demande de coordonnées bancaires complètes. Numéro carte + cryptogramme + code SMS : c'est une tentative de vol direct. Pour un remboursement légitime, l'IBAN seul suffit.
Pression au-delà de l'argumentation. « Si vous ne le faites pas, vous perdrez X € » répété sans laisser le temps de réfléchir.
Survoler le lien sans cliquer. Sur ordinateur, l'URL réelle s'affiche en bas de l'écran. Sur mobile, presser longuement le lien pour voir l'aperçu.
Comparer avec l'app officielle. Si Uber prétend vous écrire, vérifier dans l'app Uber Driver, onglet « Notifications ». Si le message n'y est pas, c'est faux.
Appeler le support officiel depuis un numéro trouvé dans l'app (pas dans le SMS suspect). Le support Uber, Bolt et Heetch confirme ou infirme en quelques minutes.
Vérifier l'expéditeur en clair. Sur ordinateur, ouvrir les détails de l'email (clic sur le triangle déroulant). Adresse envoyeur réelle visible : noreply@uber.com vs notification@uber-driver-fr-support.net.
Étape 1 : changer immédiatement les mots de passe de la plateforme concernée + email + banque. Privilégier un mot de passe long (16+ caractères) unique.
Étape 2 : activer l'authentification à deux facteurs (2FA) partout où c'est possible. SMS ou app Authenticator (Google Authenticator, Microsoft Authenticator).
Étape 3 : contacter sa banque pour faire opposition aux moyens de paiement si compromis. Délais de remboursement plus longs si la victime « a donné » ses identifiants (cf. directive PSD2).
Étape 4 : signaler officiellement via :
internet-signalement.gouv.fr. Délai de réponse : 48-72h.Étape 5 : déposer plainte au commissariat pour usurpation d'identité (Code pénal, article 226-4-1, jusqu'à 1 an de prison et 15 000 € pour l'auteur). Indispensable pour faire jouer une assurance ou contester un débit.
Un mot de passe unique par service. Un gestionnaire de mots de passe (Bitwarden gratuit, 1Password) simplifie la vie.
2FA activée systématiquement sur Uber Driver, Bolt Driver, Heetch Driver, email principal, banque.
Vérifier mensuellement les connexions actives dans les paramètres de chaque app. Onglet « Sécurité » ou « Sessions ».
Pas de partage d'écran ou de captures d'identifiants sur les groupes WhatsApp ou Telegram. Même si l'intention est de demander de l'aide.
Mise à jour de l'app et du système d'exploitation dès qu'elles sortent. Les failles connues sont la première porte d'entrée des pirates.
Une variante en hausse : un SMS « Préfecture de [votre département] - votre carte professionnelle VTC arrive à expiration. Cliquez pour régulariser : [lien] ».
À retenir absolument :
timbres.impots.gouv.fr ou en bureau de tabac, jamais par lien direct.Voir notre guide complet sur la carte pro VTC pour les vraies procédures.
L'article 226-4-1 du Code pénal punit l'usurpation d'identité numérique de 1 an de prison et 15 000 € d'amende. Effets utiles pour la victime :
Pour les pertes financières directes, l'assurance « protection juridique cyber » (option 5-10 €/mois sur la plupart des contrats VTC) couvre les frais d'avocat et expertise.
L'arnaque est moins technique qu'on l'imagine. Elle joue sur l'urgence, la fatigue et la confiance. Trente secondes de vérification (URL exacte, appel direct au support) suffisent à déjouer 95 % des tentatives. Le coût d'inaction, lui, peut atteindre plusieurs milliers d'euros et plusieurs semaines de procédure.
À lire aussi
