⚡ Points Clés

Une copie contrefaite de la plateforme officielle ADAHI en Algérie est apparue en quatre jours après son lancement, dans une vague de fraude par sites clones visant Algérie Poste et les portails de paiement. Avec plus de 235 000 attaques de phishing recensées et 80 % des incidents cyber algériens liés à la fraude financière, vérifier la vraie adresse .dz avant de saisir ses données de carte est devenu essentiel.

En résumé : Les organismes publics et les banques d’Algérie devraient enregistrer les domaines sosies défensifs, publier une seule URL officielle et surveiller les clones avant chaque lancement d’e-service, tandis que les citoyens doivent lire l’adresse complète avant de saisir tout code PIN ou à usage unique.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé

Les sites clones ont déjà visé la plateforme ADAHI et les services d’Algérie Poste, touchant des millions de nouveaux utilisateurs de paiement pendant le déploiement en cours des cartes et e-services.
Calendrier d’action
Immédiat

Les clones apparaissent en quelques jours après tout lancement ; domaines défensifs, surveillance et avis aux citoyens doivent donc être en place avant et pendant chaque mise en service.
Parties prenantes clés
Organismes d’e-services publics, banques, SATIM, Algérie Poste, DZ-CERT, citoyens

Assessment: Organismes d’e-services publics, banques, SATIM, Algérie Poste, DZ-CERT, citoyens. Review the full article for detailed context and recommendations.
Type de décision
Tactique

Il s’agit d’un mode opératoire concret de mesures de domaines, de surveillance et de sensibilisation que les institutions et les utilisateurs peuvent adopter directement, pas d’un pari stratégique à long terme.
Niveau de priorité
Élevé

La fraude financière représente 80 % des incidents cyber algériens et un seul clone convaincant peut renvoyer les utilisateurs hésitants vers le cash, freinant l’adoption du paiement numérique.

En bref : Traitez chaque lancement d’e-service comme une course contre un clone. Les organismes publics et les banques devraient enregistrer les domaines sosies à l’avance, publier une seule URL officielle et surveiller les journaux de certificats à la recherche de copies ; les citoyens devraient lire l’adresse web complète et accéder aux services en tapant le domaine connu ou en ouvrant l’application certifiée plutôt qu’en cliquant sur un lien.

Publicité

Le clone en quatre jours : des domaines .dz sosies traquent les lancements officiels

Chaque fois qu’un organisme public algérien lance un nouvel e-service, il se retrouve en concurrence avec une version fantôme de lui-même. L’exemple récent le plus clair est venu d’ADAHI, la plateforme officielle utilisée par les citoyens pour réserver leurs moutons de sacrifice avant l’Aïd al-Adha. Selon un reportage détaillé d’ITMag sur le défi de la confiance dans le paiement en Algérie, des fraudeurs ont mis en ligne une version contrefaite de la plateforme dans les quatre jours suivant le lancement officiel — assez vite pour capter la vague de citoyens cherchant le nouveau service avant même que la plupart ne connaissent la vraie URL.

La technique est volontairement simple. Un domaine sosie emprunte l’apparence, le logo et les formulations exactes du portail authentique, puis remplace l’adresse web par quelque chose qui se lit presque à l’identique au premier coup d’œil. La presse spécialisée qui a couvert l’affaire, notamment le récit de Maghreb Émergent sur les fausses copies d’adhahi.dz, a décrit des sites conçus pour collecter les données personnelles et de paiement d’utilisateurs persuadés d’être sur le vrai service. Ce n’est pas l’histoire d’une faille technique dans un système algérien — les plateformes authentiques n’ont pas été piratées. C’est une affaire de reconnaissance de motifs : les fraudeurs clonent la façade d’une marque de confiance et misent sur un utilisateur pressé qui ne vérifie pas la barre d’adresse.

Algérie Poste a vu le même stratagème viser ses propres services. Dans un avis public relayé par Algérie Focus, l’opérateur a mis en garde contre de faux sites reproduisant son interface et collectant codes PIN et mots de passe à usage unique, ainsi que des SMS frauduleux et de fausses pages de « concours » qui se propagent sur les réseaux sociaux. L’opérateur a été explicite sur une règle à mémoriser : il ne demande jamais de codes d’accès par téléphone, SMS ou message privé, et ses services légitimes ne se trouvent qu’à des adresses officielles connues et sur des applications certifiées.

Pourquoi les portails de paiement algériens attirent les clones les plus convaincants

Les sites clones suivent l’argent, et les chiffres expliquent cette concentration. En citant les données rapportées par Algérie 360 à partir de l’alerte d’Algérie Poste, l’Algérie a détecté environ 70 millions de cyberattaques en 2024, traité plus de 2 700 affaires de criminalité numérique durant les dix premiers mois de l’année, et vu les cas d’arnaques cyber financières grimper à 550 contre 370 un an plus tôt. Près de 80 % de ces incidents relevaient de la fraude financière, et les autorités ont intercepté quelque 13 millions de tentatives de phishing — une ampleur qui place l’Algérie au 17e rang mondial pour l’exposition à cette catégorie d’attaques.

Deux caractéristiques du moment que vit le paiement numérique algérien rendent les portails d’e-services particulièrement attractifs. D’abord, l’adoption s’accélère : des services comme les cartes Edahabia et CIB, BaridiMob et la migration vers la carte CNEP-Poste — qui a remplacé les livrets d’épargne papier à partir du 1er mai 2026 — attirent des millions de nouveaux utilisateurs vers des parcours de paiement qu’ils n’ont jamais empruntés. Un novice n’a aucune mémoire visuelle de ce à quoi ressemble la vraie adresse. Ensuite, la confiance est fragile. Le secrétaire général de SATIM, qui gère le réseau interbancaire de paiement électronique en Algérie, a souligné dans le reportage d’ITMag un point qui reformule tout le problème : un utilisateur dont la première transaction en ligne échoue revient rarement. Un seul clone convaincant qui avale les données de carte de quelqu’un ne vole pas qu’une personne — il peut renvoyer toute une cohorte d’utilisateurs hésitants vers le paiement à la livraison.

C’est pourquoi la riposte défensive doit être systémique plutôt que laissée à la seule vigilance individuelle. La bonne nouvelle, c’est que les briques — de l’enregistrement défensif de domaines à la détection partagée des signaux de fraude — sont bien comprises et à la portée des institutions algériennes dès aujourd’hui.

Publicité

Ce que les organismes publics et les banques d’Algérie devraient faire

La fraude aux sites clones est un problème opérationnel soluble. Les institutions qui lancent des e-services peuvent prendre de vitesse les copieurs en traitant l’hygiène des domaines et l’éducation des citoyens comme une partie de chaque lancement, et non comme une réflexion après coup.

1. Enregistrer les domaines sosies évidents avant chaque lancement public

Avant d’annoncer un nouveau service, acquérez les variantes défensives de votre domaine : fautes de frappe courantes, substitutions de caractères (le classique « rn » qui se lit « m »), extensions alternatives et formes avec trait d’union. Le coût est faible au regard d’une vague de fraude, et cela prive les attaquants des fausses adresses les plus naturelles. Le registre .dz et les bureaux d’enregistrement accrédités rendent l’opération simple pour les organismes publics. Ne vous arrêtez pas au nom .dz principal — un citoyen qui cherche dans la précipitation cliquera tout aussi volontiers sur une copie en .com ou .net, si bien que le filet défensif doit dépasser l’extension nationale. Lorsqu’un sosie est déjà enregistré par un tiers, consignez-le pour surveillance plutôt que de le supposer inoffensif.

2. Publier une seule URL officielle et la répéter sans relâche

Choisissez une seule adresse officielle par service et faites-en la seule que les citoyens voient jamais. Algérie Poste montre déjà bien l’exemple en désignant eccp.poste.dz et ses applications certifiées comme les seuls canaux légitimes, et en affirmant clairement qu’elle ne demande jamais de codes par message. Imprimez l’URL officielle sur les cartes, les reçus, les SMS avec un identifiant d’expéditeur reconnaissable comme « ALG Poste », et sur chaque affiche. La cohérence est un contrôle de sécurité : quand la vraie adresse est ancrée dans la mémoire du public, un sosie se remarque au lieu de se fondre dans le décor. Évitez les raccourcisseurs de liens et les URL de campagne changeantes dans les communications officielles — ils habituent les citoyens à cliquer sur des adresses illisibles, précisément l’habitude qu’exploitent les fraudeurs.

3. Mettre en place une surveillance continue des domaines sosies

Les attaquants enregistrent les clones après le lancement, donc une vérification unique ne suffit pas. Les institutions devraient surveiller en continu les nouveaux enregistrements de domaines et les journaux de transparence des certificats qui ressemblent à leur marque, afin qu’une nouvelle copie de type « adahi » soit repérée en quelques heures plutôt qu’après les plaintes des victimes. Le cas ADAHI a montré que la fenêtre est d’environ quatre jours entre le lancement et le clone — assez étroite pour que ce soit l’alerte automatisée, et non les balayages manuels, qui la referme. Des outils gratuits et peu coûteux fondés sur les journaux publics de certificats rendent cela accessible même aux petites agences publiques sans grande équipe de sécurité.

4. Bâtir des voies de retrait rapides et coordonnées

La détection ne sert que si un clone peut être retiré rapidement. Établissez des relations permanentes avec les hébergeurs, le registre .dz et DZ-CERT afin qu’une copie frauduleuse vérifiée puisse être signalée et déréférencée dans un délai prévisible. Associez les retraits à une alerte publique immédiate sur des canaux certifiés nommant la fausse adresse, pour que les citoyens ayant déjà reçu le lien soient prévenus avant la fin du retrait. Ici, la vitesse compte plus que la perfection : chaque heure où un clone reste en ligne, c’est une nouvelle cohorte de données de carte collectées.

5. Partager les signaux de fraude entre banques et opérateurs

Aucune institution ne voit l’attaque dans son ensemble. Le reportage d’ITMag a mis en avant des approches où banques et opérateurs télécoms échangent des signaux de fraude — y compris des techniques préservant la confidentialité qui leur permettent de collaborer sans échanger les données des clients — et des systèmes d’apprentissage automatique qui signalent les messages suspects. Dans un déploiement européen cité dans ce reportage, de tels systèmes ont bloqué 95 % des fraudes d’emblée. Les banques algériennes, SATIM et l’opérateur postal se renforceraient mutuellement en mettant en commun les indicateurs de campagnes de clones actives plutôt qu’en les combattant isolément.

Une liste de vérification pour les citoyens

Les institutions portent l’essentiel de la responsabilité, mais quelques réflexes permettent à n’importe quel utilisateur algérien de déjouer un site clone en quelques secondes. Avant de saisir un numéro de carte, un PIN ou un code à usage unique, parcourez cette liste :

  • Lisez l’adresse complète, pas seulement le logo. Les fraudeurs copient le design à la perfection ; ils ne peuvent pas copier le domaine officiel exact. Méfiez-vous des substitutions de caractères comme « rn » se faisant passer pour « m » ou un « 1 » à la place d’un « l », l’astuce derrière de fausses adresses comme « paypa1 » pour « paypal » signalée dans le guide d’Info-Algérie pour repérer le phishing.
  • Accédez au service par vous-même. Tapez l’adresse officielle connue ou ouvrez l’application certifiée au lieu de cliquer sur un lien reçu par SMS, e-mail ou WhatsApp.
  • Méfiez-vous de l’urgence. Les messages exigeant d’agir « immédiatement » sous peine de suspension de compte ou pour réclamer un prix sont la signature d’une arnaque, pas d’une vraie institution.
  • Ne partagez jamais vos codes OTP ou PIN. Algérie Poste et les banques ne les demandent jamais par appel, message ou discussion privée — quiconque le fait est un fraudeur.
  • Vérifiez le badge de certification sur toute page de réseau social proposant un service ou un concours officiel, et confirmez l’identifiant d’expéditeur des SMS.

La fraude aux sites clones fonctionne sur la vitesse et la surprise, mais les deux se contrent. Quand les institutions enregistrent leurs sosies, publient une seule adresse et surveillent les copies — et quand les citoyens apprennent à lire la barre d’adresse avant de taper un code — le clone en quatre jours perd l’avance qui le rend rentable. L’élan de l’Algérie vers le paiement numérique est réel et s’accélère ; protéger la confiance qui le porte, c’est le travail qui le maintient en mouvement.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Qu’est-ce qu’une arnaque par site clone ou domaine sosie ?

C’est un faux site web conçu pour imiter un service officiel de confiance — en copiant son logo, sa mise en page et ses formulations — tout en utilisant une adresse web légèrement différente. Les victimes qui se croient sur le vrai portail saisissent numéros de carte, PIN ou codes à usage unique, que les fraudeurs collectent. En Algérie, une copie contrefaite de la plateforme officielle ADAHI est apparue dans les quatre jours suivant son lancement.

Comment savoir si un e-service algérien en .dz est authentique ?

Lisez l’adresse complète dans la barre plutôt que de vous fier au logo, et méfiez-vous des substitutions de caractères comme « rn » se faisant passer pour « m » ou un « 1 » remplaçant un « l ». Accédez au service en tapant l’adresse officielle connue ou en ouvrant l’application certifiée plutôt qu’en cliquant sur un lien reçu par SMS ou messagerie. Algérie Poste, par exemple, désigne eccp.poste.dz et ses applications certifiées comme ses seuls canaux légitimes et ne demande jamais de codes d’accès par message.

Pourquoi les portails de paiement algériens sont-ils des cibles si fréquentes ?

La fraude financière représente environ 80 % des incidents cyber algériens, et l’adoption rapide d’Edahabia, CIB, BaridiMob et de la nouvelle carte CNEP-Poste amène des millions de nouveaux utilisateurs qui n’ont aucune référence de ce à quoi ressemble le vrai site. Comme un utilisateur dont la première transaction en ligne échoue revient rarement, un seul clone peut nuire à la confiance de toute une cohorte — ce qui fait de ces portails une cible de grande valeur.

Sources et lectures complémentaires