J'ai entré mon mot de passe Facebook sur un faux site, que faire ?

Changez immédiatement votre mot de passe Facebook depuis un appareil sûr. Activez l'authentification à deux facteurs si ce n'est pas encore fait. Vérifiez les connexions actives dans Paramètres > Sécurité et déconnectez toutes les sessions inconnues. Si vous utilisez le même mot de passe ailleurs, changez-le également sur ces autres sites. Signalez le phishing à Cybermalveillance.gouv.fr.

Pourquoi les phishing Facebook sont-ils hébergés sur AWS ou Vercel ?

Les escrocs utilisent des plateformes cloud légitimes (AWS Amplify, Vercel, Firebase, GitHub Pages) pour deux raisons : l'inscription est gratuite et sans vérification d'identité, et les domaines .amplifyapp.com ou .vercel.app ne sont pas dans les listes noires des antivirus. Ces URL paraissent 'propres' aux filtres automatiques. Les attaquants créent un nouveau sous-domaine pour chaque campagne, rendant le blocage inefficace.

Qu'est-ce qu'un kit de phishing 'frfb1-classic' ?

frfb1-classic est le nom d'un kit de phishing ciblant les utilisateurs français de Facebook. 'fr' = France, 'fb' = Facebook, '1' = numéro de version du kit, 'classic' = imite l'ancienne interface Facebook. Ce kit est vendu ou partagé entre cybercriminels et se déploie sur des hébergements cloud gratuits. Il inclut une page leurre (souvent un site anodin) pour tromper les signalements automatiques, et une page de phishing qui capture les identifiants saisis.

Comment signaler un phishing Facebook hébergé sur AWS ?

Signalez l'URL à abuse@amazonaws.com en précisant l'App ID de l'URL (le segment entre le sous-domaine et .amplifyapp.com). Signalez également sur Google SafeBrowsing (safebrowsing.google.com/safebrowsing/report_phish/), sur Cybermalveillance.gouv.fr, et sur PhishTank (phishtank.org). Si vous avez reçu le lien par SMS, signalez aussi au 33700 (numéro national de signalement).

Phishing Facebook : le faux site de connexion hébergé sur cloud

Par Sylvain Cassini — publié le 12 juin 2026

En bref : un faux site de connexion Facebook peut être hébergé sur amplifyapp.com, vercel.app ou web.app — des adresses qui paraissent fiables aux antivirus. La seule URL légitime de Facebook est facebook.com. Si vous avez saisi votre mot de passe sur un autre site : changez-le immédiatement et activez la double authentification.

Un lien reçu par SMS ou email vous invite à "vérifier votre compte Facebook", "confirmer votre identité" ou "débloquer votre page". La page qui s'ouvre ressemble à Facebook, pixel pour pixel. Et pourtant, vous n'êtes pas sur Facebook. Vous êtes sur un faux site de phishing — et tout ce que vous tapez est envoyé directement aux escrocs.

La nouveauté depuis 2024 : ces faux sites ne sont plus hébergés sur des domaines suspects à l'orthographe douteuse. Ils utilisent désormais des plateformes cloud légitimes — AWS Amplify, Vercel, Firebase, GitHub Pages — dont les noms de domaine passent inaperçus aux yeux des filtres antivirus et même des utilisateurs avertis.

Comment fonctionne ce type de phishing Facebook ?

Le scénario est rodé. La victime reçoit un message alarmant — par SMS le plus souvent, parfois par email ou Messenger — l'informant que son compte Facebook va être suspendu, qu'une activité suspecte a été détectée, ou qu'elle doit confirmer ses informations pour conserver l'accès à sa page.

Le lien mène vers une page visuellement identique à la page de connexion de Facebook : même logo, même fond bleu, même formulaire. L'URL, elle, est différente. Mais dans la précipitation, personne ne vérifie l'URL — surtout depuis un smartphone où la barre d'adresse est réduite au minimum.

Une fois les identifiants saisis, deux choses se produisent simultanément : le mot de passe est envoyé au serveur des attaquants, et la victime est redirigée vers le vrai Facebook — ce qui donne l'impression que la connexion a simplement fonctionné normalement. Aucun signe d'alerte visible.

Pourquoi ces faux sites sont hébergés sur AWS, Vercel ou Firebase

Pendant longtemps, les phishing utilisaient des domaines improvisés — des noms comme facebook-securite-compte.com ou fb-verification-france.net — facilement détectables. Les navigateurs et les antivirus les bloquaient rapidement.

La technique actuelle contourne ce problème en exploitant des plateformes d'hébergement cloud légitimes à inscription gratuite :

Plateforme	Domaine généré	Inscription requise
AWS Amplify	`xxxxxxx.amplifyapp.com`	Email seul, gratuit
Vercel	`projet.vercel.app`	Email seul, gratuit
Firebase (Google)	`projet.web.app`	Compte Google
GitHub Pages	`user.github.io/repo`	Compte GitHub

Ces domaines sont considérés comme fiables par les filtres — ils hébergent des millions de sites légitimes. Pour l'attaquant, le sous-domaine auto-généré change à chaque nouvelle campagne, rendant le blocage par liste noire systématiquement en retard.

Anatomie d'un kit de phishing Facebook : le cas frfb1-classic

Nous avons analysé un lien frauduleux récemment signalé : https://p25.d3aovsy49gkv20.amplifyapp.com/frfb1-classic/browse.php

Chaque fragment de cette URL est informatif :

p25 — identifiant de campagne. Ce sous-domaine indique qu'il s'agit au moins du 25e batch de cette campagne : une opération structurée, pas un acte isolé.
d3aovsy49gkv20.amplifyapp.com — App ID AWS Amplify auto-généré. Compte créé gratuitement, sans carte bancaire ni vérification d'identité.
frfb1-classic — nom du kit : FR (France) + FB (Facebook) + 1 (version du kit) + classic (imite l'ancienne interface Facebook 2014).
browse.php — extension .php utilisée comme camouflage visuel pour suggérer un site dynamique. La page est en réalité du HTML statique servi par Amplify.

Ce qui rend ce kit particulièrement sophistiqué : le domaine de base (d3aovsy49gkv20.amplifyapp.com/frfb1-classic/) sert un site leurre fonctionnel — un faux blog de conseils animaliers, avec adresse, téléphone, mentions légales. Quand un scanner automatique analyse le domaine, il voit un site banal. La page de phishing n'est accessible que depuis le sous-domaine p25.* et via le bon chemin.

Comment reconnaître un faux site de connexion Facebook

Le design n'est plus un indicateur fiable — les kits modernes sont des copies pixel-parfaites. La seule vérification qui compte : l'URL.

URLs légitimes de Facebook — et uniquement celles-ci

facebook.com et ses sous-domaines (www.facebook.com, m.facebook.com)
l.facebook.com — redirecteur de liens internes à Facebook
fb.com — alias court officiel de Facebook

Toute autre URL affichant une page de connexion Facebook est un phishing, quelle que soit la ressemblance visuelle.

Autres signaux d'alerte à surveiller :

L'URL contient des segments comme frfb, fb-fr, fb-login, facebook-verify
Le domaine est en .amplifyapp.com, .vercel.app, .web.app, .netlify.app ou .github.io
Votre email ou numéro de téléphone est pré-rempli dans le formulaire — l'attaquant l'a récupéré depuis le SMS ou email d'hameçonnage
La page vous demande votre mot de passe sans passer par facebook.com
Le cadenas HTTPS est présent — mais HTTPS ne garantit pas que le site est légitime, il garantit seulement que la connexion est chiffrée

✓ Anti-menaces Pro™ bloque les faux sites Facebook avant qu'ils se chargent
✓ Protection active contre les domaines de phishing récents, même hébergés sur cloud

Lien affilié — sans surcoût pour vous

Que faire si vous avez saisi votre mot de passe Facebook sur un faux site

Agissez dans les minutes qui suivent. Les attaquants utilisent souvent des scripts automatisés qui tentent de se connecter immédiatement avec les identifiants récupérés.

Depuis un appareil sûr (pas celui depuis lequel vous avez cliqué), allez directement sur facebook.com — tapez l'adresse, ne cliquez pas sur un lien.
Allez dans Paramètres > Sécurité et connexion > Modifier le mot de passe. Choisissez un mot de passe long et unique.
Activez l'authentification à deux facteurs (Paramètres > Sécurité et connexion > Authentification à deux facteurs). Même si l'attaquant a votre mot de passe, il ne pourra pas se connecter sans le code envoyé sur votre téléphone.
Dans Où vous êtes connecté, déconnectez toutes les sessions — notamment depuis des appareils ou pays inconnus.
Vérifiez Applications et sites web dans vos paramètres et révoquez tout accès non reconnu.
Si vous utilisez le même mot de passe sur d'autres sites (email, banque, etc.), changez-le également sur ces services.
Signalez sur cybermalveillance.gouv.fr et déposez une pré-plainte sur pre-plainte.interieur.gouv.fr.

Mon compte a été piraté après le phishing — que faire ?

Si l'attaquant a déjà changé votre mot de passe ou votre adresse email avant que vous ayez pu agir, utilisez le processus de récupération de compte Facebook accessible sur facebook.com/login/identify. Vous pouvez récupérer l'accès via votre numéro de téléphone ou un ami de confiance désigné.

Si des messages frauduleux ont été envoyés depuis votre compte à vos contacts, prévenez-les immédiatement par un autre canal. Ces messages peuvent à leur tour contenir des liens de phishing qui cibleront vos amis.

Dans tous les cas, portez plainte. Le phishing est un délit en France (article 313-1 du Code pénal — escroquerie, article 323-1 — accès frauduleux à un système informatique). Une plainte officielle permettra d'alimenter les bases de données des services de police et de faciliter le démantèlement des campagnes.

Comment signaler l'URL frauduleuse

Un signalement rapide peut protéger des centaines d'autres victimes potentielles. Pour une URL en amplifyapp.com :

AWS Abuse : abuse@amazonaws.com — mentionnez l'App ID (le segment entre le sous-domaine et .amplifyapp.com). AWS réagit généralement en quelques heures.
Google SafeBrowsing : signalement immédiat sur safebrowsing.google.com/safebrowsing/report_phish/
Cybermalveillance.gouv.fr : signalement officiel auprès de la plateforme nationale
PhishTank : phishtank.org — indexation communautaire utilisée par de nombreux antivirus
33700 : si vous avez reçu le lien par SMS (numéro national de signalement des SMS frauduleux)
Signal-Spam : si vous avez reçu le lien par email

Se protéger durablement contre ce type de phishing

Aucune solution n'est infaillible à 100 %, mais plusieurs mesures réduisent drastiquement le risque :

Activez dès maintenant l'authentification à deux facteurs sur Facebook — c'est la mesure la plus efficace. Même si votre mot de passe est volé, l'attaquant ne peut pas se connecter.
Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password) : il remplit automatiquement vos identifiants uniquement sur le vrai facebook.com, jamais sur un faux site.
Méfiez-vous des messages urgents qui vous demandent de "vérifier votre compte" ou "confirmer votre identité" — Facebook ne vous contacte pas par SMS pour vous demander de vous connecter via un lien.
Vérifiez toujours l'URL avant de saisir un mot de passe, même depuis votre smartphone. Sur iPhone, appuyez longuement sur le lien avant de l'ouvrir pour voir l'URL de destination.
Installez uBlock Origin (extension navigateur gratuite) — bloque une grande partie des redirecteurs et pages de phishing connus.

Articles liés Lien raccourci et phishing — comment vérifier avant de cliquer Phishing Orange — faux captcha pour voler vos identifiants Se protéger des arnaques en ligne — guide complet Fuite de données personnelles — que faire Que faire après une arnaque ? Comment porter plainte Toutes nos ressources cybersécurité

Votre compte Facebook a été piraté ?

Si vous n'arrivez plus à récupérer l'accès ou si vous avez besoin d'aide pour sécuriser vos comptes, appelez-nous au 06 99 70 49 50. Nous vous guidons pas à pas.

Appeler Lejumo