Wave et le mobile money en Afrique de l'Ouest : quand les bots IA industrialisent la fraude

Le phénomène en chiffres

Depuis janvier 2026, les équipes anti-fraude de Wave Sénégal ont enregistré une augmentation de 312 % des tentatives d'arnaque automatisées sur leur plateforme. Les opérateurs Orange Money Côte d'Ivoire et Free Money Mali rapportent des tendances similaires. En cause : l'adoption de chatbots IA par des groupes criminels organisés pour automatiser des escroqueries qui, jusqu'ici, nécessitaient des opérateurs humains.

Comment fonctionnent les bots

Les groupes de fraude utilisent des LLM open source (principalement des dérivés de Llama et Mistral) hébergés localement pour générer des conversations en temps réel avec les victimes potentielles. Le flux type :

Étape 1 — Collecte de numéros. Des bases de numéros de téléphone, obtenues via des fuites de données ou des scraping de réseaux sociaux, alimentent automatiquement les bots.

Étape 2 — Ouverture de contact. Le bot envoie un SMS ou un message WhatsApp imitant une notification officielle Wave ou Orange Money ("Votre compte a été temporairement suspendu. Confirmez votre identité pour continuer.").

Étape 3 — Dialogue adaptatif. Si la victime répond, un LLM prend le relais et génère des réponses contextualisées en français ou en wolof, en temps réel. Le bot peut maintenir une conversation cohérente pendant plusieurs dizaines d'échanges.

Étape 4 — Récolte du PIN ou transfert forcé. Le bot oriente la victime vers la saisie de son code PIN sur un faux portail ou lui demande un transfert "de confirmation" vers un compte mule.

Pourquoi le mobile money est particulièrement vulnérable

Trois facteurs structurels exposent le mobile money africain à cette industrialisation de la fraude :

Irréversibilité des transactions. Contrairement aux cartes bancaires, les transactions mobile money ne peuvent pas être annulées une fois confirmées. Le délai d'action de la victime est quasi nul.

Faible culture du phishing. Les utilisateurs de mobile money africains sont majoritairement des primo-accédants aux services financiers numériques. La notion de "ne jamais partager son PIN" n'est pas aussi ancrée que dans les marchés bancarisés matures.

Surface d'attaque SMS. Wave et ses concurrents utilisent les SMS comme canal de notification primaire. Les faux SMS sont difficiles à distinguer des vrais pour un utilisateur non averti.

Ce que Wave et les opérateurs ont mis en place

Wave a déployé en mai 2026 une couche de détection comportementale côté serveur qui analyse les patterns de transaction pour détecter les transferts vers des comptes mules connus. Le taux de blocage déclaré est de 67 % des transactions frauduleuses automatisées — ce qui laisse 33 % passer.

Orange Money CI a mis en place un système d'alerte vocale automatique pour les transferts dépassant 100 000 FCFA vers un nouveau bénéficiaire. Cette friction supplémentaire a réduit les pertes moyennes par incident.

Recommandations pour les utilisateurs

— Ne jamais partager son code PIN, même avec quelqu'un qui prétend être un agent Wave ou Orange. — Tout message demandant une "confirmation de compte" par transfert d'argent est une arnaque. — En cas de doute, composer directement le numéro officiel de Wave (*633#) ou d'Orange Money (*144#). — Activer les notifications de transaction par SMS et vérifier chaque mouvement.

La question réglementaire

L'UEMOA (Union Économique et Monétaire Ouest Africaine) n'a pas de cadre spécifique à la fraude par IA sur mobile money. La BCEAO travaille sur une mise à jour de ses directives, mais aucun texte n'est attendu avant fin 2026. Les victimes n'ont actuellement aucun recours légal structuré contre les opérateurs pour perte liée à la fraude par ingénierie sociale.

— ◆ —