Un message qui semble anodin, une signature connue, un lien incitatif… et la mécanique du piège se referme. Une nouvelle vague de phishing prend pour cible les utilisateurs de SumUp.
SumUp : attention à l’arnaque de la fausse mise à jour !
By
Published on 2 juin 2025 8h30
1,5 MILLIARD €En 2024 SumUp a levé 1,5 milliard d'euros.
Depuis le fin mai 2025, une campagne massive de phishing cible les utilisateurs de la plateforme de paiement électronique SumUp. Un courriel imitant à la perfection les communications officielles de l’entreprise incite les destinataires à mettre à jour une soi-disant nouvelle version de l’application. L’attaque, sophistiquée, menace la sécurité des données bancaires de milliers d’usagers, professionnels comme particuliers.
Un piège numérique soigneusement déguisé : le cas de la fausse mise à jour SumUp
C’est un message reçu par courriel, signé « L’équipe SumUp », avec une adresse qui semble légitime : [email protected]. Le contenu est bref, rassurant, presque banal. Il indique :
Nous vous informons qu'une mise à jour importante de notre application APP-SUM-2025 est disponible. Cette mise à jour est obligatoire pour assurer la continuité de vos versements. Merci de cliquer ci-dessous pour procéder à la mise à jour.
À première vue, tout semble en règle. Sauf que ce message est entièrement frauduleux. Il ne provient pas des serveurs officiels de SumUp, mais d’un réseau de cybercriminels cherchant à détourner les identifiants de connexion, voire les données de cartes bancaires.
Le lien proposé redirige vers un site imitant fidèlement l’interface de la plateforme. Une fois les informations saisies, le compte est compromis et les conséquences peuvent être désastreuses : vols de fonds, usurpation d’identité, détournement de transactions professionnelles.
SumUp vous explique comment repérer une tentative de phishing
Sur son site officiel, SumUp rappelle les bonnes pratiques pour détecter une tentative d’hameçonnage : « Les fraudeurs changent constamment d'approche, mais il existe toujours des moyens de vous protéger contre le phishing. » ("Comprendre les attaques de phishing", Centre d’aide SumUp, consulté le 2 juin 2025)
L’entreprise invite à une analyse rigoureuse du langage utilisé, souvent ponctué d’erreurs, de tournures maladroites ou de formulations trop insistantes. Autre point clé : l’adresse de l’expéditeur, qui doit impérativement se terminer par @sumup.com sans variation ni ajout suspect. Enfin, le lien contenu dans le message doit toujours rediriger vers le site sécurisé de SumUp (https://sumup.fr), jamais vers des plateformes de paiement détournées.
En cas de doute, SumUp recommande de ne jamais cliquer sur les liens suspects, de changer immédiatement ses mots de passe et de signaler l'incident à l’adresse suivante : [email protected], avec pour objet « Phishing attack ».
Quand SumUp devient l’instrument d’arnaques ciblées : le cas Qualibat
L’affaire aurait pu rester isolée. Mais en février 2024, une autre offensive orchestrée par des escrocs exploitait déjà la notoriété de SumUp. Cette fois, la victime était Qualibat, l’organisme de certification pour les artisans du bâtiment.
Selon l’alerte publiée à l’époque sur le site de la CAPEB (Confédération de l'artisanat et des petites entreprises du bâtiment) : « Des mails frauduleux sont envoyés au nom de Qualibat au sujet du renouvellement des certifications RGE. [...] Ce courriel invite au règlement du renouvellement [...] via SumUp. »
L’adresse utilisée, [email protected], usurpe l'identité de l'organisme pour pousser les professionnels à effectuer un faux paiement via un lien SumUp contrefait. Le lien menait vers une fausse page de règlement avec l’apparence d’un formulaire de paiement classique. La plateforme PHAROS, portail gouvernemental de signalement des contenus illicites, a été saisie par les autorités.
Arnaque SumUp : quelles conséquences pour les utilisateurs piégés ?
Les conséquences de ce type d’attaque sont majeures. Outre la perte financière, l’utilisateur victime d’un phishing peut faire face à une usurpation d’identité commerciale, des complications avec son établissement bancaire, ou des délits réalisés en son nom.
Et la question demeure : comment des acteurs malveillants parviennent-ils à détourner aussi facilement la confiance des utilisateurs ? L’absence de double authentification obligatoire, la sous-estimation des risques numériques, mais aussi la surcharge quotidienne des indépendants qui cliquent sans vérifier, sont autant de failles exploitées par les fraudeurs.