Guide : La sécurité des paiements mobiles au Sénégal

Pourquoi la sécurité mobile money est l’enjeu n°1 du Sénégal numérique ?

Wave, Orange Money, Mixx by Yas (ex-Free Money) traitent désormais plus de transactions quotidiennes que toutes les banques sénégalaises réunies. Pour des millions de Sénégalais, l’application mobile money EST leur banque. Conséquence : chaque PIN compromis = compte vidé en moins de 60 secondes, et les recours sont longs (plainte, enquête ARTP/BCEAO, parfois sans retour des fonds). Les 5 réflexes (PIN unique, biométrie, notifications push, vérification solde réel, ne jamais partager de code) protègent contre 95 % des attaques courantes.

L’ecosysteme des paiements mobiles au Sénégal

Le Sénégal est un leader africain du mobile money. Wave, Orange Money, Mixx by Yas (ex-Free Money) et E-Money (Ecobank) representent des milliards de FCFA de transactions quotidiennes. Pour des millions de Sénégalais, le téléphone est devenu le principal outil bancaire, depassant largement les comptes bancaires traditionnels.

Cette democratisation financiere s’accompagne de risques spécifiques. Les cybercriminels ciblent activement les utilisateurs de mobile money avec des techniques adaptées au contexte local. Ce guide couvre les menaces spécifiques et les protections pour chaque plateforme.

Les plateformes de paiement mobile au Sénégal

Menaces spécifiques aux paiements mobiles

1. SIM Swapping (echange de SIM)

L’attaque la plus dangereuse au Sénégal. Le criminel convainc votre operateur de transférer votre numéro sur une nouvelle SIM :

• Méthode : le fraudeur se rend en agence avec de faux documents ou soudoie un employe pour obtenir un duplicata de votre SIM
• Impact : il recoit vos SMS (codes OTP), vos appels, et peut accéder a votre Orange Money, reinitialiser vos comptes en ligne
• Signal d’alarme : votre téléphone affiche soudainement « Pas de réseau » ou « SIM non valide » alors que vous etes dans une zone couverte

Protections :

• Mettez un code PIN sur votre carte SIM (Paramètres > Sécurité > Verrouillage SIM)
• Contactez votre operateur pour ajouter un mot de passe de sécurité sur votre compte
• Utilisez Google Authenticator plutôt que les SMS pour le 2FA
• Si votre réseau disparait soudainement : appelez immédiatement votre operateur depuis un autre téléphone et bloquez la ligne

2. Phishing par SMS et WhatsApp

Les arnaques par SMS sont massives au Sénégal :

• « Votre compte Wave est bloque » : faux SMS avec un lien vers un site imitant Wave pour voler vos identifiants
• « Vous avez reçu un transfert » : fausse notification pour vous pousser a cliquer sur un lien malveillant
• « Mise a jour Orange Money obligatoire » : tentative de vous faire installer une fausse application
• Appel du « service technique » : quelqu’un pretend être de Wave ou Orange et demande vos identifiants pour « résoudre un problème »

Regle d’or : Wave, Orange Money et Mixx by Yas (ex-Free Money) ne vous demanderont JAMAIS votre code PIN ou mot de passe par téléphone, SMS ou WhatsApp.

3. Arnaque au faux transfert

Scenario classique au Sénégal :

1. Le fraudeur vous contacte : « J’ai envoyé 100 000 FCFA sur votre Wave par erreur »
2. Il vous montre une capture d’écran de transaction falsifiee
3. Il vous demande de renvoyer 90 000 FCFA (« gardez 10 000 pour le derangement »)
4. En réalité, aucun transfert n’a ete effectué. Vous envoyez votre propre argent

Protection : vérifiez TOUJOURS votre solde réel dans l’application Wave ou via le code USSD Orange Money (#144*6#). Ne vous fiez jamais a une capture d’écran.

4. Manipulation USSD

Les codes USSD peuvent être detournes par des fraudeurs :

• On vous demande de taper un code USSD soi-disant pour « recevoir un paiement » : en réalité, c’est un code de transfert sortant
• Un code comme *144*1*NUMERO*MONTANT# est un code d’envoi d’argent, pas de reception
• Protection : ne tapez JAMAIS un code USSD dicté par un tiers. Si vous ne connaissez pas la fonction d’un code, ne l’executez pas

5. Applications frauduleuses

• Fausses applications Wave ou Orange Money sur des stores alternatifs ou en APK
• Applications de « multiplication d’argent » qui sont des arnaques pyramidales
• Applications de pret instantane qui collectent vos contacts et vous harcelent en cas de retard

Sécuriser Wave

Configuration sécurisée

• Code PIN : choisissez un PIN de 4 chiffres que vous n’utilisez nulle part ailleurs. Evitez : 1234, 0000, votre annee de naissance, les derniers chiffres de votre téléphone
• Biometrie : activez l’empreinte digitale ou la reconnaissance faciale si votre téléphone le supporte
• Notifications : activez les notifications push pour être alerte de chaque transaction en temps réel
• Vérification du destinataire : avant chaque envoi, vérifiez le nom qui s’affiche. Les numéros a 1 chiffre de différence sont une technique d’arnaque
• Limite de solde : ne gardez pas de grosses sommes sur Wave. Transferez régulièrement vers votre compte bancaire

En cas de compromission Wave

1. Appelez immédiatement le service client : 33 869 65 65
2. Demandez le blocage immédiat de votre compte
3. Si vous avez encore accès : changez votre PIN immédiatement
4. Vérifiez l’historique de vos transactions pour identifier les mouvements frauduleux
5. Deposez plainte au commissariat avec les preuves (captures d’écran, historique)

Sécuriser Orange Money

Configuration sécurisée

• Code secret USSD : changez-le régulièrement via #144#. N’utilisez pas un code lie a votre identité (date de naissance, etc.)
• Application vs USSD : privilegiez l’application Orange Money plutôt que les codes USSD. L’application chiffre les communications, les USSD ne le font pas
• Plafonds : vérifiez vos plafonds de transaction dans l’application. Toute modification non sollicitee est suspecte
• Historique : consultez régulièrement votre historique (#144*6#) pour reperer les transactions non autorisees

En cas de compromission Orange Money

1. Appelez le 145 (service client Orange) ou rendez-vous en agence Orange
2. Demandez la suspension immediate de votre compte Orange Money
3. Changez votre code secret
4. Si vous suspectez un SIM swap : faites bloquer votre ligne entiere

Sécuriser les paiements en ligne (e-commerce)

Pour les acheteurs

• Vérifiez que le site utilise HTTPS (cadenas dans la barre d’adresse)
• Privilegiez les paiements via PayDunya ou CinetPay plutôt que les transferts directs Wave/OM
• N’achetez jamais sur un site qui demande un transfert Wave vers un numéro personnel
• Vérifiez les mentions legales du site (NINEA, adresse, téléphone fixe)
• Pour les achats sur les sites internationaux, utilisez une carte virtuelle de votre banque

Pour les commercants (intégration sécurisée)

// Intégration sécurisée PayDunya dans WooCommerce
// 1. Ne stockez JAMAIS les clés API dans le code source
// Utilisez des variables d'environnement

// Dans wp-config.php :
define('PAYDUNYA_MASTER_KEY', getenv('PAYDUNYA_MASTER_KEY'));
define('PAYDUNYA_PRIVATE_KEY', getenv('PAYDUNYA_PRIVATE_KEY'));
define('PAYDUNYA_TOKEN', getenv('PAYDUNYA_TOKEN'));

// 2. Validez TOUJOURS les webhooks (IPN) cote serveur
// Ne vous fiez jamais au retour client (redirect URL)
// Le client peut manipuler les paramètres d'URL

// 3. Vérifiez le montant paye correspond au montant commande
// Dans votre callback IPN :
if ($montant_paye !== $montant_commande) {
    // Fraude detectee : montant modifié
    error_log("ALERTE FRAUDE : commande #" . $order_id);
    $order->update_status('on-hold', 'Montant paye ne correspond pas');
}

Sécurité des agents et points de retrait

• Agents officiels : effectuez vos operations uniquement dans les points de vente agrees (autocollant officiel visible)
• Confidentialite : tapez votre code PIN a l’abri des regards. Un agent qui veut voir votre code est suspect
• Vérification : après chaque operation avec un agent, vérifiez immédiatement votre solde
• Recu : demandez toujours une confirmation SMS ou dans l’application. Ne partez pas sans vérifier la transaction
• Prudence : évitez les transactions dans des lieux isoles ou tard le soir. Les vols a l’arrache après un retrait sont un risque physique réel

Guide de sécurité par profil

Particulier / Utilisateur quotidien

• PIN unique et complexe sur chaque plateforme
• Biometrie activée si disponible
• Notifications push pour chaque transaction
• Vérification du solde réel avant tout « remboursement »
• Ne jamais partager de codes reçus par SMS
• Code PIN SIM activé pour prévenir le SIM swapping

Commercant / Entrepreneur

• Numéro dedie pour les transactions commerciales (pas le numéro personnel)
• Comptes séparés : un pour les recettes, un pour les depenses
• Reconciliation quotidienne des transactions avec votre comptabilite
• Intégration via API (PayDunya/CinetPay) plutôt que paiements manuels pour les ventes en ligne
• Former les employes autorises a effectuer des transactions

Entreprise / PME

• Procedure de double validation pour les transferts supérieurs a 500 000 FCFA
• Journal detaille de toutes les transactions mobiles
• Separation des pouvoirs : celui qui initie un paiement n’est pas celui qui le valide
• Rapprochement comptable hebdomadaire avec les releves de mobile money
• Formation du personnel aux arnaques courantes

Cadre reglementaire au Sénégal

• BCEAO : reglemente les services de monnaie électronique dans la zone UEMOA. Les operateurs doivent être agrees
• Instruction N°008-05-2015 : encadre l’emission de monnaie électronique et la protection des fonds des utilisateurs
• Loi 2008-11 : la fraude au mobile money est un délit de cybercriminalite passible de sanctions penales
• Recours : en cas de litige non résolu avec un operateur, saisissez l’ARTP (Autorité de Regulation des Telecoms) ou la BCEAO

Erreurs fréquentes

1. Vérifier le solde sur la capture d’écran de l’arnaqueur

Cause : on reçoit « j’ai envoyé 100 000 FCFA par erreur, voici la preuve » avec un screenshot Wave/OM. Photoshop ou Snapchat permet de truquer une capture en 30 secondes.

Solution : ouvrez VOUS-MÊME l’app Wave/OM ou tapez #144*6# pour Orange Money. Le solde réel est la SEULE source de vérité. Aucune capture, SMS ou message n’est une preuve.

2. Code PIN identique sur Wave, OM, SIM, et carte bancaire

Cause : on choisit le même 4 chiffres partout pour ne pas oublier. Une seule fuite (ex. agent malhonnête, observation de l’écran en boutique) compromet tous les comptes en cascade.

Solution : 4 PIN différents, stockés dans Bitwarden (entrée « Note sécurisée »). Et changez tous les 6 mois.

3. Confier sa SIM « 5 minutes » à un agent en boutique

Cause : on remet sa SIM ou son téléphone à un agent qui « a juste besoin de vérifier ». Pendant ce temps, il peut faire un duplicata SIM, déclencher un transfert OM via USSD ou installer un APK malveillant.

Solution : ne quittez JAMAIS votre téléphone des yeux en agence. Pour un duplicata SIM légitime, exigez la procédure officielle (CNI + signature au comptoir, vous restez présent).

4. Tap-to-Pay NFC activé en permanence

Cause : certains téléphones supportent le paiement sans contact (Google Pay, Samsung Pay, Wallet OM). Si NFC est activé H24, un terminal pirate à proximité (skimmer) peut déclencher des micro-paiements.

Solution : désactivez NFC quand vous ne l’utilisez pas (Paramètres > Connexions > NFC). Ne réactivez qu’au moment du paiement.

5. Stocker la photo CNI dans la galerie du téléphone

Cause : on a pris une photo de la CNI pour ouvrir le compte Wave et on l’a oubliée dans la pellicule. En cas de vol/perte du téléphone, le voleur peut ouvrir d’autres comptes Wave/OM à votre nom.

Solution : supprimez les photos CNI/passeport après usage, ou stockez-les dans un coffre chiffré (Samsung Dossier Sécurisé, dossier KeePass, Cryptomator). Et activez le verrouillage biométrique de la galerie.

Checklist sécurité paiements mobiles

• Code PIN unique et complexe sur chaque plateforme mobile money
• Code PIN SIM activé sur votre carte SIM
• Biometrie activée sur les applications qui le supportent
• Notifications push activees pour chaque transaction
• Application officielle telechargee depuis le Play Store / App Store uniquement
• Solde vérifié après chaque operation
• Historique de transactions consulte régulièrement
• Numeros de service client enregistres (Wave: 33 869 65 65, OM: 145)
• Aucun code USSD dicté par un tiers jamais exécuté
• Aucun code de vérification SMS partage avec quiconque

Pour étoffer le tableau

• Détecter et éviter les arnaques en ligne au Sénégal — vue large des arnaques avant les spécificités mobile money.
• Créer des mots de passe inviolables — base pour PIN et codes secrets.
• Sécuriser votre smartphone Android — l’OS qui héberge vos applications mobile money.
• Protéger votre WhatsApp — vecteur n°1 d’arnaques mobile money.
• Cadre officiel : BCEAO (instruction monnaie électronique UEMOA) et ARTP (recours opérateurs télécoms).
• Numéros utiles : Wave 33 869 65 65 — Orange Money 145 — CDP Sénégal cdp.sn en cas de fuite de données.