Détecter une arnaque en ligne, ce n’est pas une affaire d’instinct : c’est une affaire de méthode. Les sites frauduleux — fausses boutiques, faux services, faux investissements, faux supports techniques — partagent des caractéristiques structurelles qui se répètent d’une arnaque à l’autre, parce qu’elles découlent toutes de la même contrainte : le fraudeur construit vite, dépense peu, et ne compte pas durer. Chacune de ces contraintes laisse des traces mesurables.
Chez La Web Factory, nous avons analysé et audité des centaines de sites, légitimes comme douteux. De cette expérience — et de la conception de notre outil gratuit AI Trust Score, qui automatise ces vérifications — nous avons tiré cette liste de 25 signaux, regroupés en six familles : identité, nom de domaine, technique, contenus, réputation et pratiques commerciales. Aucun signal isolé ne suffit à conclure ; c’est leur accumulation qui fait le diagnostic. Comptez les signaux présents sur le site qui vous fait douter : au-delà de cinq, la prudence s’impose ; au-delà de dix, fuyez.
Famille 1 — L’identité de l’éditeur (signaux 1 à 5)
1. L’absence de mentions légales
Le signal roi. En France, l’affichage des mentions légales est une obligation pour tout site professionnel : dénomination sociale, adresse, SIREN, contact, hébergeur. Un site marchand ou un site de services sans mentions légales viole la loi dès sa première page — et un éditeur qui commence par violer la loi pour se cacher vous dit tout ce que vous devez savoir. Vérifiez le pied de page : si le lien « Mentions légales » est absent, vide, ou mène à une page générique sans aucun nom, le diagnostic est quasiment posé.
2. Un SIREN invérifiable, usurpé ou incohérent
Les fraudeurs affichent parfois de fausses mentions légales, avec un numéro SIREN inventé ou copié sur une entreprise réelle. Prenez trente secondes pour rechercher le numéro sur l’Annuaire des Entreprises (annuaire-entreprises.data.gouv.fr) : entreprise inexistante, radiée, en liquidation, dont le nom ne correspond pas au site, ou dont l’activité déclarée n’a aucun rapport avec ce que vend le site — chacune de ces incohérences est un signal fort d’usurpation d’identité.
3. Aucune adresse physique, aucun numéro de téléphone
Une entreprise réelle est joignable. Un site qui ne propose qu’un formulaire de contact anonyme, ou une adresse email en domaine gratuit (gmail, outlook, proton) au lieu d’une adresse professionnelle à son propre nom de domaine, organise son injoignabilité. C’est cohérent avec un modèle où le service client n’existera jamais.
4. Une équipe invisible ou fabriquée
Pages « À propos » sans aucun nom réel, photos d’équipe issues de banques d’images ou générées par IA (visages trop lisses, arrière-plans incohérents, mains suspectes), dirigeants introuvables sur LinkedIn ou dans les registres : l’anonymat systématique est un choix, et rarement un choix innocent pour un site qui vous demande de l’argent. La recherche d’image inversée (Google Lens, TinEye) démasque les photos recyclées en quelques secondes.
5. Une histoire d’entreprise invérifiable
« Entreprise familiale depuis 1987 », « plus de 50 000 clients satisfaits », « vu à la télévision » : autant d’affirmations qui ne coûtent rien à écrire. Cherchez la trace : archives presse, registre du commerce, ancienneté du domaine, mentions extérieures. Une entreprise prétendument trentenaire dont le web n’a jamais entendu parler avant le mois dernier s’est trahie elle-même.
Famille 2 — Le nom de domaine (signaux 6 à 9)
6. Un domaine créé il y a quelques semaines
Le WHOIS (who.is) révèle la date de création du domaine en dix secondes. La grande majorité des sites frauduleux opèrent sur des domaines de moins de six mois — souvent moins de deux. Croisez avec les prétentions du site : une « référence du secteur » sur un domaine de trois semaines est un oxymore. Nuance importante : jeune ne veut pas dire frauduleux — nous y consacrons un article entier, peut-on faire confiance à un site récent ? — mais jeune + prix cassés + identité floue, oui.
7. Le typosquatting : l’imitation d’une marque connue
adidas-outlet.shop, amaz0n-deals.net, banquepostale-securite.com : le typosquatting consiste à imiter un domaine légitime en le modifiant légèrement (lettre remplacée, tiret ajouté, mot accolé, extension changée). Vérifiez toujours le domaine exact, caractère par caractère, en particulier lorsque vous arrivez depuis un email ou une publicité. Une marque officielle communique ses domaines sur ses canaux vérifiés.
8. Des extensions exotiques à bas coût
Les extensions .shop, .top, .xyz, .site, .online sont vendues à quelques centimes lors de promotions — raison pour laquelle les campagnes frauduleuses les utilisent massivement. Aucune extension n’est coupable en soi ; mais une prétendue boutique française de produits de marque sur un .top créé le mois dernier coche deux cases d’un coup.
9. Un domaine sans rapport avec le nom affiché du site
Le site s’appelle « Maison Léonie » mais le domaine est best-deals-2026.shop ? L’incohérence entre l’identité de façade et l’infrastructure révèle les opérations industrialisées, où le même squelette de site est décliné sous des dizaines de façades. Regardez aussi l’adresse des pages de paiement : une redirection vers un domaine tiers inconnu au moment de payer est un signal critique.
Famille 3 — Les signaux techniques (signaux 10 à 13)
10. L’absence de HTTPS — et le faux réconfort du cadenas
Double signal. L’absence de HTTPS sur un site qui collecte des données est disqualifiante en 2026 : plus aucun professionnel sérieux ne l’omet. Mais attention au raisonnement inverse : le cadenas ne prouve rien, les certificats étant gratuits et automatiques. La quasi-totalité des sites frauduleux modernes ont un HTTPS parfaitement valide. Le HTTPS élimine ; il n’innocente jamais.
11. Un site assemblé à la va-vite
Liens morts, pages « Lorem ipsum » oubliées, menus qui pointent vers des pages vides, mélange de langues résiduel (boutons en anglais sur un site prétendument français, tailles US, devise qui change selon les pages), logos pixellisés : autant de traces d’un assemblage express à partir d’un template. Un commerçant qui compte durer soigne sa boutique ; un fraudeur qui compte disparaître dans six semaines ne s’en donne pas la peine.
12. Aucune existence dans les moteurs de recherche
Tapez site:nomdudomaine.com dans Google : si le moteur n’a indexé que deux ou trois pages, le site est soit très jeune, soit volontairement discret. Complétez avec une recherche du nom du site en excluant son propre domaine (-site:nomdudomaine.com) : un site dont personne ne parle nulle part n’a aucune existence sociale — profil typique du site jetable. Attention, l’inverse n’est pas une garantie : un site bien positionné sur Google n’est pas forcément fiable.
13. Des trackers et scripts douteux
Signal pour utilisateurs avancés : un coup d’œil au code source (ou aux outils réseau du navigateur) révèle parfois des scripts de collecte agressifs, des pixels vers des plateformes obscures, voire des enregistreurs de saisie. Sans aller jusque-là, un site saturé de pop-ups, de notifications push insistantes et de redirections a déjà montré comment il traite ses visiteurs.
Famille 4 — Les contenus (signaux 14 à 17)
14. Des textes massivement générés par IA, vagues et interchangeables
L’IA générative a fait disparaître les fautes d’orthographe grossières qui trahissaient les arnaques d’hier. Ce qui reste : la vacuité. Des pages entières qui parlent sans rien dire, sans nom propre, sans lieu, sans détail concret, sans preuve, dans un style uniformément lisse. Un test simple : après avoir lu la page « À propos », savez-vous concrètement qui sont ces gens, où ils sont, depuis quand ? Si la réponse est non, le texte a été écrit pour remplir, pas pour informer.
15. Des contenus copiés sur d’autres sites
Copiez une phrase distinctive des CGV ou d’une description produit et collez-la entre guillemets dans Google. Si elle apparaît mot pour mot sur dix autres boutiques, vous êtes face à un clone. Les opérations frauduleuses industrialisées répliquent le même site sous des dizaines de domaines ; le duplicate content est leur empreinte digitale.
16. Des images volées ou générées
Photos produits identiques à celles d’une grande place de marché asiatique, photos « de l’atelier » provenant d’une banque d’images, portraits de clients générés par IA : la recherche d’image inversée est l’un des outils anti-arnaque les plus rentables qui soient. Une boutique qui n’a aucune photo originale de ses propres produits n’a probablement jamais eu ces produits en stock.
17. Des promesses irréalistes
« Revenus garantis », « résultats sans effort », « gagnez 500 € par jour », « produit miracle approuvé par les médecins », « placement sans risque à 12 % » : la promesse irréaliste est le moteur de toutes les arnaques, de la fausse boutique au faux investissement. Règle absolue : plus la promesse est extraordinaire, plus le niveau de preuve exigé doit l’être — et une promesse extraordinaire sans preuve extraordinaire est un signal d’arnaque en soi.
Famille 5 — La réputation (signaux 18 à 21)
18. Des avis uniquement hébergés sur le site lui-même
Les blocs d’avis affichés sur le site sont sous le contrôle total de son propriétaire : ils n’ont aucune valeur probante. Prénoms génériques, photos de stock, cinq étoiles unanimes, absence de lien vers un profil vérifiable : du théâtre. La réputation se vérifie à l’extérieur — Google, Trustpilot, forums de consommateurs, réseaux sociaux.
19. Un profil d’avis externes incohérent
Sur les plateformes tierces, méfiez-vous des deux extrêmes : zéro avis nulle part (site trop jeune pour avoir une réputation — cohérent avec une opération jetable) et la perfection suspecte (note de 5/5 construite en quinze jours, avis rédigés dans le même style, pic soudain d’avis positifs après une vague d’avis négatifs — signature d’une campagne de faux avis achetés). Un profil sain est étalé dans le temps, mélange satisfaits et déçus, et montre un commerçant qui répond.
20. Des signalements sur les plateformes anti-arnaque
Réflexe systématique avant tout premier achat : recherchez « nom du site + arnaque » et « nom du site + avis » sur Google, et consultez les sites de signalement communautaires (Signal-Arnaques, ScamDoc, les forums de 60 Millions de consommateurs). Si des victimes ont déjà documenté leur mésaventure, vous venez d’économiser le prix de votre commande.
21. Des réseaux sociaux fantômes
Comptes créés le mois dernier, trois publications, des milliers de followers achetés mais deux likes par post, commentaires désactivés ou remplis de plaintes ignorées : les réseaux sociaux d’un site frauduleux sont un décor de cinéma. Une vraie entreprise a un historique social : publications étalées dans le temps, interactions réelles, clients qui la mentionnent spontanément.
Famille 6 — Les pratiques commerciales (signaux 22 à 25)
22. Des prix anormalement bas sur des produits recherchés
L’appât classique : -60 % permanent sur des produits de marque que personne d’autre ne solde. Demandez-vous toujours pourquoi ce vendeur inconnu vendrait moins cher que l’ensemble du marché, distributeurs officiels compris. Il n’y a presque jamais de bonne réponse : c’est soit de la contrefaçon, soit du vent. Notre guide pour reconnaître un faux site e-commerce détaille cette mécanique.
23. L’urgence artificielle : comptes à rebours et stocks fantômes
« Offre expirée dans 09:41 », « plus que 2 exemplaires », « 17 personnes regardent ce produit » : ces compteurs sont, sur les sites douteux, de purs scripts décoratifs — rechargez la page, le compte à rebours repart. L’urgence artificielle a un seul but : court-circuiter votre réflexion et vous empêcher de faire précisément les vérifications décrites dans cet article. Traitez tout compte à rebours comme une invitation à ralentir.
24. Des moyens de paiement irréversibles
Le moyen de paiement demandé révèle l’intention. Virement bancaire exigé, cryptomonnaies, coupons prépayés, mandat cash : autant de canaux sans recours, plébiscités par les fraudeurs. Un commerce légitime propose le paiement par carte via un prestataire reconnu (avec possibilité de rétrofacturation) et souvent PayPal (avec protection acheteur). Si le seul moyen proposé est irréversible, ne payez pas — jamais.
25. Des CGV absentes, copiées ou incohérentes
Les conditions générales de vente d’un site frauduleux sont soit absentes, soit copiées ailleurs (testez une phrase entre guillemets dans Google), soit incohérentes : autre nom de société que les mentions légales, droit de rétractation raboté en dessous des 14 jours légaux européens, retours à envoyer à l’autre bout du monde aux frais du client. Avant tout paiement à un professionnel, appliquez aussi notre check-list : comment vérifier une entreprise avant de payer.
Les mêmes signaux, d’une typologie d’arnaque à l’autre
Un des intérêts de cette grille est qu’elle fonctionne au-delà de la fausse boutique. La fausse boutique e-commerce concentre les signaux 6, 8, 16, 22, 23 et 24 : domaine jeune à extension bas coût, images volées, prix cassés, urgence, paiement douteux. Le faux service d’investissement (trading, cryptomonnaies, livrets à rendement mirifique) inverse le style — sites léchés, vocabulaire réglementaire, faux conseillers disponibles — mais bute sur les mêmes fondamentaux : entité invérifiable ou domiciliée dans une juridiction opaque (signaux 2 et 5), promesses de rendement garanties (signal 17), pression temporelle (signal 23) et virements exigés vers des comptes tiers (signal 24). Ajoutez-y un contrôle spécifique : la liste noire de l’AMF et le registre des prestataires agréés — tout « courtier » absent des registres officiels est disqualifié.
Le faux support technique (pop-up alarmiste « votre ordinateur est infecté », faux numéro d’assistance) mise tout sur l’urgence (23) et l’injoignabilité inverse — c’est lui qui vous appelle ou vous alerte, jamais l’inverse : aucun éditeur légitime n’affiche de numéro d’assistance dans une pop-up de navigation. Le faux site administratif (cartes grises, ESTA, extraits d’actes facturés au prix fort) se repère aux signaux 7 et 9 : domaine imitant l’administration sans être en .gouv.fr, et façade sans rapport avec l’entité réelle qui encaisse. Enfin, l’hameçonnage (phishing) est le cas limite : le site copie pixel par pixel un site légitime, et seul le signal 7 — l’examen du domaine, caractère par caractère — le trahit à coup sûr. Dans tous les cas, la méthode reste la même : ignorer la façade, vérifier la structure.
Comment utiliser cette liste : la méthode du faisceau d’indices
Aucun de ces 25 signaux, pris isolément, ne prouve une arnaque — et aucune absence de signal ne prouve l’honnêteté. Un site légitime peut être jeune ; une boutique honnête peut avoir des CGV maladroites ; un commerçant réel peut avoir des avis moyens. Le diagnostic se fait au faisceau d’indices, en pondérant : les signaux d’identité (1-5) et de paiement (24) pèsent plus lourd que les signaux cosmétiques. C’est exactement la logique de notre AI Trust Score : chaque dimension est notée, pondérée, et des garde-fous plafonnent le score global quand un signal critique est détecté — pas de HTTPS, aucune identité vérifiable, ou accumulation de signaux d’alerte. Vous obtenez un score sur 100 et la liste des signaux détectés, gratuitement, en une minute.
Pour les situations à fort enjeu — gros montant, nouveau fournisseur, partenariat — l’analyse automatique gagne à être complétée par un audit humain : vérifications manuelles, preuves horodatées, rapport PDF. C’est la version « expertise judiciaire » du réflexe que cet article vous propose d’adopter.
FAQ — Détecter une arnaque sur internet
Combien de signaux faut-il pour conclure à une arnaque ?
Il n’y a pas de seuil magique, mais une règle pratique : un à trois signaux mineurs appellent une vérification approfondie ; cinq signaux ou plus imposent la prudence maximale ; la présence d’un seul signal critique (aucune identité vérifiable, paiement uniquement par virement, SIREN usurpé) suffit à renoncer, quel que soit le reste.
Quels sont les signaux les plus graves ?
Les signaux d’identité et de paiement : absence de mentions légales, SIREN invérifiable ou usurpé, injoignabilité organisée, et moyens de paiement irréversibles exigés. Ils touchent au cœur du modèle frauduleux : encaisser sans être identifiable ni remboursable.
Les arnaques utilisent-elles vraiment l’intelligence artificielle ?
Oui, massivement : textes générés (qui ont fait disparaître les fautes d’orthographe autrefois révélatrices), fausses photos d’équipe et de produits, faux avis rédigés en masse, chatbots de « service client » factices. C’est pourquoi les vérifications structurelles (identité, WHOIS, réputation externe, paiement) sont devenues plus importantes que les indices stylistiques.
Existe-t-il un outil gratuit pour vérifier un site suspect ?
Oui : l’AI Trust Score de La Web Factory analyse gratuitement un site selon ces familles de critères — identité, ancienneté, technique, contenus, réputation, popularité, signaux d’alerte — et restitue un score de confiance sur 100 avec le détail des signaux détectés, en 60 secondes environ.
Que faire si je détecte une arnaque après avoir payé ?
Contactez immédiatement votre banque (opposition, demande de rétrofacturation pour un paiement par carte), conservez toutes les preuves (captures d’écran, emails, relevés), signalez sur Pharos (internet-signalement.gouv.fr) et SignalConso, et déposez plainte — la procédure THESEE permet de le faire en ligne pour les escroqueries sur internet. Si vous avez réutilisé un mot de passe, changez-le partout.
Un site peut-il être fiable malgré quelques signaux de cette liste ?
Oui. Un site jeune, aux CGV imparfaites, avec peu d’avis, peut être une entreprise honnête qui démarre. La différence se fait sur les signaux d’identité et de transparence : une jeune entreprise légitime est identifiable, joignable, immatriculée, et répond à vos questions. Le doute résiduel se lève en la contactant — ou en commandant un audit de fiabilité si l’enjeu le justifie.
Conclusion : la vigilance est une check-list, pas un talent
On ne « sent » pas une arnaque : on la détecte, méthodiquement, en vérifiant des faits que le fraudeur ne peut pas falsifier à peu de frais — l’identité juridique, l’âge du domaine, la réputation extérieure, la réversibilité du paiement. Gardez cette liste de 25 signaux en favori, ritualisez trois minutes de vérification avant tout premier paiement à un site inconnu, et quand vous voulez aller vite : collez l’URL dans l’AI Trust Score et laissez l’analyse tourner. Le score est gratuit ; le doute levé n’a pas de prix.





