Depuis le début de l’année 2026, des messages frauduleux circulent par SMS et email, prétendant que la nouvelle carte Vitale est disponible. Ces messages, qui reprennent l’identité visuelle de l’Assurance maladie, incitent les destinataires à cliquer sur un lien pour obtenir leur carte.
L’objectif est la collecte de données personnelles et bancaires. Le site Clubic a signalé cette campagne, qui se distingue par la qualité de sa présentation. Plus de 160 signalements ont été recensés sur une plateforme gouvernementale dédiée. Les courriels frauduleux proviennent d’adresses proches de celles utilisées par les services officiels, comme « [[email protected]](mailto:[email protected]) ».
La présentation respecte les codes graphiques du site Ameli : typographie, couleurs, logo, mise en page. Une rubrique « questions fréquentes » est insérée, renforçant l’illusion de fiabilité. Le message principal affirme que la carte Vitale 2026 est prête à être expédiée. Cette formulation encourage une action immédiate, en incitant à cliquer pour mettre à jour ses informations.
Une fois sur la page liée, l’utilisateur est invité à fournir ses données personnelles, y compris bancaires. L’opération ne correspond à aucune communication officielle de l’Assurance maladie. Aucun envoi généralisé de carte Vitale n’est en cours à l’échelle nationale. La présentation du message vise à neutraliser la méfiance habituelle des internautes en reproduisant fidèlement les éléments visuels d’un organisme public.
Un contenu incohérent révèle l’origine frauduleuse de l’arnaque à la carte Vitale
Un détail dans le contenu permet de distinguer le message frauduleux d’un courrier authentique. À la question « ma carte actuelle est-elle toujours valable ? », le texte répond qu’elle reste valide jusqu’à sa date d’expiration. Cette information est erronée. La carte Vitale n’a pas de date d’expiration. C’est ce qu’a rappelé Pierre Piveteau, directeur général de Cyber Veille, qui a publié un exemple de ce message sur LinkedIn pour sensibiliser les utilisateurs.
Autre élément vérifiable : l’adresse de l’expéditeur. Les messages officiels d’Ameli utilisent un domaine en « .fr ». Le message frauduleux utilise une adresse en « .com ». Cette différence de domaine constitue une incohérence avec les pratiques administratives françaises. Ce détail permet de détecter l’origine non officielle du message.
Ce type de fraude repose sur l’usurpation d’une institution reconnue pour installer un climat de confiance. Des cas similaires ont concerné des services fiscaux, des transporteurs et des banques. La vérification de l’adresse, l’analyse du contenu et l’absence de réaction précipitée restent des moyens efficaces pour se protéger. Toute tentative doit être signalée aux autorités via les canaux officiels.
