Arnaque à l'e-carte Vitale : le faux email d'activation qui imite l'Assurance Maladie
Par Sylvain Cassini — publié le 4 avril 2026
Un email signé "Assur'Santé" ou "Assurance Maladie" vous invite à activer votre e-carte Vitale. Il affiche le logo officiel de la Sécu, parle d'un service numérique gratuit et vous propose un bouton "Activer mon e-carte Vitale maintenant". Le problème : l'expéditeur réel est rewardnews@loco-rewards.com — une plateforme d'emails marketing — et le lien ne mène pas à ameli.fr. C'est une arnaque. Et elle est particulièrement efficace parce que l'e-carte Vitale existe vraiment.
L'e-carte Vitale existe vraiment : c'est ça le piège
Depuis 2023, l'Assurance Maladie propose effectivement une carte Vitale dématérialisée, disponible via l'application officielle "Carte Vitale" sur smartphone. Elle permet d'accéder à ses droits d'assuré, d'obtenir des attestations et de présenter ses droits chez un médecin ou en pharmacie — sans la carte physique.
Ce service réel est le terreau idéal pour une arnaque. Contrairement à un email demandant de "renouveler votre carte vitale" (service qui n'existe pas), celui-ci propose quelque chose de vrai. La méfiance naturelle de la victime est désamorcée : "J'ai entendu parler de cette e-carte, c'est normal qu'ils me contactent."
Ce que font les escrocs avec cette confusion
Le faux email reprend l'apparence exacte d'une communication officielle : logo de l'Assurance Maladie, couleurs bleu/vert, infographie de la carte Vitale, mentions légales en bas de page. Le bouton d'action renvoie vers un site frauduleux qui imite ameli.fr et collecte vos identifiants, votre numéro de sécurité sociale, voire vos coordonnées bancaires sous prétexte de "vérifier votre identité".
Anatomie d'un faux email d'activation
Le nom d'affichage contre l'adresse réelle
Votre messagerie affiche le nom que l'expéditeur choisit de se donner — "Assurance Maladie", "Assur'Santé", "Ameli Santé" — mais ce nom ne prouve rien. Ce qui compte, c'est l'adresse email réelle, cachée derrière. Pour la voir :
- Sur iPhone / iPad : appuyez sur le nom de l'expéditeur pour faire apparaître l'adresse complète
- Sur Android : appuyez sur le nom ou les trois points selon votre application mail
- Sur ordinateur : passez la souris sur le nom d'expéditeur ou cliquez dessus
Dans le cas de cet email, le nom affiché était "Assur'Santé" mais l'adresse réelle était rewardnews@loco-rewards.com. Aucun lien avec l'Assurance Maladie.
Les mots qui doivent alerter
Le vocabulaire des faux emails d'activation suit des patterns reconnaissables :
- "Votre document de santé devient digital" — urgence implicite, sentiment de changement imposé
- "Activer maintenant" — pression à l'action immédiate
- "Gratuite, sécurisée et immédiatement disponible" — réassurance excessive pour atténuer la méfiance
- Aucune référence à votre numéro d'assuré, aucun numéro de dossier
Un lien de désabonnement en anglais : détail révélateur
En bas de cet email figurait la mention "If you'd like to unsubscribe and stop receiving these emails, click here" — en anglais. Un organisme public français communiquant en français n'utilisera jamais l'anglais dans son pied de page. Ce détail trahit l'origine réelle de l'email : une plateforme d'envoi en masse de marketing international.
Que cherchent-ils à obtenir ?
Le site frauduleux vers lequel pointe le bouton d'activation imite l'interface d'ameli.fr. Il peut demander successivement :
- Vos identifiants ameli.fr (numéro d'assuré + mot de passe) — permettant de prendre le contrôle de votre espace et de consulter vos données de santé
- Votre numéro de sécurité sociale — utilisable pour des fraudes aux remboursements ou revendu à des tiers
- Vos coordonnées bancaires — sous prétexte de "vérifier votre identité" ou de vous rembourser une somme fictive
Comment activer l'e-carte Vitale en toute sécurité
L'e-carte Vitale officielle s'active de deux façons seulement :
- Via l'application "Carte Vitale" — disponible sur l'App Store (Apple) et le Google Play Store (Android). Cherchez "Carte Vitale" et vérifiez que l'éditeur est bien "Assurance Maladie - CNAM".
- Via votre espace ameli.fr — en vous connectant manuellement sur ameli.fr (en tapant l'adresse dans votre navigateur, jamais via un lien reçu par email).
Ce que l'Assurance Maladie ne vous demandera jamais par email :
- Activer votre e-carte Vitale via un bouton ou un lien
- Saisir votre numéro de sécurité sociale pour "vérifier votre identité"
- Confirmer vos coordonnées bancaires
- Entrer votre mot de passe ameli.fr
Si vous recevez un tel email, c'est une arnaque — ne cliquez pas.
Vous avez cliqué : que faire ?
Vous avez cliqué sur le lien mais n'avez rien saisi
Fermez l'onglet immédiatement. Analysez votre appareil avec Malwarebytes (gratuit). Pas de risque majeur si aucune information n'a été entrée.
Vous avez saisi vos identifiants ameli.fr
- Connectez-vous immédiatement à ameli.fr (en tapant l'URL manuellement) et changez votre mot de passe
- Vérifiez vos données personnelles, vos médecins traitants et vos remboursements récents
- Contactez votre CPAM pour les alerter d'une possible compromission
Vous avez communiqué des données bancaires
- Appelez votre banque immédiatement pour faire opposition
- Déposez plainte au commissariat ou sur pre-plainte.interieur.gouv.fr
- Signalez le cas sur cybermalveillance.gouv.fr (numéro : 3018)
Un doute sur un email reçu ?
Si vous avez reçu un email suspect, que vous avez cliqué par erreur ou que votre ordinateur se comporte bizarrement, appelez-nous au 06 99 70 49 50. Nous analysons votre situation et vous guidons dans les démarches.
Appeler Sylvain — 06 99 70 49 50Questions fréquentes
Comment savoir si un email sur l'e-carte Vitale est officiel ?
Un email officiel de l'Assurance Maladie sur l'e-carte Vitale provient uniquement d'une adresse se terminant par @assurance-maladie.fr ou @ameli.fr. Si le nom affiché est "Assurance Maladie" ou "Assur'Santé" mais que l'adresse réelle est un domaine de type loco-rewards.com ou autre, c'est une arnaque.
L'Assurance Maladie envoie-t-elle des emails depuis loco-rewards.com ?
Non. L'Assurance Maladie ne communique jamais depuis des plateformes de marketing comme loco-rewards.com. Ces adresses appartiennent à des sociétés d'envoi d'emails promotionnels utilisées par des escrocs pour imiter des organismes officiels. Tout email sur l'e-carte Vitale provenant d'un tel domaine est frauduleux.
J'ai cliqué sur le lien d'activation dans l'email frauduleux, que risque-je ?
Si vous avez simplement cliqué sans rien saisir, le risque est limité. Fermez l'onglet et analysez votre appareil avec un antivirus (Malwarebytes). Si vous avez saisi vos identifiants ameli.fr ou des données bancaires, changez immédiatement vos mots de passe, alertez votre banque si nécessaire, et signalez l'incident sur cybermalveillance.gouv.fr.
Où signaler un faux email sur l'e-carte Vitale ?
Signalez l'email sur signal-spam.fr ou transférez-le à phishing@signal-spam.fr. Vous pouvez aussi le déclarer sur internet-signalement.gouv.fr (PHAROS) et demander conseil sur cybermalveillance.gouv.fr (numéro 3018).
Quelle est la vraie façon d'activer l'e-carte Vitale ?
L'e-carte Vitale s'active uniquement via l'application officielle "Carte Vitale" (App Store / Google Play, éditeur : Assurance Maladie - CNAM) ou depuis votre espace personnel sur ameli.fr. Il n'existe aucune activation par email. Tout email vous demandant d'activer votre e-carte Vitale via un bouton est frauduleux.