Enquête

Faux comptes Instagram et arnaque pornographique : enquête sur la filière

Publié le 27 avril 2026 13 min de lecture La rédaction

Depuis plusieurs mois, des comptes Instagram clonés diffusent des liens vers de faux sites pornographiques. Derrière ces profils en apparence anodins se cache une arnaque rodée à la carte de crédit, opérée depuis les Philippines, qui exploite l'image de jeunes femmes sans leur consentement. La rédaction a parcouru la chaîne de bout en bout — du faux compte au prélèvement bancaire.

Depuis plusieurs semaines, la rédaction observe sur Instagram des dizaines de comptes au mode opératoire identique : cloner le profil d’une jeune femme, modifier la biographie pour promouvoir du contenu pornographique, et rediriger les visiteurs vers une chaîne d’arnaques visant la carte de crédit. Cette enquête retrace la filière, des Philippines au prélèvement bancaire, en passant par Wix, Pocket Stars, Fansly et plusieurs faux sites de rencontre construits sur le même moule.

Le mode opératoire vu depuis l’extérieur

Le scénario est presque toujours le même. Un internaute reçoit une demande d’abonnement d’un compte Instagram qui ressemble à un proche — même prénom, même photo de profil, même style visuel. Le pseudonyme diffère parfois d’une lettre, parfois d’un point, parfois d’un underscore. La biographie, en revanche, ne laisse aucune ambiguïté : elle promet du contenu pornographique et invite à cliquer sur un lien externe.

Pour gagner en visibilité, le faux compte va systématiquement suivre une partie des abonnés du compte cloné. L’objectif est de faire croire à ces abonnés que la personne qu’ils suivent a créé un nouveau profil — alors qu’il n’en est rien. Ce mécanisme repose sur une faille humaine simple : on accepte plus volontiers une demande d’abonnement quand le nom et le visage sont familiers.

La rédaction a identifié plusieurs dizaines de profils correspondant à ce schéma au cours des derniers mois. Tous reprenaient l’image de jeunes femmes — parfois mineures, parfois majeures, jamais consultées — qui n’ont aucun lien avec le contenu adulte mis en avant.

Premier maillon : le clic vers le faux site

En cliquant sur le lien de la biographie, le visiteur arrive sur une page qui pousse l’usurpation un cran plus loin. Le prénom y est repris, des photos volées également, et une description plus complète promet l’accès à du contenu pornographique exclusif. Le visuel est soigné — il imite presque pixel pour pixel celui d’une plateforme légitime.

Dans les cas testés par la rédaction, ces faux sites étaient construits sur Wix, l’éditeur de sites gratuit. Un détail trahit l’origine : un bandeau publicitaire propre au plan gratuit de Wix s’affiche en haut de la page. Un signal qui devrait alerter — mais qui passe inaperçu pour la plupart des visiteurs.

Plus précisément, ces pages imitent le visuel de Pocket Stars, une plateforme de contenu adulte enregistrée légalement au Royaume-Uni sous l’entité Pocket Stars LTD. Pocket Stars existe réellement et propose effectivement du contenu pornographique payant — mais n’a aucun lien avec ces faux sites. Son identité visuelle est simplement détournée pour donner un vernis de légitimité à l’arnaque.

Sur le faux site, un rectangle invite à « subscribe to me for 30 days ». Un clic, et le visiteur est redirigé vers une nouvelle URL — qui n’a plus rien à voir ni avec Wix, ni avec Pocket Stars.

Deuxième maillon : la collecte des identifiants

La page de redirection demande trois informations : une adresse courriel, un nom d’utilisateur, un mot de passe. Une étape qui ressemble à une simple inscription, mais dont l’enjeu est ailleurs.

Si le mot de passe saisi par la victime est le même que celui qu’elle utilise sur sa boîte mail, sur ses réseaux sociaux ou sur sa banque en ligne, ces identifiants alimentent immédiatement la chaîne du credential stuffing — où des robots tentent automatiquement les combinaisons mail/mot de passe sur des dizaines de services. Le compte courriel de la victime peut ainsi être compromis dans les minutes qui suivent, sans qu’elle ne le sache. C’est le même type de récolte d’identifiants que l’on retrouve dans les attaques par hameçonnage bancaire que la rédaction a documentées en détail — la mécanique est identique, seul le décor visuel change.

La page suivante est encore plus directe. Elle demande les coordonnées d’une carte de crédit — soi-disant pour vérifier l’âge de l’inscrit. Un message rassurant en bas de page précise que la carte ne sera pas débitée. C’est le mensonge clé de l’arnaque.

Troisième maillon : le prélèvement

Dans les faits, un prélèvement est effectué dans les heures qui suivent. Le montant est généralement modeste — quelques dollars, parfois une dizaine — pour ne pas déclencher d’alerte immédiate. Suivent souvent d’autres prélèvements, ou la revente des informations de carte sur des marchés clandestins où elles atteignent quelques dollars pièce.

C’est l’objectif final de toute la chaîne : obtenir des numéros de carte valides, en quantité, sans laisser le temps à la victime de se rendre compte qu’elle a été flouée.

Deux smartphones côte à côte affichant deux profils Instagram presque identiques, l'un authentique et l'autre cloné, avec des biographies différentes

L’enquête : remonter à l’origine

À ce stade, la rédaction a souhaité aller plus loin que la simple description de l’arnaque. Plusieurs pistes étaient ouvertes : les faux comptes Instagram, les faux sites Wix, les pages de collecte d’identifiants, et les sites de prélèvement. Cette logique d’enquête, qui consiste à remonter du compte cloné jusqu’à l’hébergeur puis à l’opérateur, est précisément celle qu’un ancien enquêteur de la division cybercriminalité d’un service de police québécois décrit dans son entretien avec la rédaction — la méthode reste la même, seuls les outils évoluent.

Premier indice : les indicatifs téléphoniques

Pour chaque faux compte Instagram identifié, la rédaction a tenté la procédure de récupération de mot de passe — sans valider, simplement pour observer le numéro de téléphone associé. Le résultat était systématiquement le même : tous les comptes testés étaient liés à un numéro débutant par l’indicatif +63.

Un détour rapide par Wikipédia confirme : +63 est l’indicatif des Philippines. Cette donnée n’a rien d’anodin. Les Philippines sont depuis plusieurs années identifiées comme un centre d’opérations de cyberescroqueries — sextorsion, romance scams, faux comptes — souvent montées en équipes professionnelles dans des espaces de travail dédiés. Le pays est cité régulièrement dans les rapports d’Interpol et du Centre antifraude du Canada parmi les principaux pays d’origine de ce type de fraude visant le public occidental.

Deuxième indice : les pages de service

Les faux sites Wix n’ont rien donné — ils sont conçus pour disparaître rapidement et ne laissent quasiment aucune trace exploitable.

La piste la plus prometteuse était celle des sites de redirection. La rédaction a remonté à la racine de l’un d’eux — frlysglmt.com — et est tombée sur une page qui ressemblait à un service à la clientèle dédié aux questions de facturation et de transaction. Un visuel sobre, un encart vert proposant : « Visit Friendly Singles Meetup! »

En cliquant, on arrivait sur ce qui ressemblait à un site de rencontre demandant date de naissance, courriel, région et code postal. Pas de contenu adulte, pas de lien explicite avec Pocket Stars — juste un site de rencontre d’apparence anodine.

Troisième indice : la fausse Fansly

La rédaction a refait la même opération à partir d’un autre faux compte Instagram, dont le lien menait cette fois à une copie du visuel de Fansly — une autre plateforme de contenu adulte légitime, dont l’identité est elle aussi détournée.

La racine du site était pcnghw.com. Une URL différente, mais une page de service à la clientèle visuellement identique à la précédente — la même dame souriante, la même structure de page, le même encart vert. Cette fois, l’invitation pointait vers « Visit Ties Your Love Together! » — encore un site de rencontre.

Deux racines différentes, deux faux sites différents (Pocket Stars cloné, Fansly cloné), mais la même page de service à la clientèle et le même type de redirection finale. La conclusion s’imposait : on a affaire à une infrastructure mutualisée. Les fraudeurs disposent d’un back-office commun, avec des composants graphiques réutilisés et plusieurs dizaines de domaines servant uniquement de couches superficielles.

Pourquoi cette arnaque fonctionne encore

Trois facteurs convergent pour faire vivre cette filière depuis plusieurs années.

La crédibilité visuelle. Les fraudeurs ne lésinent pas sur la qualité graphique des faux sites. Le visuel imite à la perfection celui des plateformes légitimes (Pocket Stars, Fansly). L’oeil non averti — et même un internaute prudent — peut s’y laisser prendre quelques secondes, ce qui suffit pour cliquer.

L’effet de proximité. Cloner un compte Instagram d’un proche transforme un message d’inconnu en message d’ami. C’est l’arme principale du dispositif : elle court-circuite le réflexe de méfiance que la plupart des internautes ont face aux liens suspects.

La friction du recours. Une fois la fraude consommée, la victime doit faire opposition à sa banque, signaler le compte Instagram, signaler les faux sites, parfois changer plusieurs mots de passe. Beaucoup renoncent. Et tant que la friction du recours est plus haute que la perte financière (quelques dollars), l’arnaque reste rentable.

Ce que les plateformes pourraient faire

Wix peut détecter les sites qui imitent visuellement des plateformes adultes connues — et le fait, mais avec un délai. Instagram peut détecter les comptes nouvellement créés qui suivent massivement les abonnés d’un autre profil — et le fait aussi, mais imparfaitement. Meta peut détecter les comptes publicitaires qui financent en masse des publicités frauduleuses — c’est précisément la mécanique observée dans notre enquête sur les fausses publicités Facebook — mais ces détections arrivent généralement après plusieurs semaines d’exploitation. Les opérateurs téléphoniques philippins peuvent suivre les attributions de numéros utilisés en masse pour des opérations frauduleuses — mais leurs procédures de coopération internationale sont lentes.

Aucun de ces acteurs n’a, individuellement, intérêt à briser la chaîne. Le coût de la modération préventive est porté par l’hébergeur ou la plateforme ; le bénéfice de la prévention rejaillit sur l’écosystème entier. C’est un classique problème d’externalité — qui se règle généralement par la régulation ou la pression publique, pas par la bonne volonté des plateformes.

Une enquête publiée par le Wall Street Journal en 2025 a confirmé cette analyse de manière documentée. Selon des documents internes consultés par le quotidien, les modérateurs Facebook et Instagram ont reçu pour consigne de tolérer jusqu’à trente-deux signalements de fraude (« strikes ») sur un même compte avant de procéder à sa suspension. La modération anti-arnaque a été délibérément dépriorisée pour éviter les pertes de revenus publicitaires associées. Cette révélation valide ce que la rédaction soupçonnait dès 2022 : la friction de modération n’est pas un problème technique, c’est un choix économique des plateformes — qui ne sera renversé que par la régulation.

Écran d'ordinateur affichant une page web frauduleuse de demande de coordonnées bancaires sur fond sombre, illustration documentaire d'une fraude en ligne

Comment se protéger

Pour le grand public, la défense reste simple :

Vérifier les comptes Instagram qui vous suivent. Si le nom d’utilisateur est presque identique à celui d’un proche mais avec une variation (point, underscore, double lettre), c’est un signal fort.
Ne jamais cliquer sur un lien dans une biographie Instagram qui promet du contenu adulte. C’est la porte d’entrée systématique de cette arnaque.
Ne jamais entrer ses coordonnées de carte de crédit pour « vérifier son âge ». Aucune plateforme légitime ne procède ainsi.
Activer la double authentification sur Instagram, Facebook, votre boîte mail et votre banque en ligne. Même si un mot de passe fuite, le compte reste protégé.
Signaler immédiatement un compte qui se fait passer pour un proche, via la fonction « Cette personne se fait passer pour quelqu’un » d’Instagram.

Et pour les proches d’une victime : le réflexe à avoir est de prévenir la banque dans la même journée. Le temps joue contre la victime.

Quatre ans plus tard : la mécanique a évolué, le modèle persiste

L’enquête originale a été conduite début 2022. Quatre ans plus tard, la rédaction a réexaminé l’écosystème pour mesurer ce qui a changé. Le constat est ambivalent : la mécanique de base décrite plus haut reste rigoureusement identique — clonage de profil, redirection vers un faux site Wix imitant une plateforme adulte légitime, collecte des identifiants, prélèvement bancaire. Trois transformations majeures se sont toutefois produites entre 2022 et 2026.

L’irruption de l’intelligence artificielle générative

La transformation la plus visible concerne le matériau visuel des faux profils. En 2022, les fraudeurs volaient des photos de vraies jeunes femmes — souvent des étudiantes, parfois des mineures — depuis des comptes publics. Cette technique avait deux limites : la traçabilité (une recherche d’image inversée Google ou TinEye exposait l’origine du vol en quelques secondes) et le volume (chaque compte cloné nécessitait l’identification d’une victime réelle).

Depuis 2024, les modèles de diffusion grand public — Stable Diffusion XL, Midjourney v6, Flux Pro, FLUX.1 Schnell — produisent en quelques secondes des portraits synthétiques d’un réalisme indissociable d’une photographie d’amateur. Un opérateur peut générer des centaines de visages distincts en une heure, chacun accompagné d’une biographie cohérente rédigée par un grand modèle de langage. La recherche d’image inversée ne donne plus aucun résultat — l’image n’a jamais existé ailleurs. Les courtes vidéos truquées (lip-sync deepfake d’une dizaine de secondes pour la story Instagram) renforcent l’illusion d’authenticité.

Les chiffres rendent l’ampleur du basculement palpable. Selon les statistiques compilées en milieu d’année 2025 aux États-Unis, les pertes liées aux fraudes par deepfake ont atteint 1,1 milliard de dollars en 2025, contre 360 millions en 2024 — une multiplication par trois en douze mois. Une étude indépendante a documenté que les humains identifient correctement les vidéos deepfake de qualité dans seulement 24,5 % des cas, soit moins que le hasard pour un test à deux issues. Les plateformes ont massivement perdu leur principal levier de détection : le test visuel humain.

La consolidation du modèle Philippines / Asie du Sud-Est

L’autre évolution observée concerne la professionnalisation des opérateurs. La rédaction avait identifié dès 2022, via les indicatifs téléphoniques +63, que les comptes étaient pilotés depuis les Philippines. Ce qui restait alors une hypothèse plausible est désormais documenté par les autorités locales et par Interpol.

En mars 2024, une opération conjointe des autorités philippines et d’Interpol dans la province de Pampanga a abouti au démantèlement d’une « scam farm » employant 658 personnes, contraintes de manière souvent forcée à opérer simultanément des centaines de profils synthétiques à des fins de sextorsion et d’arnaques sentimentales (« pig butchering »). Les profils utilisés combinaient photos volées et photos générées par IA, conformément à la transition décrite ci-dessus.

L’agence philippine de lutte contre la cybercriminalité (PNP-ACG) a comptabilisé 121 cas de sextorsion en 2023 (contre 110 en 2022) et 347 affaires de voyeurisme numérique en 2024 (contre 294 en 2023). Au premier semestre 2025, la sextorsion représentait 14 % des 136 arrestations cybercriminelles documentées sur la période. Ces chiffres ne représentent qu’une fraction de la réalité — les autorités estiment que moins de 10 % des victimes francophones occidentales portent plainte, faute de procédure de coopération efficace entre leur juridiction d’origine et les Philippines.

L’émergence d’une coopération internationale

Le seul élément clairement positif de la période est l’apparition, à partir de 2024, d’une coordination internationale plus opérationnelle. Interpol a lancé en 2024 sa « Stop-Sextortion Alliance », qui regroupe désormais une vingtaine d’agences nationales (FBI américain, Europol pour l’UE, Centre antifraude du Canada, autorités philippines). Les premières actions conjointes ont permis la fermeture de 110 domaines hébergés aux Philippines servant d’infrastructure aux faux sites de redirection. Les domaines suivent typiquement le même schéma — suite de consonnes pseudo-aléatoires en .com, .net ou .icu — directement comparable aux frlysglmt.com et pcnghw.com documentés dans l’enquête initiale.

L’Union européenne a, de son côté, rendu pleinement applicable en février 2024 le Digital Services Act (DSA), qui impose aux très grandes plateformes (Meta, X, TikTok) des obligations strictes de modération préventive et de transparence sur les comptes signalés. Les premières sanctions financières — plusieurs millions d’euros contre Meta pour défaut de coopération en 2025 — ont marqué un changement d’ère, sans pour autant mettre fin aux arnaques observées.

Ce que la rédaction maintient depuis 2022

Malgré ces évolutions, le cœur de l’analyse de l’enquête originale reste valable en 2026. La cible n’a pas changé — la carte de crédit du grand public occidental, sous prétexte de vérification d’âge sur un site adulte. Le verrouillage géographique non plus — l’écart juridictionnel entre la victime canadienne ou française et l’opérateur philippin reste le facteur économique fondamental qui rend le modèle rentable. Les défenses individuelles décrites dans la section précédente — méfiance des comptes presque identiques, refus de saisir une carte de crédit pour vérifier un âge, double authentification — restent les outils les plus efficaces.

Ce qui a changé, en revanche, est la difficulté de la première détection. Là où en 2022 un internaute attentif pouvait soupçonner un faux compte par la maladresse des photos volées ou la cohérence approximative de la biographie, l’IA générative a relevé la barre cognitive de la défense. La règle pratique qui s’impose désormais : si une demande d’abonnement vient d’un profil qui ressemble à quelqu’un que vous suivez déjà, ne cherchez pas à raisonner sur l’authenticité visuelle. Vérifiez directement avec la personne par un canal de confiance (SMS, appel, message privé sur un compte que vous savez être le sien) avant d’accepter. Pour suivre l’évolution des fraudes en ligne et leurs nouveaux modes opératoires, la rédaction renvoie vers le décryptage des plateformes par i-actu qui documente régulièrement ces filières.

Cette enquête a été conduite à partir d’observations directes sur Instagram entre novembre 2021 et janvier 2022, et actualisée le 29 avril 2026 avec les évolutions observées sur la période 2022-2026 (irruption de l’IA générative, opération Interpol Stop-Sextortion Alliance, raid Pampanga de mars 2024, révélation Wall Street Journal sur la modération Meta). Les noms de domaines mentionnés (frlysglmt.com, pcnghw.com) étaient actifs au moment de l’investigation initiale et ont depuis été remplacés par d’autres noms suivant le même schéma. Les plateformes Pocket Stars et Fansly sont mentionnées uniquement parce que leur identité visuelle a été détournée par les fraudeurs — elles ne sont aucunement impliquées dans cette filière.

Questions fréquentes

Comment reconnaître un faux compte Instagram cloné ?

Trois signaux convergents : un nom d'utilisateur très ressemblant à l'original mais avec une variation (un point, un underscore, une lettre dédoublée), une biographie qui promeut explicitement du contenu pornographique avec un lien externe, et une liste d'abonnements presque identique à celle du compte cloné. Le faux compte suit en général les mêmes personnes que l'original pour donner l'illusion qu'il s'agit du même utilisateur.

Que faire si mon compte Instagram a été cloné ?

Premièrement, signaler le faux compte via la fonction « Signaler » d'Instagram en choisissant l'option « Cette personne se fait passer pour quelqu'un ». Deuxièmement, prévenir vos propres abonnés que vous n'avez pas créé de second compte. Troisièmement, conserver des captures d'écran datées du faux profil — utile si la fraude vous concerne directement et que vous portez plainte. Instagram retire généralement les comptes signalés sous 24 à 72 heures.

Pourquoi cette arnaque vient-elle des Philippines ?

Les comptes testés par la rédaction étaient tous liés à un numéro de téléphone d'indicatif +63, qui correspond aux Philippines. Le pays est connu depuis plusieurs années comme un centre d'opérations de cyberescroqueries amoureuses et sexuelles, organisées en équipes professionnelles depuis des espaces de travail dédiés. Le décalage horaire et la barrière linguistique compliquent les recours pour les victimes occidentales.

Que se passe-t-il si on rentre les informations de carte de crédit sur le faux site ?

Le site annonce que la carte sert uniquement à vérifier l'âge et qu'elle ne sera pas débitée. C'est un mensonge. Dans la quasi-totalité des cas observés, un prélèvement est effectué dans les heures qui suivent — souvent un montant de quelques dollars pour ne pas alerter immédiatement la victime, parfois suivi de prélèvements répétés. Les données de carte sont ensuite revendues sur des marchés clandestins.

Que faire si on s'est fait avoir ?

Faire opposition immédiatement auprès de votre banque sur la carte concernée — c'est la priorité absolue. Demander le remboursement des sommes prélevées en invoquant la fraude (la plupart des banques canadiennes remboursent dans ces situations sous 30 à 90 jours). Signaler la fraude sur le site du Centre antifraude du Canada. Si une adresse courriel ou un mot de passe identique à celui que vous utilisez ailleurs a été saisi sur le faux site, changez-le sur tous vos autres comptes.

Pourquoi Wix héberge-t-il ces faux sites ?

Wix offre une création de site gratuite en quelques clics, sans vérification préalable de l'identité de l'auteur. Les fraudeurs en abusent pour mettre en ligne rapidement des pages d'apparence légitime, qui sont fermées dès qu'elles sont signalées — mais d'autres sont créées entre-temps. Tant que la création de site reste anonyme et instantanée chez les hébergeurs grand public, ce type d'arnaque continuera à exister.

L'intelligence artificielle a-t-elle changé cette arnaque depuis 2022 ?

Profondément. Là où les fraudeurs utilisaient en 2022 des photos volées de vraies jeunes femmes, ils peuvent désormais générer en quelques secondes des centaines de visages synthétiques par diffusion (Stable Diffusion, Midjourney, Flux), accompagnés de courtes vidéos truquées convaincantes. Le clonage devient industriel : un seul opérateur produit des dizaines de profils par jour, chacun avec une identité visuelle cohérente et des photos exclusives — donc indétectables par recherche d'image inversée. Les pertes liées à la fraude par deepfake aux États-Unis sont passées d'environ 360 millions de dollars en 2024 à 1,1 milliard en 2025, soit une multiplication par trois en une année. Les humains ne reconnaissent correctement les vidéos deepfake de qualité que dans environ un cas sur quatre.

§

Pour creuser

À lire aussi