Professionnels : comment repérer et éviter l’arnaque à la fausse mise à jour SumUp

Le courriel frauduleux, adressé aux utilisateurs de la solution de paiement mobile, se présente comme une notification officielle annonçant une mise à jour cruciale. Le message précise : « Nous vous informons qu'une mise à jour importante de notre application APP-SUM-2025 est disponible. Cette mise à jour est obligatoire pour assurer la continuité de vos versements. Merci de cliquer ci-dessous pour procéder à la mise à jour. »

La formule est concise, directe, et reproduit le ton neutre et technique typique des communications logicielles. L’objectif est clair : induire un sentiment d’urgence pour pousser le destinataire à cliquer. Une fois sur le site, visuellement similaire à l’interface officielle, le professionnel est invité à saisir ses identifiants ou informations bancaires. Ces données sont ensuite exploitées à des fins frauduleuses : détournement de fonds, accès au compte, voire modification des paramètres de versement.

Selon le Centre d’aide SumUp, consulté le 2 juin 2025, plusieurs éléments doivent alerter tout utilisateur :

• L’adresse d’expédition : seuls les courriels émis depuis le domaine @sumup.com sont légitimes. Les adresses contenant des variantes comme crm.sumup.com, support-sumup.net ou update-sum-app.org sont suspectes.
• Le lien de redirection : un lien officiel de mise à jour ou d’accès SumUp débute toujours par https://sumup.fr. Tout lien raccourci ou contenant des caractères non familiers doit être considéré comme douteux.
• Le ton du message : les messages urgents, impersonnels et techniques incitant à une action immédiate (mise à jour, vérification de sécurité, régularisation de paiement) sont typiques des tentatives de phishing.

SumUp précise : « Si vous pensez que vos informations personnelles ont pu être compromises, modifiez immédiatement vos mots de passe et signalez l'incident en écrivant à l'adresse security@sumup.com avec pour objet ‘Phishing attack’. »

L’enjeu est particulièrement important pour les professionnels dont le terminal SumUp est le principal point d’encaissement. Un accès frauduleux peut conduire à :

• Une interruption des paiements : si les coordonnées bancaires sont modifiées par un tiers, les virements peuvent être bloqués ou détournés.
• Une atteinte à la réputation : un client facturé depuis un terminal compromis peut faire remonter l’information publiquement.
• Une complexité de rétablissement : les indépendants ne disposent pas toujours d’un service informatique ou juridique dédié, ce qui rend la résolution du problème plus lente et coûteuse.

C’est pourquoi il est conseillé d’activer systématiquement toutes les fonctionnalités de sécurité proposées par SumUp (authentification à deux facteurs, alertes sur connexions inhabituelles) et de ne jamais cliquer depuis un mail sur les liens menant vers des pages de connexion ou de mise à jour.

Procédures de signalement et bonnes pratiques

En cas de réception d’un message suspect :

1. Ne cliquez sur aucun lien.
2. Ne transmettez aucune information.
3. Faites une capture d’écran du message.
4. Transférez-le sans modification à : security@sumup.com
5. Connectez-vous manuellement à votre compte via l’application ou en tapant directement l’adresse dans le navigateur.
6. Changez vos identifiants immédiatement si un doute persiste.

Pour les professionnels ayant déjà cliqué et saisi des données, il est indispensable de prévenir leur banque, de suspendre l’utilisation du terminal concerné et de contacter le support SumUp pour bloquer ou réinitialiser l’accès.