Arnaque phishing Orange : quand le faux CAPTCHA endort votre méfiance

Par Sylvain Cassini — publié le 25 mai 2026

En bref : Une nouvelle vague de phishing usurpe l'identité d'Orange avec un raffinement inédit : une page de vérification de sécurité à faux CAPTCHA précède le vol des identifiants. L'objectif est de vous faire croire que vous êtes sur un site sécurisé avant de vous demander de vous connecter à votre espace client. Aucun CAPTCHA ne garantit la légitimité d'un site — et l'URL dans la barre d'adresse reste votre seule boussole fiable.
Capture d'écran réelle du faux CAPTCHA Orange affiché sur le domaine frauduleux sense.onces.cfd
Capture d'écran réelle de la page frauduleuse — domaine sense.onces.cfd, aucun lien avec Orange.

Comment fonctionne cette arnaque phishing Orange ?

Cette escroquerie suit un scénario en deux temps, conçu pour neutraliser progressivement la vigilance de la victime. Tout commence par un message — SMS ou email — qui imite une communication officielle d'Orange : un problème de messagerie, une facture impayée, un accès suspect détecté… Le ton est urgent, le logo est fidèle, et un lien est fourni pour « sécuriser votre compte ».

Étape 1 — Un faux CAPTCHA pour simuler la sécurité

En cliquant sur le lien, vous n'arrivez pas directement sur un formulaire de connexion. Les escrocs ont introduit une étape intermédiaire : une page de « Vérification de sécurité », stylisée aux couleurs d'Orange (logo orange, typographie blanche, bouton Valider), qui vous demande de saisir un code affiché à l'écran.

Psychologiquement, c'est redoutablement efficace. Le CAPTCHA est historiquement associé à la protection contre les robots — c'est un gage de sérieux. En vous faisant franchir cette étape, les fraudeurs vous envoient un signal subliminal : « ce site a mis en place des mesures de sécurité, vous pouvez avoir confiance ». C'est exactement l'inverse de la réalité.

Détail révélateur : Le domaine affiché dans la barre d'adresse est sense.onces.cfd — un domaine en .cfd sans aucun lien avec Orange. Le vrai espace client Orange est toujours accessible sur orange.fr ou espaceclient.orange.fr.

Étape 2 — Un faux espace client pour voler vos identifiants

Une fois le faux CAPTCHA validé, vous êtes redirigé vers une page intitulée « Espace Client » qui vous invite à renseigner votre adresse e-mail ou numéro de mobile Orange. La mise en page est propre, professionnelle, et imite fidèlement l'interface d'Orange.

Capture d'écran du faux espace client Orange demandant l'identifiant — même domaine frauduleux sense.onces.cfd/new/
Le faux espace client Orange — URL sense.onces.cfd/new/, identique sur les deux pages frauduleuses.

Après avoir saisi votre identifiant, une page de mot de passe s'affiche généralement. À ce stade, vos informations de connexion sont transmises en temps réel aux fraudeurs, qui peuvent se connecter à votre vrai compte Orange pendant que vous êtes encore sur leur site.

Les indices qui trahissent la fraude

Même une copie soignée laisse toujours des traces. Voici les signaux qui permettent d'identifier immédiatement un site frauduleux, quelle que soit la qualité de l'imitation.

1. Le domaine — l'indice le plus fiable

L'URL sense.onces.cfd n'a aucun lien avec Orange. L'extension .cfd est un TLD générique bon marché, régulièrement détourné pour des campagnes de phishing. Le vrai portail Orange utilise exclusivement les domaines orange.fr, orangebank.fr, ou des sous-domaines directs (espaceclient.orange.fr, assistance.orange.fr).

Réflexe : avant de saisir quoi que ce soit, lisez l'URL dans la barre d'adresse. Un cadenas HTTPS ne garantit rien — les escrocs peuvent obtenir un certificat SSL pour un domaine frauduleux en quelques minutes.

2. Le CAPTCHA — artisanal, pas systémique

Un vrai CAPTCHA de sécurité (Google reCAPTCHA, hCaptcha, Cloudflare Turnstile) intègre une logique anti-bot en arrière-plan, des requêtes vers des serveurs tiers vérifiables, et une apparence standardisée reconnaissable. Celui de cette arnaque est une simple image de chiffres stylisés et un champ texte — aucun appel à un service tiers, aucune vérification réelle. C'est un décor.

3. La mention « Messagerie » sous le logo

Sur la page du faux CAPTCHA, la mention Messagerie apparaît sous le logo Orange — un indice que la campagne phishing cible probablement les clients de la messagerie Wanadoo/Orange Mail, et que le message initial évoquait un problème de boîte email.

4. Le bouton « Continuer » en noir

Sur l'espace client officiel Orange, les boutons principaux sont toujours dans la charte graphique de la marque (orange). Un bouton « Continuer » en noir ne correspond pas à l'interface officielle Orange — c'est un détail révélateur d'une copie approximative.

Que faire si vous avez saisi vos identifiants ?

Chaque minute compte. Si vous réalisez avoir entré vos identifiants sur un site frauduleux, voici les étapes à suivre dans l'ordre :

  1. Changez votre mot de passe Orange immédiatement — rendez-vous sur orange.fr en tapant l'URL vous-même (jamais via un lien reçu). Allez dans votre espace client → Gérer mon compte → Modifier mon mot de passe.
  2. Activez la double authentification (2FA) — dans les paramètres de sécurité de votre compte Orange, activez la vérification en deux étapes pour qu'une connexion nécessite votre téléphone en plus du mot de passe.
  3. Vérifiez vos autres comptes — si vous réutilisez le même mot de passe sur d'autres services (banque, impôts, messagerie secondaire), changez-les sans attendre.
  4. Appelez le 3900 — le service client Orange peut auditer les derniers accès à votre compte et bloquer toute activité suspecte.
  5. Signalez la fraude — sur cybermalveillance.gouv.fr pour obtenir des conseils personnalisés, et sur phishing-initiative.fr pour faire bloquer le domaine frauduleux.
  6. Surveillez votre messagerie Orange — les fraudeurs peuvent avoir configuré un transfert automatique de vos emails vers leur adresse. Vérifiez les règles de messagerie dans les paramètres de votre compte.
Attention : Si votre messagerie Orange est compromise, les fraudeurs peuvent intercepter des codes de double authentification envoyés par d'autres services (banque, administration). Prévenez votre banque si elle utilise votre adresse Orange pour envoyer des codes de sécurité.
NordVPN — Protection contre le phishing et les logiciels malveillants Lien affilié — sans surcoût pour vous

Comment se protéger de ce type d'arnaque ?

La protection repose sur deux réflexes simples qui neutralisent la quasi-totalité des tentatives de phishing, aussi sophistiquées soient-elles.

Réflexe 1 : vérifiez systématiquement le domaine. Avant de saisir un identifiant ou un mot de passe, lisez l'URL dans la barre d'adresse de votre navigateur. Si le domaine n'est pas celui de l'entreprise (ici, orange.fr), fermez l'onglet immédiatement.

Réflexe 2 : ne faites jamais confiance à un lien reçu par SMS ou email. Si Orange (ou n'importe quel autre opérateur) vous contacte pour un problème sur votre compte, ouvrez votre navigateur et tapez vous-même l'URL officielle. Ne cliquez jamais sur le lien du message.

Pour aller plus loin, vous pouvez également :

Un proche a cliqué sur un lien Orange suspect ?

Lejumo intervient à domicile au Mans et en région, ou à distance partout en France, pour sécuriser un compte compromis, nettoyer un appareil et accompagner les démarches de signalement. Appelez-nous directement.

06 99 70 49 50

Vous avez donné vos identifiants ? Agissez maintenant

Que faire et comment porter plainte Sécuriser et désinfecter votre appareil

FAQ — Phishing Orange et faux CAPTCHA

Comment reconnaître un faux email ou SMS Orange ?

Un message légitime d'Orange provient toujours d'une adresse @orange.fr ou d'un numéro court officiel. Méfiez-vous de tout lien ne pointant pas vers orange.fr : dans cette arnaque, le domaine était sense.onces.cfd, sans aucun rapport avec Orange. Vérifiez l'URL dans la barre d'adresse avant de saisir quoi que ce soit.

Un CAPTCHA prouve-t-il qu'un site est sécurisé ?

Non. Un CAPTCHA peut être imité avec de simples technologies web. Dans cette arnaque, le faux CAPTCHA est un champ texte stylisé aux couleurs d'Orange — il ne fait appel à aucun service Google reCAPTCHA ou hCaptcha. La présence d'un CAPTCHA n'est pas une preuve d'authenticité.

Que faire si j'ai saisi mon identifiant Orange sur un faux site ?

Changez immédiatement votre mot de passe Orange sur orange.fr (tapez l'URL vous-même). Activez la double authentification. Changez le même mot de passe sur tous les autres services où vous l'utilisez. Appelez le 3900 et signalez la fraude sur cybermalveillance.gouv.fr.

Quels risques si des escrocs ont mes identifiants Orange ?

Accès à votre messagerie Wanadoo/Orange, interception de codes 2FA envoyés par SMS, commande de lignes ou services à votre nom, récupération de vos données personnelles (adresse, coordonnées bancaires si enregistrées). Dans les cas graves, vos identifiants peuvent être revendus sur des marchés souterrains.

Comment signaler un SMS ou email de phishing Orange ?

Transférez le SMS frauduleux au 33700 (service national dédié). Pour un email, transférez-le à abuse@orange.fr. Signalez le site sur phishing-initiative.fr et déposez un signalement sur cybermalveillance.gouv.fr.

Voir aussi Phishing carte Vitale et fausse amende ANTAI Phishing notarié — faux notaire et faux RIB Arnaque à la fausse facture par email Que faire après une arnaque en ligne Toutes nos ressources cybersécurité