Attaque SMS · Mobile En forte progression Mis à jour · Avril 2026

Smishing

Aussi appelé : SMS phishing · hameçonnage par SMS · smishing (contraction de SMS et phishing)
En une phrase — Le smishing est une forme de phishing qui utilise les SMS comme vecteur d'attaque. Son taux de clic est significativement supérieur au phishing par email, et il est devenu la principale source de fraude bancaire grand public en France depuis 2023.
Taux d'ouverture SMS
~95% (vs 20% pour l'email)
Vecteur principal en France
Fausse livraison colis, faux Ameli, faux impôts
Signalement
Transférer au 33700 (gratuit, opérateurs FR)
Progression 2022-2025
+200% de signalements selon l'Arcep
Cible privilégiée
Grand public, seniors surreprésentés

01 — DéfinitionQu'est-ce que le smishing ?

Le smishing — contraction de SMS et phishing — est une forme de phishing qui utilise les SMS comme vecteur d'attaque plutôt que l'email. Le principe est identique : un message qui imite une entité de confiance (banque, administration, service de livraison) pousse la victime à cliquer sur un lien, à appeler un numéro surtaxé, à installer une application ou à fournir des informations sensibles.

Ce qui distingue le smishing du phishing email, c'est principalement le canal et sa performance statistique. Un SMS est ouvert dans 95% des cas dans les trois minutes, contre 20% pour un email. Les filtres anti-spam sont beaucoup moins sophistiqués sur les SMS. Et le format court limite les indices visuels que la victime pourrait utiliser pour détecter la supercherie.

En France, le smishing est devenu la principale source de fraudes bancaires grand public depuis 2023, devant le phishing par email. Les pertes déclarées sont estimées à plusieurs centaines de millions d'euros par an.

02 — AnalysePourquoi le smishing explose

L'efficacité du smishing ne tient pas au hasard. Elle repose sur plusieurs facteurs convergents.

Une confiance historique envers le SMS

Le SMS a longtemps été un canal « propre », peu utilisé pour le spam. Le grand public a intégré l'idée qu'un SMS venait nécessairement d'un contact ou d'un service légitime. Cette confiance héritée joue contre les utilisateurs face aux attaques modernes.

La normalisation des SMS administratifs

Paradoxalement, la généralisation des SMS légitimes d'Ameli, La Poste, les impôts, les banques, les transporteurs a normalisé l'idée qu'une administration peut vous envoyer un SMS avec un lien. Les attaquants exploitent exactement cette habitude : leur faux SMS ressemble à un vrai parce qu'on reçoit des vrais similaires tous les jours.

Les limites techniques des mobiles

Sur mobile, il est plus difficile :

  • De vérifier une URL avant de cliquer (pas de survol souris).
  • De repérer une adresse trompeuse (l'URL est souvent tronquée à l'écran).
  • D'analyser les indices visuels de la page cible (design adaptatif qui masque les anomalies).
  • De comparer avec une version légitime connue.

Le format court comme atout pour l'attaquant

Un SMS de 160 caractères ne permet pas les tournures maladroites qui trahissent souvent un phishing email. Moins de texte = moins de signaux négatifs. L'attaquant se contente d'une phrase neutre et crédible.

L'économie favorable de l'attaque

Envoyer des SMS en masse coûte peu (~0,02 € l'unité via des passerelles abusant des SMS marketing). Avec un taux de clic de 10-15% et une conversion de 2-3%, le ROI d'une campagne smishing est largement positif.

03 — ScénariosLes arnaques les plus courantes en France

Faux SMS de livraison — La Poste, Chronopost, DHL, UPS

Message-type : « Votre colis n'a pas pu être livré, vérifiez votre adresse et payez 1,99 € de frais : [lien] ». La victime saisit ses coordonnées bancaires prétendument pour payer les 1,99 €, qui servent en réalité à inscrire sa carte sur un site d'abonnement frauduleux ou à réaliser un premier débit test avant d'en lancer de plus gros.

Faux SMS Ameli — remboursement en attente

Message-type : « Ameli : un remboursement de X,XX € est en attente. Confirmez vos coordonnées bancaires sous 48h sur : [lien] ». La page imite parfaitement le portail Ameli et demande identifiants puis RIB puis carte bancaire pour recevoir le virement. Les données servent à des virements frauduleux ou à la revente sur des marchés cybercriminels.

Faux SMS bancaire — tentative de connexion suspecte

Message-type : « [Banque] : tentative de connexion non autorisée détectée. Si ce n'est pas vous, sécurisez votre compte immédiatement : [lien] ». Suit généralement un appel téléphonique prétendument du conseiller bancaire — combinaison smishing + vishing — qui persuade la victime de valider des opérations frauduleuses via son application bancaire.

Faux SMS impôts — trop-perçu ou amende

Deux variantes inversées : soit un trop-perçu à récupérer (mêmes rouages que l'Ameli), soit au contraire une amende à régler immédiatement pour éviter majoration. La DGFiP n'envoie jamais de lien de paiement par SMS — c'est un signal absolu.

Faux SMS d'une plateforme (Netflix, Amazon, Vinted)

Alerte de paiement refusé, de compte suspendu, de colis Vinted réclamé. La page de « mise à jour » demande identifiants puis informations bancaires. Variante récente chez Vinted : un faux acheteur demande au vendeur de confirmer l'envoi via un lien — qui capture en fait les identifiants PayPal ou les infos de carte.

04 — DétectionComment reconnaître un smishing

Le format court du SMS limite les marges de manœuvre de l'attaquant. Quelques signaux restent fiables.

  1. Un lien dans un SMS administratif — les administrations françaises (Ameli, impôts, CAF, CPAM) n'envoient quasiment jamais de SMS avec un lien cliquable. Les banques le font parfois, mais jamais pour une action urgente et jamais via un raccourcisseur d'URL.
  2. Un domaine raccourci ou exotiquebit.ly, tinyurl.com, ou des domaines inconnus ressemblant au service évoqué (ameli-info.xyz, laposte-suivi.top). Les services officiels utilisent toujours leur domaine principal.
  3. L'urgence ou la gratification immédiate — « sous 24h », « remboursement en attente », « votre compte sera suspendu ». L'urgence est le marqueur signature de toute tentative de manipulation.
  4. Une demande de paiement minuscule — 0,99 €, 1,99 € de « frais ». Le montant est volontairement bas pour que la vigilance baisse.
  5. Un numéro d'expéditeur bizarre — un numéro étranger (+44, +33 6 commençant de manière inhabituelle), un numéro surtaxé, ou à l'inverse un nom alphabétique inconnu.
  6. Une incohérence contextuelle — un colis que vous n'avez pas commandé, un remboursement inattendu, une amende que vous ne comprenez pas.

05 — DéfenseComment s'en protéger

En tant qu'utilisateur
  • Par défaut, ne jamais cliquer sur un lien reçu par SMS. En cas de doute, ouvrir l'application ou taper l'URL officielle du service concerné manuellement.
  • Installer un filtre anti-spam SMS (Orange Téléphone, Truecaller, iOS > Filtrer expéditeurs inconnus, Google Messages).
  • Activer la MFA sur tous les comptes sensibles avec une app TOTP ou FIDO2 plutôt que des SMS.
  • Ne jamais installer une application depuis un lien reçu par SMS : toujours passer par l'App Store ou le Play Store officiel.
  • Sensibiliser ses proches, en particulier les personnes âgées qui sont surreprésentées parmi les victimes.
En tant qu'entreprise
  • Former les collaborateurs au smishing, pas seulement au phishing email.
  • Lancer des simulations smishing via des plateformes spécialisées.
  • Mettre en place une procédure claire pour les demandes sensibles reçues par SMS (aucune action sans vérification par canal alternatif).
  • Équiper les téléphones professionnels d'un MDM qui bloque l'installation d'apps hors stores officiels (sideload).
  • Pour les applications grand public, signer les SMS avec un nom d'expéditeur alphanumérique clair et cohérent, et afficher la signature dans la communication utilisateur.

06 — RéactionSignaler et réagir

Signaler un SMS suspect

Le canal officiel en France est le 33700, service gratuit opéré par les opérateurs télécoms. Transférez le SMS frauduleux au 33700, puis répondez avec le numéro de l'expéditeur. Les opérateurs peuvent alors bloquer la source.

Complétez le signalement sur signal-spam.fr et, en cas de préjudice, sur cybermalveillance.gouv.fr.

Si vous avez cliqué mais rien saisi

Le risque est limité. Sur Android, vérifiez qu'aucune application ne s'est installée à votre insu (Paramètres > Applications). Sur iPhone, un simple clic ne peut pas installer d'application — vous êtes probablement tranquille.

Si vous avez saisi des informations

Agir dans l'heure :

  • Changer immédiatement les mots de passe concernés.
  • Contacter votre banque : opposition sur carte si infos bancaires, surveillance accrue sinon.
  • Activer la MFA sur tous les comptes liés si ce n'est pas fait.
  • Déposer plainte au commissariat ou en ligne sur Thésée. Obligatoire pour engager un remboursement par la banque au titre de la DSP2.
  • Surveiller les opérations bancaires pendant plusieurs semaines.

Si vous avez installé une application

C'est le scénario le plus grave, notamment sur Android. L'application peut lire vos SMS (y compris vos codes bancaires), vos contacts, prendre des captures d'écran, etc. Action immédiate : mettre le téléphone en mode avion, sauvegarder ce qui doit l'être, puis réinitialiser aux paramètres d'usine. Prévenir la banque et changer les mots de passe sensibles depuis un autre appareil.

07 — FAQQuestions fréquentes

Smishing vs vishing, c'est quoi la différence ?

Le smishing passe par SMS, le vishing par appel vocal. Les deux exploitent la confiance envers le téléphone. Les attaques sophistiquées combinent souvent les deux : un SMS qui donne un numéro à rappeler, ou un SMS suivi d'un appel du « conseiller bancaire ».

Pourquoi est-ce que je reçois ces SMS alors que je n'ai rien donné ?

Votre numéro a probablement fuité lors d'une brèche de données antérieure (Free, SFR, un site marchand piraté…), ou a été scrapé sur les réseaux sociaux. Les attaquants utilisent aussi la génération aléatoire de numéros en diffusion massive. Vous pouvez vérifier l'exposition de votre email sur Have I Been Pwned.

Les opérateurs peuvent-ils bloquer tous ces SMS ?

Ils essaient, mais la tâche est difficile. Depuis 2023, l'Arcep a mis en place le MAN (Mécanisme d'Authentification des Numéros) qui oblige les opérateurs à vérifier l'authenticité des appels et SMS. L'efficacité progresse mais les attaquants s'adaptent — notamment en utilisant des SMS envoyés depuis l'étranger qui échappent partiellement au dispositif.

Ma banque peut-elle me rembourser si j'ai été piégé ?

Oui en principe, au titre de la directive DSP2 sur les opérations non autorisées. La banque peut toutefois invoquer la négligence grave si vous avez validé vous-même les opérations via 3D Secure. Plusieurs jurisprudences récentes tendent à renforcer la protection du consommateur, mais l'issue dépend des faits précis. Dépôt de plainte obligatoire.

iPhone est-il plus sûr qu'Android face au smishing ?

Légèrement. L'App Store est plus fermé et il est plus difficile d'installer une application par sideload. Mais la phase « fournir ses identifiants ou coordonnées bancaires sur une page web » fonctionne aussi bien sur iPhone. La principale différence concerne les applications malveillantes post-clic.