Pistolet piégé, faux bons Leclerc à 250 € : ces 3 arnaques à la pompe qui explosent en 2026

Le plein de gazole dépasse désormais les 100 euros pour un réservoir de 50 litres, à environ 2,20 €/L en moyenne nationale fin avril 2026. Le SP95-E10 frôle les 2 €/L.

Ce contexte de prix records attire les escrocs comme un aimant. Depuis le début de l'année, trois arnaques distinctes se propagent dans les stations-service françaises et sur vos téléphones, chacune exploitant un maillon différent de la chaîne de paiement.

Nous les avons passées au crible : comment elles fonctionnent, ce qu'elles vous coûtent, et surtout comment vous en protéger.

Le 3 avril 2026, un employé de l'Hyper U de Challans, en Vendée, inspecte un pistolet de gazole. Le système de raccrochage ne fonctionne plus.

Au fond du logement, il découvre une boulette de papier aluminium noircie, enfoncée pour empêcher le verrouillage du pistolet. Tant que le pistolet ne se raccroche pas, la borne considère la transaction comme active.

Le mécanisme est redoutable de simplicité. Un escroc règle quelques euros, raccroche volontairement le pistolet sans le verrouiller, puis attend.

Vous arrivez, vous décrochez, vous faites le plein et vous payez. Sauf que votre carte valide les litres du client précédent en plus des vôtres, jusqu'au plafond de 150 € programmé par la station.

La gendarmerie nationale a publié une alerte générale sur ce type de fraude. Les cibles privilégiées sont les stations automatiques 24h/24, où aucun employé ne surveille les bornes la nuit.

L'arnaque numéro deux ne vous attend pas à la pompe. Elle arrive directement sur votre téléphone, via WhatsApp.

Depuis début avril 2026, un message circule entre contacts : "Le carburant trop cher ? E. Leclerc distribue des bons de 250 euros."

Le lien renvoie vers un site hébergé sur le domaine go2wa.cc, qui imite l'identité visuelle de l'enseigne. Le piège se déploie en trois temps.

D'abord un questionnaire pour "vérifier votre éligibilité", puis un jeu de paquets-cadeaux sous compte à rebours factice.

Pour "valider" le bon, vous devez partager le lien à 20 contacts WhatsApp. Chaque victime devient vecteur de propagation.

L'arnaque se referme sur la dernière page : pour recevoir le bon, vous réglez 1,95 € de "frais". Ce micro-paiement livre vos coordonnées bancaires aux escrocs.

Leclerc a rappelé publiquement qu'aucun bon de ce type n'existait. L'enseigne ne demande jamais de données bancaires en ligne pour des promotions.

Or c'est là que le piège fait le plus de dégâts. Les 20 contacts à qui vous avez transféré le lien reçoivent un message qui vient de vous, pas d'un inconnu. Votre nom sert de caution. Un proche de 65 ans qui voit un lien "Leclerc" envoyé par sa fille ou son voisin ne va pas vérifier l'URL : il clique, il remplit, il paie les 1,95 €.

En quelques heures, un seul message initial peut contaminer plusieurs centaines de contacts en cascade. C'est le modèle du virus classique, appliqué à votre carnet d'adresses. Et contrairement au pistolet piégé, la fraude ne s'arrête pas à un plafond de 150 € : avec vos coordonnées bancaires, les escrocs peuvent tenter des prélèvements récurrents ou revendre vos données sur des marchés parallèles.

La troisième arnaque est la plus discrète, et de loin la plus dangereuse.

Le shimming consiste à glisser un film électronique ultra-fin dans la fente du lecteur de carte bancaire, entre votre carte et le terminal. Ce dispositif intercepte les données de la puce EMV au moment où le terminal les lit pour valider la transaction.

Couplé à une micro-caméra ou un faux clavier superposé, le shim capture aussi votre code PIN. Le tout en moins de trente secondes d'installation sur une borne non surveillée.

En juin 2025, quatre personnes ont été interpellées à Paray-Vieille-Poste, dans l'Essonne, pour avoir piégé les terminaux d'une station-service de Vitry-sur-Seine (Val-de-Marne). Les données volées servaient à des retraits frauduleux à Madrid et Barcelone, via un réseau opérant depuis l'Espagne.

Les enquêteurs ont saisi 9 000 € en liquide chez les suspects. Le préjudice réel subi par les victimes reste difficile à chiffrer, car les cartes clonées alimentaient des retraits dans plusieurs pays simultanément.

Le paiement sans contact mobile (Apple Pay, Google Pay) génère un numéro de carte virtuel à usage unique à chaque transaction. Le shimming devient alors impossible : il n'y a rien à cloner.

Si votre téléphone ne propose pas cette option, un geste suffit : avant d'insérer votre carte, passez le doigt à l'intérieur de la fente du lecteur. Toute résistance inhabituelle signale un dispositif parasite.

Pour le pistolet piégé, le réflexe est mécanique. Attendez que l'écran de la borne affiche 0,00 € et 0,00 L avant de décrocher le pistolet.

Si le compteur n'est pas à zéro, la session précédente est encore active. Ne payez pas.

Pour les faux bons WhatsApp, la règle est absolue : aucune enseigne française ne distribue de bons d'achat par message privé.

Vérifiez toujours l'adresse du site avant de cliquer. Si le domaine ne se termine pas par .leclerc ou .e-leclerc.com, fermez la page.
 

Si vous constatez un débit suspect après un passage en station, appelez votre banque immédiatement pour faire opposition. Ce premier geste bloque toute transaction ultérieure.

Vous disposez ensuite de 13 mois pour contester les opérations frauduleuses. La loi impose à la banque de rembourser, sauf si elle prouve une négligence grave de votre part.

Pour les fraudes en ligne, la plateforme Perceval sur service-public.gouv.fr recueille vos signalements directement auprès des forces de l'ordre. Le récépissé facilite votre demande de remboursement bancaire.

Pour les arnaques physiques en station, un dépôt de plainte en commissariat ou en gendarmerie reste nécessaire. Chaque signalement contribue à cartographier les zones touchées.