Arnaque « alerte Microsoft » : fonctionnement et comment réagir

Depuis 2010, des centaines de milliers d'internautes francophones ont composé un numéro affiché par un pop-up alarmiste annonçant une infection virale. Au bout du fil, un faux technicien Microsoft prend le contrôle de leur ordinateur et finit par leur dérober un numéro de carte de crédit. La rédaction décompose la mécanique exacte de cette fraude — qui continue de prospérer en 2026 — et documente pourquoi elle persiste.

L’arnaque dite du « faux support Microsoft » est l’une des plus anciennes fraudes informatiques grand public encore en activité. Elle est apparue autour de 2010, a connu un pic au milieu des années 2010, et continue en 2026 d’écumer les ordinateurs des francophones d’Amérique du Nord et d’Europe. La rédaction l’a documentée à plusieurs reprises depuis dix ans : à chaque fois que le grand public croit l’avoir oubliée, des centaines de nouveaux cas ressurgissent. Décomposons la mécanique, puis essayons de comprendre pourquoi elle ne s’éteint pas.

Le scénario, étape par étape

L’enchaînement est presque toujours le même. Un internaute navigue sur le web — souvent depuis un site de téléchargement, un site de streaming gratuit ou une publicité douteuse cliquée par mégarde. Soudain, l’écran se fige. Une page apparaît, en plein écran, avec un fond souvent rouge ou noir, des logos Microsoft, et un message au ton martial : votre ordinateur a été infecté par un virus, vos données personnelles sont compromises, vous devez immédiatement appeler le numéro affiché pour parler à un technicien certifié Microsoft.

Le numéro est généralement gratuit, en 1-800 au Canada ou en 0800 en France. Il n’a évidemment aucun lien avec Microsoft. À l’autre bout du fil se trouve un opérateur — souvent dans un centre d’appel en Inde, au Pakistan, ou plus récemment en Afrique de l’Ouest — qui répond avec un script préparé. Il vous demande votre prénom, votre numéro de téléphone, parfois votre adresse, exactement comme le ferait un véritable service après-vente.

Vient ensuite la phase qui scelle l’arnaque : le faux technicien explique qu’il doit prendre le contrôle de votre ordinateur à distance pour diagnostiquer l’infection. Il vous fait télécharger un logiciel — presque toujours AnyDesk ou TeamViewer. Ce sont de véritables outils, parfaitement légaux, utilisés tous les jours par des techniciens informatiques honnêtes. Mais entre les mains d’un fraudeur, ils donnent un accès complet à votre poste.

Une fois la connexion établie, deux scénarios se déploient. Soit l’opérateur exécute des actions volontairement nocives — fermer des services Windows, modifier des paramètres réseau, faire défiler des écrans noirs de la console cmd qui impressionnent par leur aspect technique — pour vous convaincre que votre machine est compromise. Soit il enchaîne directement sur la conclusion : votre antivirus n’est pas à jour, vous devez acquérir une licence d’une « protection efficace », il accepte les paiements par carte de crédit.

Le moment où tout bascule

Quand la victime communique son numéro de carte, l’opérateur le transmet à un complice qui se trouve dans la même salle. Ce complice se rend immédiatement sur des sites de e-commerce — Amazon, eBay, Walmart, Best Buy, parfois des sites de revente de cartes-cadeaux Apple ou Steam — et achète tout ce qu’il peut pendant que la victime reste au téléphone, distraite par le pseudo-technicien qui prétend installer son logiciel. Les achats portent sur des biens facilement revendables ou sur des cartes-cadeaux numériques quasi anonymes.

L’objectif est de vider la carte avant que la victime ne raccroche. Dans certains cas particulièrement cyniques, le faux technicien fait réellement acheter une licence d’antivirus — souvent un produit légitime, redistribué — pour donner un vernis de réalité à la transaction. La victime reçoit alors un courriel de confirmation d’un éditeur antivirus connu, ce qui retarde encore la prise de conscience.

L’appel se termine de l’une de ces deux manières. Soit la victime, à un moment, sent que quelque chose cloche — un courriel d’alerte de sa banque, un appel manqué, une intuition — raccroche et appelle son institution financière pour bloquer la carte. Soit l’opérateur, ayant épuisé la limite de la carte ou flairant la fin de l’utile, met fin à la conversation lui-même.

Capture d'écran sombre montrant un faux pop-up d'alerte Microsoft en français avec un numéro 1-800 affiché en gros, illustration documentaire d'une arnaque au support technique

Pourquoi cette arnaque a-t-elle quinze ans ?

Une fraude vieille de quinze ans qui résiste à des centaines d’articles, à des campagnes de prévention, à plusieurs démantèlements judiciaires médiatisés — comment l’expliquer ? Trois facteurs convergent.

Le bassin de victimes se renouvelle. Les internautes nés en 1955 qui ont 70 ans en 2026 n’avaient pas internet à 25 ans. Ils découvrent souvent l’informatique sur le tard, et sont moins exposés aux campagnes d’éducation numérique qui ciblent les jeunes générations. Chaque année, une nouvelle cohorte de retraités se met en ligne, et les fraudeurs ont là un public neuf à exploiter. Les victimes documentées par le Centre antifraude du Canada montrent une concentration nette dans la tranche 60-85 ans.

Le coût d’opération de l’arnaque est dérisoire. Un centre d’appel équipé de dix postes, dans un pays à bas coûts, peut traiter quelques centaines d’appels entrants par jour. Si seulement un appel sur vingt aboutit à une transaction de 200 dollars, le centre rembourse ses frais largement. Aucune connaissance technique poussée n’est requise — les scripts d’appel sont rédigés par des chefs d’équipe et appris en quelques jours. La barrière à l’entrée est minime. Cette économie de l’effort minimal se retrouve à l’identique dans le démantèlement d’un faux site bancaire en moins de 24 heures que la rédaction a documenté — l’asymétrie entre le coût de mise en place et la rentabilité explique la persistance de l’écosystème.

La régulation est inadaptée. L’arnaque combine trois maillons situés dans des juridictions différentes : la diffusion du pop-up (souvent via des régies publicitaires occidentales mal modérées), le centre d’appel (en Asie ou en Afrique), et la victime (en Amérique du Nord ou en Europe). Aucune autorité unique n’a compétence sur la chaîne complète. Le mécanisme rappelle celui que la rédaction a documenté dans son enquête sur les fausses publicités Facebook — la dispersion des responsabilités entre acteurs étant elle-même un produit de la fraude, pas un accident.

Les six signaux qui ne trompent pas

La rédaction a recensé six marqueurs qui suffisent, à eux seuls, à identifier une fraude au support technique avant le premier contact :

1. Le message apparaît dans une page web, pas dans une notification système. Une vraie alerte de Windows ou de macOS ne s’affiche jamais dans un navigateur. Si vous voyez le mot « Microsoft » dans une page Chrome, Edge ou Firefox accompagné d’un numéro de téléphone, c’est un faux à 100 %.

2. Un numéro de téléphone est affiché. Ni Microsoft, ni Apple, ni Google ne vous demandent de les appeler à froid. Aucun éditeur informatique ne fait passer son support par un numéro affiché dans un pop-up.

3. Le message contient des éléments d’urgence. « Immédiatement », « urgente », « ne fermez pas cette fenêtre », « risque de perte de données » : ces formulations sont le marqueur classique de la fraude par ingénierie sociale, conçues pour empêcher la réflexion.

4. Une voix synthétique parle en boucle. Beaucoup de pop-ups récents intègrent une bande sonore — voix robotique répétant l’alerte en boucle — pour amplifier l’angoisse de la victime. Aucun système d’exploitation légitime ne fait parler son écran.

5. Le pop-up bloque la fermeture du navigateur. Le faux site est conçu pour intercepter la touche Échap et le bouton de fermeture afin de retenir l’utilisateur. C’est un signal technique fort : aucune alerte légitime ne fait cela.

6. Le numéro est gratuit (1-800, 0800, 0808). Microsoft n’offre pas de support gratuit grand public par téléphone. Si quelqu’un vous offre un support « gratuit » de Microsoft sur un 1-800, c’est un revendeur tiers — au mieux honnête mais peu compétent, au pire un fraudeur.

Variantes 2026 : fausse alerte Apple, Google et CNIL

L’arnaque au faux support Microsoft a engendré plusieurs variantes utilisant le même scénario de pop-up alarmiste, mais changeant l’enseigne selon la cible.

Fausse alerte Apple. La variante cible les utilisateurs de Mac, iPhone et iPad. Le pop-up affiche le logo Apple et un message du type « Votre identifiant Apple a été compromis — appelez immédiatement le support Apple ». Les numéros proposés fonctionnent exactement de la même manière : un faux technicien demande l’accès à distance via des outils légitimes détournés.

Fausse alerte Google. Le même principe, avec les couleurs et le logo Google. Le message annonce que votre compte Gmail ou votre appareil Android a été piraté. Particulièrement crédible parce que Google est omniprésent dans l’usage quotidien — l’internaute vérifie moins sa légitimité.

Fausse alerte d’autorité administrative. Une variante sophistiquée usurpe l’identité de la CNIL en France, de la CRTC au Canada, ou d’autres organismes de régulation. Le pop-up annonce une infraction à la loi sur la vie privée ou un accès illégal à des contenus protégés, et invite à « régulariser » la situation en appelant un numéro imitant un numéro administratif officiel. Le ton autoritaire joue sur la peur de la sanction plutôt que sur l’urgence, mais la mécanique est identique.

Faux support d’opérateur télécom. Des variantes récentes imitent les services techniques de Bell, Rogers, Orange ou SFR, annonçant une interruption de service imminente ou une attaque sur la connexion internet de la victime. Ces pop-ups sont souvent déclenchés par des sites de téléchargement légaux qui monétisent leur trafic via des régies publicitaires peu regardantes.

La règle universelle s’applique à toutes ces variantes : ni Apple, ni Microsoft, ni Google, ni aucune autorité publique ne s’affiche dans une page web pour vous demander d’appeler un numéro. Le canal légitime d’un éditeur pour vous alerter sur votre compte est la notification système, l’email à votre adresse enregistrée, ou un SMS d’authentification. Jamais un pop-up web avec un numéro de téléphone affiché en gros.

La défense en pratique

Pour le grand public, la conduite à tenir tient en quatre règles simples :

Si un pop-up annonce une infection avec un numéro à appeler, fermer le navigateur sans cliquer. Raccourci clavier : Alt + F4 (Windows) ou Cmd + W (macOS). Ne jamais composer le numéro.
Ne jamais installer AnyDesk, TeamViewer ou tout logiciel de prise en main à distance à la demande d’un inconnu au téléphone. Si vous appelez vraiment un service technique légitime (Bell, Vidéotron, Apple Support officiel), c’est vous qui contactez le service via le canal officiel — pas l’inverse.
Si une carte de crédit a été communiquée, appeler la banque dans les minutes qui suivent la prise de conscience. Demander le blocage immédiat. Les banques canadiennes et françaises remboursent dans la grande majorité des cas, à condition que l’opposition soit faite rapidement.
Avoir une conversation préventive avec ses proches âgés. La meilleure défense est la connaissance préalable du scénario : une personne qui a déjà entendu décrire l’arnaque est presque toujours capable de la repérer en situation réelle. Notre guide pour vérifier la confidentialité d’un compte Instagram s’inscrit dans la même logique de prévention par l’éducation.

Photographie éditoriale d'un téléphone fixe à côté d'un ordinateur portable affichant une alerte rouge factice, ambiance bureau domestique, lumière froide

Ce que les hébergeurs et les régies publicitaires pourraient faire

L’écosystème publicitaire en ligne joue un rôle souvent sous-estimé dans la persistance de cette fraude. Les pop-ups frauduleux sont fréquemment servis via des régies publicitaires de second rang qui acceptent des annonceurs avec un contrôle minimal. Une publicité achetée sur ces régies peut rediriger vers une page d’arnaque sans que la régie ne le sache — ou ne veuille le savoir, parce que la commission a déjà été perçue.

Les grands acteurs (Google AdSense, Meta Ads) ont durci leurs filtres au fil des années, mais le trafic frauduleux migre simplement vers des régies plus petites et plus opaques. Tant que les sites grand public, particulièrement les sites de streaming gratuit et de téléchargement, accepteront de monétiser leur trafic via ces régies, le pop-up frauduleux aura un canal d’arrivée vers la victime.

Une réglementation contraignant les régies à vérifier l’identité de leurs annonceurs — comme le règlement européen sur les services numériques le prévoit — réduirait probablement le volume de la fraude, sans la supprimer. Le sujet n’est pas technique, il est économique : le coût de la modération est porté par la régie, le bénéfice de l’inaction l’est aussi.

Pour les proches d’une victime

L’expérience accumulée par les conseillers du Centre antifraude du Canada et par les associations comme France Victimes converge sur un même constat : les victimes ressentent une honte intense après coup, qui les pousse à minimiser, à mentir, ou à ne pas en parler. Or l’aveu rapide à un proche est le facteur qui détermine la possibilité de récupérer les fonds.

Si un proche vous confie avoir composé un numéro affiché par un pop-up et avoir laissé un inconnu prendre la main sur son ordinateur, ne moralisez pas. La priorité dans la première heure : appeler la banque ensemble pour bloquer la carte, redémarrer l’ordinateur en désinstallant AnyDesk ou TeamViewer si ces logiciels y sont, changer les mots de passe des comptes sensibles (boîte mail, banque en ligne) depuis un autre appareil. Le signalement officiel et l’éventuelle plainte peuvent attendre quelques heures.

L’arnaque au faux support Microsoft ne disparaîtra pas tant qu’elle restera économiquement rentable et juridiquement insaisissable. Mais à l’échelle individuelle, elle ne fonctionne que sur la surprise. Un internaute qui en connaît le scénario à l’avance est immunisé. Pour aller plus loin sur la sécurité Windows et la maintenance d’un PC sain, la rédaction recommande les guides techniques de CodeYourWeb qui détaillent les bonnes pratiques de configuration. Les utilisateurs souhaitant nettoyer leur PC sans dépenser un euro trouveront également sur softaid.net une sélection d’alternatives gratuites à CCleaner testées et documentées.

Cette enquête s’appuie sur l’observation continue, depuis 2014, de cas signalés à la rédaction et sur le croisement avec les rapports publics du Centre antifraude du Canada, du FBI Internet Crime Complaint Center et de la plateforme française Pharos. Les marques AnyDesk, TeamViewer et Microsoft sont citées uniquement parce qu’elles sont impliquées dans le mode opératoire — aucun de ces éditeurs n’est responsable de la fraude décrite.

Questions fréquentes

Microsoft contacte-t-il vraiment ses clients par téléphone ?

Non, jamais à froid. Microsoft ne dispose d'aucun mécanisme qui ferait apparaître un message dans votre navigateur web vous demandant d'appeler un numéro. Windows Defender, l'antivirus intégré de Windows, signale les infections par une alerte locale dans la zone des notifications du système — jamais par une page web et jamais avec un numéro de téléphone. Si vous voyez un pop-up qui vous demande d'appeler Microsoft pour résoudre une infection, il s'agit d'une arnaque dans 100 % des cas.

Que se passe-t-il si on installe AnyDesk ou TeamViewer à la demande du faux technicien ?

Le pseudo-technicien obtient un accès complet et en temps réel à votre ordinateur. Il peut ouvrir vos fichiers, consulter vos courriels, lire vos mots de passe enregistrés dans le navigateur, et surtout faire défiler de fausses détections de virus pour vous convaincre qu'une intervention payante est nécessaire. Dans certains cas documentés, il modifie volontairement la configuration du poste pour créer un dysfonctionnement réel — qu'il propose ensuite de réparer contre paiement.

Comment réagir si on a déjà donné son numéro de carte de crédit ?

Trois actions dans l'ordre. Premièrement, appeler immédiatement votre banque pour faire bloquer la carte — c'est la priorité absolue, chaque minute compte. Deuxièmement, redémarrer l'ordinateur en mode sans échec et désinstaller AnyDesk, TeamViewer ou tout logiciel installé pendant la session. Troisièmement, signaler la fraude au Centre antifraude du Canada (1-888-495-8501) ou à la plateforme Pharos en France.

Pourquoi ces arnaqueurs ne sont-ils jamais arrêtés ?

Les centres d'appel qui opèrent cette fraude sont quasi systématiquement situés en Inde, au Pakistan, ou en Afrique de l'Ouest. La coopération judiciaire internationale est lente, les procédures peuvent prendre plusieurs années, et les victimes individuelles ne portent généralement pas plainte parce que le préjudice paraît trop modeste. Quelques opérations d'envergure ont été démantelées (notamment par le FBI en 2018 et 2022), mais pour chaque centre fermé, deux ou trois autres ouvrent.

Comment faire disparaître un pop-up qui prétend que mon ordinateur est infecté ?

Ne cliquez ni sur la croix ni sur les boutons affichés — certains déclenchent l'ouverture d'autres fenêtres ou tentent de télécharger un fichier. Utilisez le raccourci Ctrl + W pour fermer l'onglet, ou Alt + F4 pour fermer le navigateur entier. Si la fenêtre est en plein écran et bloque tout, appuyez sur Échap puis fermez l'onglet. En dernier recours, ouvrez le gestionnaire des tâches (Ctrl + Maj + Échap) et terminez le processus du navigateur. Aucun virus n'aura été installé.

Une vraie alerte de Windows Defender ressemble à quoi ?

Une alerte légitime apparaît dans la zone de notification en bas à droite de l'écran (et non dans le navigateur) sous la forme d'une bannière sobre estampillée Windows Sécurité, avec le logo Microsoft. Elle ne contient jamais de numéro de téléphone et ne demande jamais d'appeler qui que ce soit. Le détail est crucial : si l'alerte s'affiche dans une page web — donc dans une fenêtre du navigateur — c'est un faux.

Que faire si on a rappelé le numéro affiché par le pop-up ?

Si vous avez appelé le numéro mais n'avez donné aucune information sensible (numéro de carte, mot de passe, accès à distance), l'appel n'a probablement pas eu de conséquence. Raccrochez et n'appelez plus. Si vous avez donné un numéro de carte ou installé un logiciel de prise en main à distance (AnyDesk, TeamViewer) : appeler votre banque en urgence pour faire bloquer la carte, déconnecter l'ordinateur d'internet, le redémarrer et désinstaller immédiatement le logiciel installé. Changer ensuite les mots de passe des comptes importants (messagerie, banque en ligne) depuis un autre appareil. Signaler l'incident au Centre antifraude du Canada ou à Pharos. Le signalement aide à documenter les centres d'appel actifs même sans suite judiciaire personnelle.

Comment signaler une arnaque au faux support Microsoft ?

En France, signaler sur la plateforme Pharos (internet-signalement.gouv.fr) dans la catégorie Escroquerie. Au Canada, appeler le Centre antifraude du Canada au 1-888-495-8501 ou signaler en ligne sur antifraudcentre-centreantifraude.ca. Aux États-Unis, signaler au FBI Internet Crime Complaint Center (ic3.gov). Microsoft dispose également d'un formulaire dédié pour signaler les arnaques usurpant son identité, accessible en cherchant « report a tech support scam Microsoft » sur leur site officiel. Ces signalements ne débouchent pas systématiquement sur une enquête individuelle, mais ils alimentent les bases de données partagées par les forces de l'ordre internationales pour cibler les réseaux les plus actifs.

Pour creuser

Arnaque au faux support Microsoft : enquête sur une fraude qui ne meurt jamais