Protection du consommateur

Arnaque par SMS : comment reconnaître et déjouer le smishing en 2026 ?

Temps de lecture : 12 min

Un message de votre banque qui alerte sur une opération suspecte. Un autre de l’Assurance Maladie qui demande de mettre à jour la carte Vitale. Une notification d’un opérateur de péage qui réclame le règlement d’un impayé. Derrière ces SMS d’apparence banale se dissimule parfois une tentative d’extorsion de données personnelles ou bancaires. Si ce type de fraude n’est pas nouveau, les techniques employées ont profondément évolué, sous l’effet notamment de l’intelligence artificielle et de la multiplication des fuites de données massives. Le smishing est aujourd’hui devenu l’une des formes de cybercriminalité les plus répandues en France. Comprendre son fonctionnement, identifier ses formes et connaître les dispositifs de recours sont une ligne de défense désormais indispensable.

Le smishing, qu’est-ce que c’est exactement ?

Le smishing est la contraction de « SMS » et de « phishing ». Il repose sur le même principe que l’hameçonnage par courriel, à ceci près que le vecteur d’attaque est le portable. Dans le cadre d’une telle attaque, les victimes reçoivent un SMS semblant de prime abord provenir d’une administration, d’une banque, d’une société de livraison ou de tout autre organisme de confiance. Derrière le message, souvent alarmant pour inciter la victime à réaliser une action rapide (connexion, confirmation, mise à jour, paiement…), se cache en réalité un cybercriminel aux intentions peu louables.

Si le smishing attire autant les escrocs, c’est parce qu’il bénéficie d’avantages structurels majeurs. Déjà, sa récence le rend plus complexe à reconnaître qu’un e-mail de phishing pour le moment. Ensuite, un SMS est lu extrêmement rapidement (dans les trois minutes après réception dans 90 % des cas). Son taux d’ouverture avoisine 95 % (20 % pour un e-mail) et son taux de clic est largement supérieur à celui d’un e-mail (6 à 8 fois). Enfin, la nature même de ce canal oblige à formuler des messages concis, dans lesquels le risque de fautes syntaxiques et orthographiques sont moindres. L’expéditeur n’apparaît par ailleurs que sous la forme d’un numéro ou libellé courts, qui ne facilitent généralement pas son authentification.

Demandez gratuitement votre devis

IA et fuites de données : une explosion du smishing en France

Des chiffres qui donnent le vertige

En 2025, la plateforme Cybermalveillance.gouv.fr a enregistré plus de 500 000 demandes d’assistance, soit une hausse de 20 % en un an. Les demandes liées à l’hameçonnage ont progressé de 70 %, ce qui équivaut environ à 30 % des motifs de sollicitation. Les arnaques par SMS connaissent clairement une explosion sans précédent en 2026, portées notamment par la multiplication des faux messages de colis et la hausse des fraudes liées aux péages automatiques.

L’IA au service des fraudeurs

Longtemps, une faute d’orthographe ou une formulation maladroite suffisaient à identifier un message frauduleux. Grâce à l’intelligence artificielle, ce signal d’alerte tend à disparaître. Les escrocs envoient des SMS soignés, crédibles et de plus en plus personnalisés.

De vraies données personnelles intégrées aux messages

Les données issues de fuites récentes (nom, prénom, numéro client, IBAN, numéro de plaque d’immatriculation…) renforcent la crédibilité de l’approche. Le rapport Cybermalveillance.gouv.fr 2025 le confirme : non seulement le nombre de messages d’hameçonnage est en hausse, mais en plus ils incluent de surcroît de vraies informations. Face à un SMS qui nomme, cite un numéro d’abonné ou mentionne une transaction récente, le réflexe de méfiance est court-circuité.

Le SMS Blaster : une menace physique nouvelle

Basé sur une technique exploitant les vulnérabilités du réseau 2G, le SMS Blaster se propage en Europe. Concrètement, ce dispositif se fait passer pour une antenne-relais mobile afin d’envoyer des SMS frauduleux à tous les téléphones situés dans son périmètre. Plus de 400 000 personnes ont ainsi été visées par une campagne usurpant l’identité de l’Assurance Maladie à Paris. En Suisse, ce sont plus de 2 millions de francs qui ont été volés.

Administrations, banques et services du quotidien : les cibles privilégiées des arnaqueurs

Les cybercriminels ciblent en priorité les organismes avec lesquels chaque particulier est régulièrement en contact et vis-à-vis desquels une inaction peut paraître risquée.

La carte Vitale et l’Assurance Maladie

Dans ce genre de situation, les escrocs usurpent l’identité de l’Assurance Maladie en imitant parfaitement ses communications officielles (logos, formulations administratives, numéros d’expéditeur falsifiés, reproduction d’interfaces…). Si le contenu varie (remboursement en attente, carte Vitale arrivée à expiration…), le message crée systématiquement un sentiment d’urgence, pour entraver la réflexion de la victime. Il redirige vers un site frauduleux reproduisant assez fidèlement l’interface d’Ameli et permet ainsi aux malfaiteurs de collecter des données particulièrement sensibles (numéro de sécurité sociale, coordonnées bancaires…).

RAPPEL IMPORTANT
Comme toute démarche importante, une carte Vitale ne se renouvelle jamais par SMS, mais uniquement via les canaux officiels de l’Assurance Maladie.

Les impôts, la CAF et les services financiers

La Direction générale des finances publiques (DGFiP) est particulièrement visée par le smishing. Les SMS frauduleux proposent de faux remboursements d’impôts, des amendes fictives ou des régularisations urgentes. Les arnaqueurs usurpent également l’identité de la CAF, avec des prétextes de révision de dossier ou de suspension d’allocations. Là encore, ces SMS jouent sur l’urgence et la peur de sanctions administratives, en demandant aux victimes de régulariser une situation pour laquelle ils doivent fournir des données personnelles ou procéder à un paiement immédiat.

RAPPEL IMPORTANT
Les administrations françaises communiquent principalement par courrier postal pour les sujets importants. Leurs SMS officiels ne demandent ni paiement direct, ni données sensibles.

Les péages en flux libre

La généralisation des péages sans barrières sur les autoroutes françaises a ouvert une nouvelle fenêtre aux arnaqueurs. Leurs SMS imitent une notification de l’opérateur autoroutier et demandent le règlement de frais impayés. Le contexte rend le message plausible, car beaucoup d’automobilistes ne connaissent pas encore le fonctionnement exact de ce système de paiement a posteriori. Les sommes demandées sont le plus souvent très faibles, ce qui tend à réduire la méfiance. Bitdefender a par exemple mis en lumière une opération d’envergure qui ciblait les abonnés français au service Ulys.

Les banques et les faux conseillers bancaires

Avec un préjudice estimé à 380 millions d’euros en 2024, le faux conseiller bancaire est sans doute le scénario de smishing le plus dévastateur sur le plan financier. Il faut dire que la mécanique est bien rodée : un SMS alarmant déclenche l’appel d’un prétendu conseiller, qui convainc la victime de valider elle-même un virement « de sécurité »… vers un compte frauduleux.

Demandez gratuitement votre devis

Le cadre juridique applicable

Le smishing est une infraction pénale caractérisée. Il constitue une escroquerie punie par l’article 313-1 du Code pénal de cinq ans d’emprisonnement et 375 000 euros d’amende. Lorsque l’arnaqueur usurpe l’identité d’un organisme public, les peines peuvent être aggravées. La collecte frauduleuse de données personnelles tombe également sous le coup du règlement général sur la protection des données (RGPD) et peut donner lieu à des sanctions supplémentaires.

Sur le plan de la responsabilité bancaire, la jurisprudence a récemment évolué en faveur des victimes. La Cour de cassation a jugé en octobre 2024 que les victimes de spoofing téléphonique ne peuvent pas se voir reprocher une négligence grave. En mai 2025, la cour d’appel de Paris a confirmé cette position. Sauf à démontrer une faute caractérisée du client, les banques doivent rembourser.

Il est vivement conseillé aux victimes de déposer plainte auprès des autorités afin d’engager des poursuites. Pour ce faire, il est indispensable de collecter minutieusement chaque preuve (relevé bancaire, historique de navigation, capture d’écran du SMS…).

Les dispositifs de signalement et de protection

Le 33700 : pour signaler un SMS suspect en trente secondes

En France, le 33700 centralise les signalements de SMS indésirables et de tentatives de phishing par message. Géré en partenariat avec les opérateurs téléphoniques, il permet d’identifier les campagnes malveillantes actives et de protéger d’autres abonnés. La démarche est rapide : un simple transfert du message suspect suffit.

17Cyber et Cybermalveillance.gouv.fr : pour obtenir un diagnostic et un accompagnement

Pour les victimes de cybercriminalité, deux ressources complémentaires, qui forment le guichet national d’aide aux victimes, existent. Cybermalveillance.gouv.fr propose un parcours de diagnostic en ligne gratuit et oriente vers des professionnels locaux. De son côté, le 17Cyber s’est équipé d’une assistance téléphonique disponible sur cinq premiers territoires (Grand Est, Nouvelle-Aquitaine, Occitanie ainsi que les Caraïbes et la Réunion) prenant appui sur les CSIRT locaux (équipes de réponse aux incidents de sécurité informatique).

La plateforme PHAROS : pour signaler les sites frauduleux

Accessible en ligne, PHAROS (plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements) permet de signaler tout contenu web illicite. Chaque signalement est réceptionné par l’OCLCTIC (Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication), qui en assure le tri et l’orientation vers les unités d’enquête compétentes. Selon la nature des faits, une procédure pénale peut alors être ouverte.

La loi Naegelen : pour authentifier les numéros et bloquer l’usurpation

Adoptée le 24 juillet 2020, la loi Naegelen oblige les opérateurs à vérifier l’authenticité des numéros émetteurs sur les réseaux IP. Concrètement, tout appel dont l’origine ne peut être certifiée doit être bloqué avant d’atteindre le destinataire. Le dispositif technique qui en découle, le mécanisme d’authentification des numéros (MAN), est entré en application le 1er octobre 2024. Son objectif premier : empêcher les escrocs à usurper les numéros de lignes et, de façon corollaire, à se faire passer pour des organismes officiels ou conseillers bancaires. La protection reste à ce jour encore partielle, puisqu’elle ne couvre que les lignes fixes et flux IP, pas les portables.

Les bons réflexes à adopter

Face à un SMS inattendu émanant d’un organisme officiel ou d’un prestataire, quelques réflexes suffisent à limiter les risques :

  • ne jamais interagir avec le message : pas de clic sur le lien, pas de réponse, pas même le fameux « STOP », qui confirmerait aux malfaiteurs que le numéro est actif
  • ne jamais utiliser de lien reçu par SMS : il faut joindre l’organisme en question par ses propres moyens, via le site ou l’application officiels
  • ne jamais activer le réseau 2G : même s’il est encore actif chez certains opérateurs, ce réseau est en cours d’extinction. Le désactiver dans les paramètres de son téléphone permet de se protéger des attaques par SMS Blaster
  • ne jamais communiquer d’informations personnelles sensibles par SMS : aucune banque, assurance ou administration ne les demande par ce canal
  • ne jamais faire confiance d’emblée à un conseiller de l’Assurance Maladie : il ne faut pas hésiter à tester l’interlocuteur, en lui demandant par exemple le montant du dernier remboursement reçu (un vrai conseiller pourra répondre, un usurpateur non)
  • ne jamais valider un virement bancaire sans vérifier l’alerte de correspondance : depuis fin 2025, les banques sont tenues de signaler à leurs usagers toute discordance entre le nom saisi et le titulaire réel du compte. C’est un signal d’alarme à ne surtout pas ignorer.

Si des informations ont été transmises, il faut agir en conséquence :

  • changer immédiatement les mots de passe des comptes impliqués
  • déposer plainte auprès de la police ou de la gendarmerie
  • faire opposition auprès de son établissement bancaire

Le smishing n’est plus une menace périphérique réservée aux profils peu familiarisés avec le numérique. Les outils d’intelligence artificielle et les fuites de données régulières en font une menace de masse, capable de tromper des personnes averties. Face à cette réalité, la vigilance individuelle reste le premier rempart. Les signalements, rendus possibles par des dispositifs institutionnels en progression, ne doivent clairement pas être minimisés.

Partager sur :

Lien copié !

Vous pourriez aussi aimer :

Comme Angélique, stabilisez votre carnet de commandes et attirez une nouvelle clientèle !

Je vérifie mon éligibilité
"Grâce à l'outil Plus que pro, nous avons atteint notre objectif qui était d'inverser une tendance de clientèle. Nous avons aussi une continuité régulière sur le planning."
Angélique