Vous avez reçu un email de transfer@pcloud.com avec un fichier à télécharger, expédié par une société que vous ne connaissez pas. Avant de cliquer, lisez ceci.
Les arnaques via pCloud Transfer sont actives depuis plusieurs années et touchent des milliers d’utilisateurs chaque mois. Le service pCloud n’est pas piraté, mais son outil de transfert est régulièrement détourné pour diffuser des malwares.
pCloud Transfer, comment ça fonctionne
pCloud Transfer est un service gratuit d’envoi de fichiers volumineux par email. Pas besoin de compte, pas de vérification d’identité : n’importe qui peut envoyer n’importe quel fichier à n’importe quelle adresse.
C’est ce qui le rend aussi pratique que dangereux. Les pirates envoient leurs fichiers infectés via l’infrastructure officielle de pCloud, ce qui donne à leurs emails une apparence légitime impossible à distinguer au premier coup d’oeil.
Pourquoi ces emails sont difficiles à repérer
Les faux emails pCloud Transfer ne ressemblent pas aux arnaques habituelles. Pas de fautes d’orthographe, pas de mise en page approximative. Ils reprennent à l’identique le design des notifications officielles et utilisent des expéditeurs fictifs crédibles : cabinets comptables, notaires, services des impôts.
Certains pirates ont même inclus dans le corps de l’email un message du type « Vérifiez la source : les communications pCloud ne viennent que de pCloud Team ». Autrement dit, ils utilisent les conseils de sécurité pour vous faire baisser la garde.
Les signaux qui trahissent une arnaque
| Élément | Email légitime | Email frauduleux |
|---|---|---|
| Adresse réelle | Se termine par @pcloud.com | Domaine inconnu masqué derrière « pCloud Team » |
| Lien de téléchargement | URL en pcloud.com | URL suspecte, domaine enregistré récemment |
| Type de fichier | PDF, image, document classique | Archive .zip contenant un .exe ou un script |
| Expéditeur supposé | Quelqu’un que vous connaissez | Société inconnue, cabinet juridique, impôts |
| Contexte | Vous attendiez ce fichier | Facture impayée, document urgent inattendu |
Que faire face à un email suspect
- Ne cliquez sur aucun lien, ne téléchargez rien
- Cliquez sur le nom de l’expéditeur pour afficher son adresse email réelle
- Survolez le bouton de téléchargement : l’URL doit contenir pcloud.com
- Contactez l’expéditeur supposé par téléphone ou un autre email pour vérifier
- Signalez à abuse@pcloud.com
Vous avez déjà cliqué
Si vous avez cliqué sur le lien sans rien télécharger, le risque reste faible. Fermez la page et changez votre mot de passe pCloud par mesure de précaution.
Vous avez téléchargé et ouvert le fichier : agissez vite.
pCloud est-il en cause ?
Non. pCloud Transfer est un service légitime utilisé comme vecteur, exactement comme les arnaques qui usurpent le nom de DHL ou de l’Assurance Maladie. Les serveurs de pCloud ne sont pas compromis, et vos fichiers stockés sur votre compte restent protégés.
pCloud a reconnu le problème publiquement et demande à ses utilisateurs de signaler ces cas à support@pcloud.com. Pour avoir un avis complet sur la fiabilité du service, notre comparatif des meilleurs services de stockage cloud couvre également ce point.
Le verdict
Un email pCloud Transfer avec une facture ou un document juridique d’une société inconnue est une arnaque dans la quasi-totalité des cas. Vérifiez toujours l’adresse email réelle de l’expéditeur et l’URL du lien avant de télécharger quoi que ce soit.
N’ouvrez jamais un fichier .zip inattendu qui contient un .exe. C’est le schéma le plus courant de ces campagnes.
