Le 23 juillet 2025, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) a publié une décision marquante dans le cadre de la consultation publique sur l’évolution du plan national de numérotation. Cette décision prévoit l’affichage systématique du numéro “99 99 99 99 99” à la place de tout numéro mobile français non authentifié apparaissant sur un appel entrant depuis l’étranger.

Concrètement, cette règle vise à supprimer l’affichage trompeur de numéros usurpés, une pratique qui touche en particulier les entités commerciales, les banques, les opérateurs de services et les prestataires téléphoniques. « Lorsqu’un appel entrant présente un numéro mobile français mais n’a pas pu être authentifié, il devra être remplacé par “99 99 99 99 99” », source : Arcep, “Plan de numérotation – décision”, 23 juillet 2025

Les entreprises françaises sont de plus en plus confrontées à un phénomène déstabilisant : l’usurpation de leur numéro par des acteurs frauduleux. Dans les faits, un escroc utilise l’identité visuelle d’un numéro légitime pour entrer en contact avec un client, un fournisseur ou un prospect. Résultat : confusion, perte de confiance, atteinte à l’image, voire contentieux.
Ce phénomène n’épargne aucun secteur : les services bancaires, les mutuelles, les opérateurs logistiques ou encore les gestionnaires d’abonnements sont régulièrement signalés comme “sources” de communications qu’ils n’ont jamais initiées. Entre janvier et juillet 2025, la plateforme “J’alerte l’Arcep” a recensé plus de 10 000 signalements d’usurpation de numéro.
Avec l’instauration du “99 99 99 99 99” comme affichage de substitution, l’Arcep renverse la logique : désormais, si le numéro n’est pas vérifié, il n’est plus affiché. Ce changement remet en cause un usage qui pénalisait jusqu’ici les entreprises légitimes.

Pour les directions commerciales, relation client ou conformité, cette mesure offre trois leviers immédiats :

1. Reconquête de la légitimité téléphonique : seuls les numéros vérifiés s’afficheront auprès des destinataires. Une marque ne pourra plus voir son identifiant détourné.
2. Réduction des taux de rejet : la généralisation du code “99” permet d’alerter le destinataire lorsqu’un appel est suspect. À l’inverse, les appels provenant d’un numéro vérifié deviennent plus crédibles.
3. Rétablissement de la relation de confiance avec les clients ou prospects, en garantissant que chaque appel sortant est conforme aux normes d’identification imposées.

Les professionnels du démarchage, du recouvrement ou de la télévente – souvent accusés à tort de pratiques abusives – bénéficient d’un cadre assaini, dans lequel les opérateurs frauduleux sont techniquement évincés du canal vocal.
La consultation publique lancée le 22 juillet 2025 restera ouverte jusqu’au 26 septembre 2025. D’ici là, entreprises, associations professionnelles et opérateurs peuvent faire valoir leurs remarques. Le cadre réglementaire final devrait être adopté au dernier trimestre 2025, pour une application complète à partir de début 2026. L’Arcep prévoit une évaluation des impacts techniques et une période d’adaptation pour permettre aux opérateurs et grands comptes de mettre à jour leurs systèmes.

Le courriel frauduleux, adressé aux utilisateurs de la solution de paiement mobile, se présente comme une notification officielle annonçant une mise à jour cruciale. Le message précise : « Nous vous informons qu'une mise à jour importante de notre application APP-SUM-2025 est disponible. Cette mise à jour est obligatoire pour assurer la continuité de vos versements. Merci de cliquer ci-dessous pour procéder à la mise à jour. »

La formule est concise, directe, et reproduit le ton neutre et technique typique des communications logicielles. L’objectif est clair : induire un sentiment d’urgence pour pousser le destinataire à cliquer. Une fois sur le site, visuellement similaire à l’interface officielle, le professionnel est invité à saisir ses identifiants ou informations bancaires. Ces données sont ensuite exploitées à des fins frauduleuses : détournement de fonds, accès au compte, voire modification des paramètres de versement.

Selon le Centre d’aide SumUp, consulté le 2 juin 2025, plusieurs éléments doivent alerter tout utilisateur :

• L’adresse d’expédition : seuls les courriels émis depuis le domaine @sumup.com sont légitimes. Les adresses contenant des variantes comme crm.sumup.com, support-sumup.net ou update-sum-app.org sont suspectes.
• Le lien de redirection : un lien officiel de mise à jour ou d’accès SumUp débute toujours par https://sumup.fr. Tout lien raccourci ou contenant des caractères non familiers doit être considéré comme douteux.
• Le ton du message : les messages urgents, impersonnels et techniques incitant à une action immédiate (mise à jour, vérification de sécurité, régularisation de paiement) sont typiques des tentatives de phishing.

SumUp précise : « Si vous pensez que vos informations personnelles ont pu être compromises, modifiez immédiatement vos mots de passe et signalez l'incident en écrivant à l'adresse security@sumup.com avec pour objet ‘Phishing attack’. »

L’enjeu est particulièrement important pour les professionnels dont le terminal SumUp est le principal point d’encaissement. Un accès frauduleux peut conduire à :

• Une interruption des paiements : si les coordonnées bancaires sont modifiées par un tiers, les virements peuvent être bloqués ou détournés.
• Une atteinte à la réputation : un client facturé depuis un terminal compromis peut faire remonter l’information publiquement.
• Une complexité de rétablissement : les indépendants ne disposent pas toujours d’un service informatique ou juridique dédié, ce qui rend la résolution du problème plus lente et coûteuse.

C’est pourquoi il est conseillé d’activer systématiquement toutes les fonctionnalités de sécurité proposées par SumUp (authentification à deux facteurs, alertes sur connexions inhabituelles) et de ne jamais cliquer depuis un mail sur les liens menant vers des pages de connexion ou de mise à jour.

Procédures de signalement et bonnes pratiques

En cas de réception d’un message suspect :

1. Ne cliquez sur aucun lien.
2. Ne transmettez aucune information.
3. Faites une capture d’écran du message.
4. Transférez-le sans modification à : security@sumup.com
5. Connectez-vous manuellement à votre compte via l’application ou en tapant directement l’adresse dans le navigateur.
6. Changez vos identifiants immédiatement si un doute persiste.

Pour les professionnels ayant déjà cliqué et saisi des données, il est indispensable de prévenir leur banque, de suspendre l’utilisation du terminal concerné et de contacter le support SumUp pour bloquer ou réinitialiser l’accès.

 

 

Le phishing, les campagnes d'hameçonnage par voie email, représente une menace croissante pour les entreprises du monde entier. La dernière étude de Vade, leader en cybersécurité, révèle une tendance alarmante : six entreprises françaises figurent parmi les vingt marques les plus usurpées dans les campagnes de phishing à l'échelle mondiale. Le Crédit Agricole, avec 11.668 URL de phishing détectées, se classe même en troisième position du top 20 mondial de Vade, démontrant l'ampleur des risques pour les institutions financières. Orange suit de près, puisque l'opérateur est à la 4e position, ce qui illustre par la même occasion la vulnérabilité des opérateurs télécoms face à ces attaques. De manière générale, les fraudeurs exploitent leur réputation ainsi que la base des fichiers clients de ces entreprises pour mener des campagnes d'hameçonnage qui visent à dérober des informations sensibles (données personnelles, coordonnées bancaires, etc). La Banque Postale, SFR, OVHcloud, et la Société Générale complètent ce triste palmarès. 

L'analyse de Vade, basée sur l'examen de 19. 000 pages de phishing liées à des e-mails uniques entre janvier et décembre 2023, démontre en effet, une sophistication accrue dans les techniques d'usurpation. Les cybercriminels ne se contentent plus d'imitations grossières ; ils reproduisent avec une précision alarmante l'identité visuelle et les modes de communication officiels des entreprises ciblées. Cette évolution des tactiques de phishing rend la détection et la prévention plus complexes, et exigent des entreprises et des utilisateurs une vigilance et une éducation renforcées en matière de cybersécurité.

Selon le rapport Phishers' Favorites de 2023 de Vade, deux secteurs sont particulièrement visés par le phishing : les services financiers et les médias sociaux. Les services financiers, avec 64.009 URL de phishing uniques, représentent à eux seuls 32 % du total des attaques recensées. Cette prédominance s'explique par la nature sensible des informations traitées, des coordonnées bancaires aux données personnelles, faisant des institutions financières comme le Crédit Agricole, SoftBank, PayPal, et Bank of America des cibles de premier ordre pour les cybercriminels. La multiplication et la précision des attaques ne font ainsi que confirmer l'enjeu et l'importance pour ces entreprises de sécuriser leurs canaux de communication et de leurs transactions financières.

Parallèlement, le secteur des réseaux sociaux a vu le nombre de campagnes de phishing augmenter de +110% sur la seule année 2023. Facebook, en tête de cette tendance avec une hausse de 74 % des sites de phishing uniques, illustre la vulnérabilité croissante des plateformes sociales. Instagram, WhatsApp, et LinkedIn, bien que moins impactés, ne sont pas épargnés. Cela s'explique notamment du fait du développement des contenus sponsorisés pour des produits ou des recrutements.