Arnaque SMS (smishing) : reconnaître et réagir vite
Faux SMS de colis, de banque ou des impôts : apprenez à repérer les signaux d'alerte du smishing et adoptez les bons réflexes pour protéger vos données.
Sommaire
Un SMS vous annonce un colis bloqué, un découvert bancaire ou un remboursement d'impôts ? Avant de cliquer, méfiez-vous : il s'agit probablement de « smishing », une arnaque par SMS qui imite des organismes de confiance pour voler vos données ou votre argent. Bonne nouvelle : ces messages laissent presque toujours des indices. Voici comment les repérer et réagir sans paniquer.
Le smishing, c'est quoi exactement ?
Le terme « smishing » est la contraction de SMS et de phishing (hameçonnage). Le principe est identique à celui des faux e-mails : vous pousser à cliquer sur un lien, à appeler un numéro ou à transmettre des informations sensibles (identifiants bancaires, mot de passe, pièce d'identité).
Le SMS est un terrain particulièrement efficace pour les escrocs. On lit un texto en quelques secondes, souvent en mobilité, sans le recul que l'on aurait devant un ordinateur. Et sur un petit écran, il est plus difficile de vérifier où mène réellement un lien.
Le smishing ne mise pas sur la technique, mais sur votre réflexe : agir vite avant de réfléchir.
Les trois scénarios les plus courants
Les campagnes de smishing tournent presque toujours autour des mêmes prétextes, car ils concernent tout le monde.
- Le faux colis : « Votre colis n'a pas pu être livré, réglez 1,99 € de frais. » L'objectif est de récupérer vos coordonnées bancaires via un faux site de transporteur.
- La fausse banque : « Une connexion suspecte a été détectée, confirmez votre identité. » Le lien mène à une fausse page de connexion qui copie celle de votre banque.
- Le faux impôt / CPF / Ameli : « Vous bénéficiez d'un remboursement, cliquez pour le percevoir. » L'appât du gain remplace ici la peur.
D'autres variantes existent : fausse amende, faux SMS d'un proche en difficulté, livreur qui demande un code reçu par ailleurs. Le scénario change, la mécanique reste la même.
Les signaux d'alerte propres au mobile
Sur smartphone, certains indices doivent immédiatement vous alerter.
| Signal d'alerte | Ce que cela révèle |
|---|---|
| Lien raccourci ou adresse étrange (bit.ly, domaines exotiques) | Masque la vraie destination du site |
| Sentiment d'urgence (« dans les 24 h », « dernier avertissement ») | Cherche à court-circuiter votre réflexion |
| Numéro mobile classique (06/07) pour une « banque » | Les organismes utilisent des numéros courts ou des noms d'expéditeur |
| Fautes d'orthographe, formulation maladroite | Traduction automatique ou rédaction négligée |
| Demande de paiement d'un petit montant | Prétexte pour capter votre carte bancaire |
| SMS hors contexte (colis non commandé) | Envoi de masse aléatoire |
Un seul de ces signaux suffit à justifier la prudence. Plusieurs réunis ne laissent aucun doute.
Le piège du lien
Sur ordinateur, on peut survoler un lien pour voir où il mène. Sur mobile, c'est plus délicat. Restez attentif au nom de domaine : les fraudeurs utilisent des adresses qui ressemblent à l'officielle (par exemple un nom de transporteur suivi de mots ajoutés ou d'une extension inhabituelle). En cas de doute, ne touchez pas au lien.
Les bons réflexes en cas de SMS suspect
Si un message éveille vos soupçons, appliquez cette règle simple : ne cliquez pas, vérifiez par vous-même.
- Ne cliquez sur aucun lien et ne rappelez pas le numéro indiqué.
- Ne communiquez jamais de données bancaires, de mot de passe ni de code reçu par ailleurs.
- Vérifiez à la source : ouvrez vous-même l'application officielle de votre banque, du transporteur ou du site des impôts, ou tapez l'adresse connue dans votre navigateur. Ne passez jamais par le lien du SMS.
- Contactez l'organisme via un numéro officiel trouvé sur son site, pas celui du SMS.
- Supprimez le message une fois traité.
Signaler et bloquer
Le signalement est utile : il permet de couper les campagnes frauduleuses pour tout le monde.
- Transférez le SMS au 33700, la plateforme française de signalement des spams par SMS. C'est gratuit et vous indiquerez ensuite le numéro de l'expéditeur.
- Bloquez le numéro dans votre application de messagerie.
- Signalez l'arnaque sur la plateforme officielle cybermalveillance.gouv.fr, qui propose aussi des conseils d'assistance.
Si vous avez déjà cliqué ou payé
Pas de panique, mais agissez vite. Si vous avez seulement ouvert le lien sans rien saisir, le risque est faible : fermez la page. Si vous avez renseigné des informations bancaires, contactez immédiatement votre banque pour faire opposition et surveillez vos relevés. Changez sans attendre les mots de passe que vous auriez communiqués, et activez la double authentification partout où c'est possible.
En cas de préjudice financier, vous pouvez porter plainte. Conservez les preuves : capture d'écran du SMS, numéro de l'expéditeur, montants prélevés.
En résumé : la vigilance, pas la peur
Le smishing joue sur l'émotion et la vitesse. En vous accordant quelques secondes de recul et en vérifiant systématiquement par le canal officiel, vous neutralisez l'immense majorité de ces tentatives. La meilleure protection ne coûte rien : un doute, une vérification, un signalement.
Cet article a une visée informative. Pour toute démarche liée à une fraude bancaire ou un dépôt de plainte, rapprochez-vous de votre banque, des autorités compétentes et des sources officielles comme service-public.fr et cybermalveillance.gouv.fr.
Questions fréquentes
J'ai cliqué sur le lien d'un faux SMS, que faire ?
Ne saisissez aucune donnée et fermez la page. Si vous avez communiqué vos identifiants bancaires, appelez immédiatement votre banque pour faire opposition. Changez les mots de passe concernés et surveillez vos comptes. Un simple clic sans saisie est rarement dangereux, mais restez vigilant.
Le smishing peut-il installer un virus sur mon téléphone ?
C'est possible, surtout sur Android via le téléchargement d'une application en dehors des magasins officiels. Sur iPhone, le risque est plus faible mais la collecte de données via un faux site reste la menace principale. N'installez jamais d'application demandée par SMS.
Comment les escrocs ont-ils eu mon numéro ?
Souvent à la suite de fuites de données issues de sites piratés, d'achats de fichiers ou d'envois massifs aléatoires. Recevoir un smishing ne signifie pas que votre téléphone est compromis : c'est généralement un envoi de masse non ciblé.
À quoi sert le 33700 ?
C'est la plateforme officielle de signalement des spams et arnaques par SMS en France. Transférez gratuitement le message suspect au 33700, puis indiquez le numéro de l'expéditeur quand on vous le demande. Cela aide à bloquer les campagnes frauduleuses.
Cet article vous a-t-il été utile ?
Plus dans Tech & Numérique
Continuer la lecture
Mot de passe sécurisé : la méthode qui marche vraiment
Comment créer un mot de passe sécurisé et facile à retenir, sans logiciel. Phrase de passe, longueur idéale, erreurs à éviter : la méthode concrète, étape par étape.
Compte piraté, que faire ? La checklist d'urgence
Compte email, réseau social ou banque piraté : voici les étapes d'urgence pour reprendre le contrôle, limiter les dégâts et sécuriser vos accès rapidement.
Antivirus gratuit ou payant : faut-il encore en installer en 2026 ?
Windows Defender suffit-il ou faut-il une suite payante ? Notre comparatif pour décider en 2026 selon votre profil, votre matériel et vos usages.
Ransomware : comment se protéger et réagir en cas d'attaque
Comprendre le ransomware, prévenir l'infection avec des sauvegardes et des mises à jour, et savoir réagir sans payer la rançon : le guide complet et concret.