Le smishing : une menace en pleine expansion

Le smishing, contraction de « SMS » et « phishing », désigne les tentatives d'hameçonnage réalisées par message texte. Cette technique d'ingénierie sociale exploite la confiance que les utilisateurs accordent aux SMS, perçus comme plus fiables que les emails. En France, les signalements de smishing ont bondi de 45 % en 2024, faisant de cette menace l'une des plus dynamiques du paysage cybercriminel.

Smartphone affichant un message suspect

Contrairement au phishing par email, le smishing bénéficie de taux d'ouverture exceptionnels : plus de 98 % des SMS sont lus dans les trois minutes suivant leur réception. Les cybercriminels l'ont bien compris et investissent massivement dans ce canal d'attaque.

Les scénarios de smishing les plus répandus

Les escrocs déploient une variété de scénarios pour tromper leurs victimes. Voici les plus fréquents en France :

La fausse livraison de colis

« Votre colis est en attente de livraison. Confirmez vos coordonnées : [lien] ». Avec l'essor du e-commerce, ce scénario est devenu le plus courant. Le lien redirige vers un faux site imitant La Poste, Chronopost ou DHL, qui collecte les données bancaires de la victime.

L'arnaque à la carte Vitale

« Votre carte Vitale arrive à expiration. Renouvelez-la immédiatement : [lien] ». Ce message joue sur l'urgence et la méconnaissance des procédures administratives. Le site frauduleux demande les informations personnelles et bancaires sous prétexte de frais de renouvellement.

Le faux avis d'amende

« ANTAI : vous avez une amende impayée de 35 €. Réglez avant majoration : [lien] ». L'usurpation de l'identité de l'Agence nationale de traitement automatisé des infractions est particulièrement efficace car elle combine urgence, autorité et montant crédible.

L'arnaque au CPF

« Vos droits CPF arrivent à expiration le 31/12. Utilisez votre solde : [lien] ». Bien que le gouvernement ait renforcé la lutte contre ces arnaques, elles persistent sous des formes de plus en plus sophistiquées.

Le faux conseiller bancaire

« Activité suspecte détectée sur votre compte. Appelez le [numéro] immédiatement ». La victime est mise en relation avec un faux conseiller qui l'incite à effectuer des virements ou à communiquer ses codes d'accès.

Comment reconnaître un SMS frauduleux

Plusieurs indices permettent d'identifier un smishing :

Alerte de sécurité sur téléphone mobile
  • L'urgence artificielle — Le message crée un sentiment d'urgence pour court-circuiter votre réflexion critique
  • Le lien raccourci ou suspect — Les URL utilisent des services de raccourcissement (bit.ly, tinyurl) ou des noms de domaine ressemblants mais différents (la-poste-suivi.com au lieu de laposte.fr)
  • Les fautes d'orthographe — Bien que les escrocs s'améliorent, des erreurs subsistent souvent dans les messages
  • La demande d'informations sensibles — Aucun organisme légitime ne demande vos données bancaires ou mots de passe par SMS
  • Le numéro expéditeur inhabituel — Les SMS proviennent souvent de numéros commençant par 06 ou 07, voire de numéros internationaux

Les réflexes de protection

Face à un SMS suspect, adoptez ces réflexes :

  1. Ne cliquez jamais sur un lien contenu dans un SMS non sollicité
  2. Vérifiez directement sur le site officiel de l'organisme concerné en tapant l'adresse manuellement dans votre navigateur
  3. Signalez le SMS en le transférant au 33700, la plateforme nationale de signalement des spams SMS
  4. Bloquez le numéro expéditeur dans votre téléphone
  5. Ne rappelez jamais un numéro indiqué dans un SMS suspect

Protection en entreprise

Le smishing ne cible pas uniquement les particuliers. Les collaborateurs d'entreprise reçoivent des SMS ciblés visant à obtenir des accès aux systèmes d'information professionnels. Pour protéger votre organisation :

  • Intégrez le smishing dans vos programmes de sensibilisation
  • Déployez des solutions de Mobile Threat Defense (MTD) sur les terminaux professionnels
  • Établissez une procédure de signalement interne claire
  • Simulez des campagnes de smishing pour tester la vigilance de vos équipes
  • Limitez les informations professionnelles accessibles depuis les terminaux mobiles

Que faire si vous êtes victime ?

Si vous avez cliqué sur un lien ou communiqué des informations :

Tentative de fraude par message
  1. Changez immédiatement tous vos mots de passe, en commençant par votre banque et votre messagerie
  2. Contactez votre banque pour faire opposition si vous avez communiqué des données bancaires
  3. Déposez plainte en ligne sur pre-plainte-en-ligne.gouv.fr ou au commissariat
  4. Signalez l'arnaque sur cybermalveillance.gouv.fr
  5. Surveillez vos comptes bancaires pendant les semaines suivantes

Conclusion

Le smishing est une menace en constante évolution qui exploite notre confiance dans les communications mobiles. La vigilance reste la meilleure arme : prenez toujours quelques secondes pour analyser un SMS avant de réagir. En cas de doute, ne cliquez pas. Les quelques secondes de vérification peuvent vous épargner des mois de démarches et de stress.