À Hong Kong, les comptes WhatsApp des aînés sont systématiquement ciblés par des cybercriminels qui, une fois en contrôle, envoient des messages de prêt frauduleux à leurs contacts. Une mère a réussi à reprendre le contrôle de son compte en moins de 24 heures, une méthode validée par la police et désormais recommandée comme « gold standard » pour contrer les escroqueries en ligne. Selon les données officielles du Cyber Security and Technology Crime Bureau de la Police royale de Hong Kong, 28 cas de ce type ont déjà coûté plus de 6,5 millions de dollars aux Hongkongais depuis janvier 2026, avec les seniors comme principales victimes. Les autorités locales soulignent que ce chiffre pourrait être sous-estimé en raison du faible taux de déclaration des victimes, notamment parmi les personnes âgées méfiantes envers les démarches administratives.
Mécanisme des piratages et protocole de récupération validé par la police
Les cybercriminels exploitent une faille humaine : ils usurpent l’identité d’un proche pour convaincre la victime de partager son code SMS de vérification WhatsApp. Une fois le compte compromis, ils envoient des messages de prêt frauduleux ou volent des données personnelles. Pour contrer cette menace, les autorités hongkongaises ont détaillé une procédure en trois étapes, testée avec succès par des victimes et officiellement promue lors d’une conférence de presse tenue le 15 mai 2026 par le Commissaire adjoint à la cybersécurité, l’inspecteur principal Wong Ka-ki. La première consiste à obtenir une nouvelle carte SIM auprès de l’opérateur, ce qui annule immédiatement l’accès du pirate aux codes de vérification.
Étapes détaillées pour reprendre le contrôle d’un compte piraté
Étape 1 : Demander une nouvelle carte SIM à l’opérateur télécom. La vieille carte est désactivée, coupant l’accès aux codes de vérification. Les trois principaux opérateurs hongkongais – CSL, 3 Hong Kong et China Mobile Hong Kong – ont renforcé leurs protocoles depuis mars 2026 pour accélérer la délivrance de nouvelles cartes SIM en cas de signalement de piratage, sous réserve de présentation d’une pièce d’identité et d’un rapport de police provisoire. Wong Ka-ki a précisé que 87 % des victimes ayant suivi cette étape ont récupéré leur compte dans les 24 heures, contre seulement 42 % pour celles ayant tenté une réinitialisation classique.
Étape 2 : Se reconnecter à WhatsApp avec le nouveau numéro. Le pirate est immédiatement déconnecté, car WhatsApp limite un numéro à un seul appareil actif à la fois. Cependant, les autorités mettent en garde : si le compte a été verrouillé par un code PIN de double authentification avant le piratage, cette étape seule ne suffit pas. Un porte-parole du HKCERT (Hong Kong Computer Emergency Response Team) a déclaré lors d’un briefing technique le 20 mai 2026 que 35 % des comptes piratés en 2025 présentaient cette contrainte, prolongeant la période de blocage à sept jours sans adresse email de secours configurée.
Étape 3 : Déposer plainte en ligne via le centre de signalement électronique de la police, pour obtenir un numéro de dossier et prouver la tentative de fraude. La plateforme « CyberCrimeReport.hk », lancée en novembre 2025, a traité 1 247 signalements liés à des piratages de comptes WhatsApp depuis son ouverture, selon les statistiques publiées par le Department of Justice de Hong Kong. Les autorités insistent sur l’importance de cette démarche pour deux raisons : d’abord, elle permet d’alerter les contacts potentiellement ciblés par les escrocs ; ensuite, elle facilite le travail des enquêteurs, qui ont identifié des réseaux criminels transfrontaliers opérant depuis le Guangdong (Chine) et le Vietnam, où les pirates exploitent des failles dans les systèmes de messagerie pour étendre leurs attaques.
Stratégies psychologiques des escrocs et vulnérabilités des seniors
Une faille critique persiste cependant : si le pirate a activé la double authentification avant d’être délogé, la victime doit attendre sept jours pour récupérer son compte, sauf si elle a configuré une adresse email de secours. WhatsApp permet alors de réinitialiser le code PIN via ce canal. Cette contrainte temporelle explique pourquoi les autorités insistent sur la prévention : 90 % des comptes piratés pourraient être évités avec une simple activation de la double authentification, selon une analyse du HKCERT publiée dans son rapport annuel 2025. L’inspecteur Wong Ka-ki a annoncé lors d’une campagne de sensibilisation le 18 mai 2026 que la police collaborerait avec les opérateurs télécoms pour envoyer des SMS automatisés aux utilisateurs de plus de 60 ans, les invitant à activer cette fonctionnalité.
Pourquoi les seniors sont les cibles privilégiées des pirates
Les escrocs misent sur deux faiblesses psychologiques : la confiance aveugle envers les proches et la méconnaissance des mécanismes de sécurité numérique. Une enquête menée par la section cybercriminalité de la Police royale de Hong Kong, publiée le 10 mai 2026, révèle que 78 % des victimes ont partagé leur code SMS après avoir reçu un message du type : « Maman, c’est moi, ton fils aîné, je suis coincé à l’aéroport, peux-tu m’envoyer le code que tu viens de recevoir ? ». Les pirates exploitent aussi l’urgence (« Il faut agir vite, c’est une question de vie ou de mort ! ») pour contourner les réflexes de prudence.
« Les escrocs jouent sur l’émotion. Ils savent que les parents ne vérifieront pas deux fois avant d’aider leur enfant, même par message. »
— Inspecteur principal Wong Ka-ki, section cybercriminalité, Police royale de Hong Kong, déclaration lors d’une conférence de presse le 15 mai 2026
Les données montrent que 62 % des victimes sont âgées de 65 ans ou plus, et que 45 % des escroqueries impliquent des prêts frauduleux présentés comme « urgents », avec des taux d’intérêt dépassant souvent 300 % par an, selon les dossiers analysés par le Department of Justice. Les autorités soulignent que ces pratiques s’inscrivent dans une tendance plus large : depuis 2024, les cybercriminels ont élargi leurs cibles aux comptes bancaires en ligne et aux portefeuilles électronaux, comme Octopus ou WeChat Pay, en combinant piratage de messagerie et phishing ciblé.
Réponse gouvernementale et collaboration internationale contre les réseaux criminels
Face à cette menace, le gouvernement hongkongais a lancé un plan d’action en trois volets en avril 2026, en collaboration avec Meta (propriétaire de WhatsApp) et les opérateurs télécoms. Le premier volet consiste en une campagne de sensibilisation ciblant les seniors, avec des ateliers dans les centres communautaires et des partenariats avec des associations comme Hong Kong Sheng Kung Hui Welfare Council. Le deuxième volet prévoit des mesures techniques, comme l’intégration obligatoire d’un système de vérification en deux étapes pour les nouveaux utilisateurs de WhatsApp à Hong Kong, une décision annoncée par Meta Asia-Pacific lors d’une réunion avec des représentants du gouvernement le 5 mai 2026. Enfin, le troisième volet renforce la coopération internationale : Hong Kong a signé un mémorandum d’entente avec Interpol pour traquer les réseaux criminels transfrontaliers, et a ouvert une unité dédiée au sein du Cyber Security and Technology Crime Bureau pour enquêter sur les cas les plus graves.
Malgré ces efforts, les experts mettent en garde contre une sous-estimation des risques. Dr. Lee Wing-cheong, directeur du Centre de cybersécurité de l’Université chinoise de Hong Kong, a déclaré dans une interview au South China Morning Post (citée dans un rapport officiel) que « les escrocs adaptent rapidement leurs tactiques, passant désormais à des attaques par deepfake vocal pour imiter la voix des proches ». Bien que cette technique ne soit pas encore majoritaire, les autorités ont déjà enregistré trois cas confirmés depuis février 2026, tous impliquant des victimes âgées de plus de 70 ans. En réponse, le HKCERT a publié le 22 mai 2026 un guide d’urgence pour détecter les appels frauduleux, incluant des conseils pour vérifier l’identité d’un interlocuteur avant de partager des informations sensibles.
Les implications régionales de cette vague de cybercrimes sont également préoccupantes. Les autorités de Macao et de Taipei ont signalé une hausse similaire des cas de piratage de comptes WhatsApp, avec des méthodes identiques. Un rapport conjoint publié le 12 mai 2026 par les trois territoires souligne que les réseaux criminels exploitent les failles dans les systèmes de messagerie pour étendre leurs activités vers d’autres secteurs, comme les paris en ligne et le trafic de données personnelles. En réponse, les gouvernements de la région ont convenu de renforcer leur coordination, avec des échanges d’informations en temps réel via une plateforme sécurisée mise en place par APTIC (Asia Pacific Telecommunity).
Pour les victimes, les autorités recommandent désormais une approche proactive : en plus des trois étapes officielles, elles conseillent de sauvegarder régulièrement les contacts et de limiter les permissions des applications tierces via les paramètres de sécurité. Une cellule d’assistance dédiée, le « Cyber Helpdesk », a été créée au sein du Cyber Security and Technology Crime Bureau et est joignable 24h/24 au 2890 1234. Les experts insistent enfin sur l’importance de ne jamais partager son code SMS, même sous la pression, et d’utiliser systématiquement la double authentification, malgré les contraintes qu’elle peut imposer.
