Guide : La sécurité des paiements mobiles au Sénégal

L’ecosysteme des paiements mobiles au Senegal

Le Senegal est un leader africain du mobile money. Wave, Orange Money, Free Money et E-Money (Ecobank) representent des milliards de FCFA de transactions quotidiennes. Pour des millions de Senegalais, le telephone est devenu le principal outil bancaire, depassant largement les comptes bancaires traditionnels.

Cette democratisation financiere s’accompagne de risques specifiques. Les cybercriminels ciblent activement les utilisateurs de mobile money avec des techniques adaptees au contexte local. Ce guide couvre les menaces specifiques et les protections pour chaque plateforme.

Les plateformes de paiement mobile au Senegal

Menaces specifiques aux paiements mobiles

1. SIM Swapping (echange de SIM)

L’attaque la plus dangereuse au Senegal. Le criminel convainc votre operateur de transferer votre numero sur une nouvelle SIM :

• Methode : le fraudeur se rend en agence avec de faux documents ou soudoie un employe pour obtenir un duplicata de votre SIM
• Impact : il recoit vos SMS (codes OTP), vos appels, et peut acceder a votre Orange Money, reinitialiser vos comptes en ligne
• Signal d’alarme : votre telephone affiche soudainement « Pas de reseau » ou « SIM non valide » alors que vous etes dans une zone couverte

Protections :

• Mettez un code PIN sur votre carte SIM (Parametres > Securite > Verrouillage SIM)
• Contactez votre operateur pour ajouter un mot de passe de securite sur votre compte
• Utilisez Google Authenticator plutot que les SMS pour le 2FA
• Si votre reseau disparait soudainement : appelez immediatement votre operateur depuis un autre telephone et bloquez la ligne

2. Phishing par SMS et WhatsApp

Les arnaques par SMS sont massives au Senegal :

• « Votre compte Wave est bloque » : faux SMS avec un lien vers un site imitant Wave pour voler vos identifiants
• « Vous avez recu un transfert » : fausse notification pour vous pousser a cliquer sur un lien malveillant
• « Mise a jour Orange Money obligatoire » : tentative de vous faire installer une fausse application
• Appel du « service technique » : quelqu’un pretend etre de Wave ou Orange et demande vos identifiants pour « resoudre un probleme »

Regle d’or : Wave, Orange Money et Free Money ne vous demanderont JAMAIS votre code PIN ou mot de passe par telephone, SMS ou WhatsApp.

3. Arnaque au faux transfert

Scenario classique au Senegal :

1. Le fraudeur vous contacte : « J’ai envoye 100 000 FCFA sur votre Wave par erreur »
2. Il vous montre une capture d’ecran de transaction falsifiee
3. Il vous demande de renvoyer 90 000 FCFA (« gardez 10 000 pour le derangement »)
4. En realite, aucun transfert n’a ete effectue. Vous envoyez votre propre argent

Protection : verifiez TOUJOURS votre solde reel dans l’application Wave ou via le code USSD Orange Money (#144*6#). Ne vous fiez jamais a une capture d’ecran.

4. Manipulation USSD

Les codes USSD peuvent etre detournes par des fraudeurs :

• On vous demande de taper un code USSD soi-disant pour « recevoir un paiement » : en realite, c’est un code de transfert sortant
• Un code comme *144*1*NUMERO*MONTANT# est un code d’envoi d’argent, pas de reception
• Protection : ne tapez JAMAIS un code USSD dicte par un tiers. Si vous ne connaissez pas la fonction d’un code, ne l’executez pas

5. Applications frauduleuses

• Fausses applications Wave ou Orange Money sur des stores alternatifs ou en APK
• Applications de « multiplication d’argent » qui sont des arnaques pyramidales
• Applications de pret instantane qui collectent vos contacts et vous harcelent en cas de retard

Securiser Wave

Configuration securisee

• Code PIN : choisissez un PIN de 4 chiffres que vous n’utilisez nulle part ailleurs. Evitez : 1234, 0000, votre annee de naissance, les derniers chiffres de votre telephone
• Biometrie : activez l’empreinte digitale ou la reconnaissance faciale si votre telephone le supporte
• Notifications : activez les notifications push pour etre alerte de chaque transaction en temps reel
• Verification du destinataire : avant chaque envoi, verifiez le nom qui s’affiche. Les numeros a 1 chiffre de difference sont une technique d’arnaque
• Limite de solde : ne gardez pas de grosses sommes sur Wave. Transferez regulierement vers votre compte bancaire

En cas de compromission Wave

1. Appelez immediatement le service client : 33 869 65 65
2. Demandez le blocage immediat de votre compte
3. Si vous avez encore acces : changez votre PIN immediatement
4. Verifiez l’historique de vos transactions pour identifier les mouvements frauduleux
5. Deposez plainte au commissariat avec les preuves (captures d’ecran, historique)

Securiser Orange Money

Configuration securisee

• Code secret USSD : changez-le regulierement via #144#. N’utilisez pas un code lie a votre identite (date de naissance, etc.)
• Application vs USSD : privilegiez l’application Orange Money plutot que les codes USSD. L’application chiffre les communications, les USSD ne le font pas
• Plafonds : verifiez vos plafonds de transaction dans l’application. Toute modification non sollicitee est suspecte
• Historique : consultez regulierement votre historique (#144*6#) pour reperer les transactions non autorisees

En cas de compromission Orange Money

1. Appelez le 145 (service client Orange) ou rendez-vous en agence Orange
2. Demandez la suspension immediate de votre compte Orange Money
3. Changez votre code secret
4. Si vous suspectez un SIM swap : faites bloquer votre ligne entiere

Securiser les paiements en ligne (e-commerce)

Pour les acheteurs

• Verifiez que le site utilise HTTPS (cadenas dans la barre d’adresse)
• Privilegiez les paiements via PayDunya ou CinetPay plutot que les transferts directs Wave/OM
• N’achetez jamais sur un site qui demande un transfert Wave vers un numero personnel
• Verifiez les mentions legales du site (NINEA, adresse, telephone fixe)
• Pour les achats sur les sites internationaux, utilisez une carte virtuelle de votre banque

Pour les commercants (integration securisee)

// Integration securisee PayDunya dans WooCommerce
// 1. Ne stockez JAMAIS les cles API dans le code source
// Utilisez des variables d'environnement

// Dans wp-config.php :
define('PAYDUNYA_MASTER_KEY', getenv('PAYDUNYA_MASTER_KEY'));
define('PAYDUNYA_PRIVATE_KEY', getenv('PAYDUNYA_PRIVATE_KEY'));
define('PAYDUNYA_TOKEN', getenv('PAYDUNYA_TOKEN'));

// 2. Validez TOUJOURS les webhooks (IPN) cote serveur
// Ne vous fiez jamais au retour client (redirect URL)
// Le client peut manipuler les parametres d'URL

// 3. Verifiez le montant paye correspond au montant commande
// Dans votre callback IPN :
if ($montant_paye !== $montant_commande) {
    // Fraude detectee : montant modifie
    error_log("ALERTE FRAUDE : commande #" . $order_id);
    $order->update_status('on-hold', 'Montant paye ne correspond pas');
}

Securite des agents et points de retrait

• Agents officiels : effectuez vos operations uniquement dans les points de vente agrees (autocollant officiel visible)
• Confidentialite : tapez votre code PIN a l’abri des regards. Un agent qui veut voir votre code est suspect
• Verification : apres chaque operation avec un agent, verifiez immediatement votre solde
• Recu : demandez toujours une confirmation SMS ou dans l’application. Ne partez pas sans verifier la transaction
• Prudence : evitez les transactions dans des lieux isoles ou tard le soir. Les vols a l’arrache apres un retrait sont un risque physique reel

Guide de securite par profil

Particulier / Utilisateur quotidien

• PIN unique et complexe sur chaque plateforme
• Biometrie activee si disponible
• Notifications push pour chaque transaction
• Verification du solde reel avant tout « remboursement »
• Ne jamais partager de codes recus par SMS
• Code PIN SIM active pour prevenir le SIM swapping

Commercant / Entrepreneur

• Numero dedie pour les transactions commerciales (pas le numero personnel)
• Comptes separes : un pour les recettes, un pour les depenses
• Reconciliation quotidienne des transactions avec votre comptabilite
• Integration via API (PayDunya/CinetPay) plutot que paiements manuels pour les ventes en ligne
• Former les employes autorises a effectuer des transactions

Entreprise / PME

• Procedure de double validation pour les transferts superieurs a 500 000 FCFA
• Journal detaille de toutes les transactions mobiles
• Separation des pouvoirs : celui qui initie un paiement n’est pas celui qui le valide
• Rapprochement comptable hebdomadaire avec les releves de mobile money
• Formation du personnel aux arnaques courantes

Cadre reglementaire au Senegal

• BCEAO : reglemente les services de monnaie electronique dans la zone UEMOA. Les operateurs doivent etre agrees
• Instruction N°008-05-2015 : encadre l’emission de monnaie electronique et la protection des fonds des utilisateurs
• Loi 2008-11 : la fraude au mobile money est un delit de cybercriminalite passible de sanctions penales
• Recours : en cas de litige non resolu avec un operateur, saisissez l’ARTP (Autorite de Regulation des Telecoms) ou la BCEAO

Checklist securite paiements mobiles

• Code PIN unique et complexe sur chaque plateforme mobile money
• Code PIN SIM active sur votre carte SIM
• Biometrie activee sur les applications qui le supportent
• Notifications push activees pour chaque transaction
• Application officielle telechargee depuis le Play Store / App Store uniquement
• Solde verifie apres chaque operation
• Historique de transactions consulte regulierement
• Numeros de service client enregistres (Wave: 33 869 65 65, OM: 145)
• Aucun code USSD dicte par un tiers jamais execute
• Aucun code de verification SMS partage avec quiconque