how to use internet.

← Retour à Arnaques & hameçonnage

Protégez-vous des arnaques en ligne

Progression 0 / 12
Chapitres (12)

Smishing - arnaques par SMS

Le smishing (SMS + phishing) a explosé ces dernières années, avec des taux de réussite dépassant largement le phishing par email. Dans ce chapitre, vous apprendrez pourquoi les arnaques par SMS sont si efficaces et comment vous protéger.

Le paysage de la menace smishing

Les statistiques sont alarmantes :

  • Augmentation de 22 % des attaques de smishing au troisième trimestre 2024 seulement
  • Augmentation mondiale de 18 % des incidents de smishing en 2024
  • Taux de clic de 19-36 % pour le smishing (contre 2-4 % pour l’email)
  • 27,6 % des utilisateurs mobiles ont cliqué sur 6+ liens de smishing
  • 76 % des entreprises touchées par des attaques de smishing
  • Augmentation de 174 % des arnaques de smishing liées aux services de livraison
  • Perte moyenne : 8 199 $ par personne pour le smishing lié aux impôts

Pourquoi le smishing est plus efficace que l’email

Facteur de confiance plus élevé

  • Les SMS semblent plus personnels
  • Moins de spam que l’email (historiquement)
  • Les notifications mobiles créent l’urgence
  • Le format court semble moins suspect

Modèles de comportement mobile

  • Les gens consultent leur téléphone 96+ fois par jour
  • Répondent rapidement aux SMS
  • Plus difficile à vérifier sur de petits écrans
  • Plus susceptibles de cliquer sur mobile

Visibilité réduite

  • Impossible de survoler facilement les liens sur mobile
  • L’usurpation d’expéditeur est courante
  • Les URL raccourcies cachent la destination
  • Contexte/informations visibles limités

Évolution de la plateforme

Le smishing s’est déplacé du SMS traditionnel :

  • T2 2024 : 39,6 % via KakaoTalk, seulement 1,5 % via SMS traditionnel
  • WhatsApp, Telegram, Signal de plus en plus ciblés
  • Plus difficile à filtrer sur les applications de messagerie
  • Perçus comme des plateformes plus sécurisées

Tactiques courantes de smishing

1. Fausses notifications de livraison

La tactique de smishing n°1 - augmentation de 174 % en 2024.

Exemples de SMS :

“La Poste : Votre colis attend la livraison. Confirmez l’adresse : [lien]”

“Chronopost : Colis retenu en raison d’une adresse incomplète. Mettez à jour ici : [lien]”

“Amazon : Votre commande #12345 n’a pas pu être livrée. Reprogrammez : [lien]”

Pourquoi ça marche :

  • Tout le monde attend des colis
  • Crée l’urgence (colis en attente)
  • Synchronisé avec les vacances/saisons d’achats
  • Liens vers de faux sites web réalistes

Signaux d’alerte :

  • Notifications de livraison inattendues
  • Demandes de cliquer sur des liens
  • Réclamations de frais (1,99 € de réexpédition)
  • Action urgente requise
  • URL raccourcies (bit.ly, tinyurl)

Vérification :

  • Vérifiez l’application officielle pour le suivi
  • Tapez manuellement le site web du transporteur
  • Vérifiez directement avec le détaillant
  • Ne cliquez pas sur les liens SMS

2. Alertes de sécurité bancaire

Exemples de SMS :

“Alerte bancaire : Activité inhabituelle détectée sur le compte se terminant par 4567. Vérifiez maintenant : [lien]”

“Votre carte a été bloquée en raison d’une activité suspecte. Appelez le 01-23-45-67-89 pour débloquer.”

“Alerte fraude : Transaction de 500 € refusée. Confirmez que c’était vous : [lien]”

Pourquoi ça marche :

  • La sécurité bancaire est critique
  • Crée une préoccupation immédiate
  • Apparaît officiel avec des détails de compte
  • Nature urgente

Signaux d’alerte :

  • Liens pour “vérifier” le compte
  • Numéros de téléphone à appeler (pas de votre carte)
  • Demandes de code PIN ou mot de passe
  • Informations de compte génériques (les 4 derniers chiffres pourraient être devinés)

Ce que font les vraies banques :

  • Utilisent les notifications de l’application officielle
  • Appellent depuis des numéros de banque connus
  • Ne demandent jamais de code PIN/mot de passe par SMS
  • Fournissent des moyens de vérifier dans l’application

3. Messages “Vérifiez votre compte”

Exemples de SMS :

“PayPal : Votre compte a été limité. Vérifiez l’identité : [lien]”

“Apple : Votre compte iCloud nécessite une vérification dans les 24 heures.”

“Netflix : Échec du mode de paiement. Mettez à jour les informations de facturation : [lien]”

Pourquoi ça marche :

  • La suspension de compte est préoccupante
  • Délais urgents
  • Services familiers que tout le monde utilise

Signaux d’alerte :

  • Services de compte que vous utilisez envoyant des SMS de manière inattendue
  • Liens pour “vérifier” ou “mettre à jour”
  • Menaces de suspension
  • Délais de 24-48 heures

Vérification :

  • Connectez-vous directement au compte (application ou navigateur)
  • Vérifiez les notifications réelles là-bas
  • Contactez l’entreprise via les canaux officiels
  • Ne cliquez jamais sur les liens SMS

4. Arnaques aux péages et au trafic

Exemples de SMS :

“Autoroute : Vous avez un péage impayé de 12,51 €. Payez maintenant pour éviter une amende de 50 € : [lien]”

“Avis de péage : Solde impayé de 3,75 €. Payez dans les 72 heures : [lien]”

Pourquoi ça marche :

  • Spécifique à votre région géographique
  • Montants réalistes (3-15 €)
  • Menace d’amendes croissantes
  • Beaucoup de gens utilisent les routes à péage

Signaux d’alerte :

  • SMS concernant les péages (la plupart utilisent le courrier)
  • Demandes de paiement immédiates
  • Liens pour payer
  • “Amendes” pour de petits montants

Vérification :

  • Connectez-vous au compte de péage officiel
  • Vérifiez les relevés là-bas
  • Les agences de péage envoient d’abord du courrier
  • Ne payez jamais via un lien SMS

5. Arnaques à l’authentification à deux facteurs

Exemples de SMS :

“Votre code de vérification est 123456. Ne partagez jamais ce code.”

Suivi d’un appel de phishing :

“C’est la sécurité de [Banque]. Nous avons besoin du code que vous venez de recevoir pour vérifier que c’est vous.”

Pourquoi ça marche :

  • Les codes légitimes se ressemblent
  • Crée la confusion
  • L’appel téléphonique urgent ajoute de la pression
  • Exploite les fonctionnalités de sécurité

Signaux d’alerte :

  • Codes 2FA non sollicités (que vous n’avez pas demandés)
  • Quelqu’un demandant votre code 2FA
  • Appels téléphoniques concernant les codes
  • Plusieurs codes en peu de temps

Que faire :

  • Ne partagez jamais les codes 2FA
  • Ignorez les codes non sollicités
  • Raccrochez si on vous demande des codes
  • Changez les mots de passe si vous recevez des codes inattendus

6. Arnaques liées au COVID et à la santé

Bien qu’en déclin, toujours prévalentes :

Exemples de SMS :

“Vous avez été exposé au COVID-19. Planifiez un test gratuit : [lien]”

“Rendez-vous de vaccination disponible. Confirmez dans les 2 heures : [lien]”

Pourquoi ça marche :

  • Les préoccupations de santé l’emportent sur la prudence
  • Usurpation d’autorité gouvernementale/sanitaire
  • Nature médicale urgente

Signaux d’alerte :

  • Notifications de santé inattendues par SMS
  • Liens pour planifier des rendez-vous
  • Demandes d’informations d’assurance
  • Paiement pour des services “gratuits”

7. Arnaques aux prix et cartes-cadeaux

Exemples de SMS :

“Félicitations ! Vous avez gagné une carte-cadeau Carrefour de 500 €. Réclamez ici : [lien]”

“Vous avez été sélectionné pour le programme de récompenses Amazon. Cliquez pour échanger : [lien]”

Pourquoi ça marche :

  • Tout le monde aime l’argent gratuit
  • Semble sélectionné au hasard
  • Processus de réclamation rapide
  • Aucun mal évident à vérifier

Signaux d’alerte :

  • Gagner des concours auxquels vous n’avez jamais participé
  • Offres d’argent gratuit
  • Liens pour “réclamer”
  • Offres à durée limitée

URL raccourcies : L’arme du smishing

Pourquoi les escrocs les utilisent

  • Cachent la destination réelle
  • Semblent moins suspects
  • Contournent certains filtres
  • Peuvent suivre les clics

Raccourcisseurs d’URL courants :

  • bit.ly
  • tinyurl.com
  • goo.gl
  • t.co
  • ow.ly

Comment vérifier les URL raccourcies :

  1. Utilisez des services d’expansion d’URL (getlinkinfo.com, urlex.org)
  2. Ne cliquez jamais en premier - développez d’abord
  3. Recherchez le domaine de destination réel
  4. Si suspect, ne cliquez pas du tout

Ciblage géographique

Les campagnes de smishing ciblent souvent des régions spécifiques :

Arnaques régionales aux péages :

  • Sanef (Nord de la France)
  • APRR (Sud-Est)
  • Vinci Autoroutes (Ouest)

Usurpation de gouvernement local :

  • Messages de préfecture
  • Sociétés de services publics locales
  • Services de livraison régionaux

Pourquoi le ciblage géographique fonctionne :

  • Plus crédible (services que vous utilisez réellement)
  • Contexte réaliste
  • Plus difficile à vérifier rapidement

Smishing spécifique à la plateforme

SMS traditionnel

  • Messages directs de l’opérateur
  • Peut usurper les noms d’expéditeur
  • Plus difficile à bloquer à grande échelle

WhatsApp/Telegram/Signal

  • Semblent plus dignes de confiance
  • Arnaques par messages de groupe
  • Chaînes de messages transférés
  • Faux comptes professionnels

iMessage

  • Difficile à usurper pour les utilisateurs iPhone
  • Confusion bulle verte (SMS) vs. bleue (iMessage)
  • Tentatives de phishing FaceTime

Vulnérabilités spécifiques au mobile

Pourquoi le mobile vous rend vulnérable

Espace d’écran limité :

  • Impossible de voir les URL complètes
  • Moins de contexte visible
  • Plus difficile de repérer les détails

Mentalité tap-to-action :

  • Conçu pour des interactions rapides
  • Prise de décision moins délibérée
  • Clic par mémoire musculaire

Urgence des notifications :

  • Les alertes push créent de la pression
  • Peur de manquer quelque chose
  • Réagir avant de réfléchir

Vérification plus difficile :

  • Changement d’applications fastidieux
  • Impossible de survoler les liens
  • Copier-coller d’URL difficile

Procédures de vérification pour les SMS

Règle d’or : Ne cliquez jamais sur les liens dans les SMS

Au lieu de cela :

  1. Ouvrez l’application officielle - Pour le service mentionné
  2. Tapez l’URL manuellement - Dans votre navigateur
  3. Appelez le numéro officiel - Du site web/carte de l’entreprise
  4. Visitez en personne - Pour les services locaux

Avant toute action :

Demandez-vous :

  • Est-ce que j’attendais ce message ?
  • Cette entreprise m’envoie-t-elle normalement des SMS ?
  • Y a-t-il un langage d’urgence/menace ?
  • Me demande-t-on de cliquer sur un lien ?
  • Le numéro semble-t-il officiel ?

Si la réponse est “oui” aux questions de signal d’alerte : Ne cliquez pas. Vérifiez via les canaux officiels.

Pratiques sûres pour la sécurité mobile

Activer les fonctionnalités de sécurité

iOS :

  • Activez “Filtrer les expéditeurs inconnus”
  • Activez “Silence des appelants inconnus”
  • Signalez les messages indésirables

Android :

  • Activez la protection contre le spam
  • Bloquez les numéros inconnus
  • Utilisez le filtrage Google Messages

Protection au niveau de l’opérateur

  • Activez le blocage du spam via l’opérateur
  • Services anti-spam des opérateurs français
  • Options de filtrage disponibles

Soyez prudent avec votre numéro

  • Ne le partagez pas inutilement
  • Utilisez des numéros alternatifs pour les inscriptions
  • Inscrivez-vous sur Bloctel
  • Désabonnez-vous du marketing

Activer l’authentification à deux facteurs

  • Mais ne partagez jamais les codes 2FA
  • Utilisez la 2FA basée sur application si possible
  • Authentification biométrique préférée

Liste de contrôle des signaux d’alerte pour les SMS

Signaux d’alerte immédiats :

  • Messages inattendus avec liens
  • Demandes de vérification de comptes
  • Demandes de paiement par SMS
  • Notifications de prix/carte-cadeau
  • Codes 2FA non sollicités
  • Colis que vous n’avez pas commandés
  • Menaces de suspension de compte

Modèles suspects :

  • URL raccourcies (bit.ly, etc.)
  • Noms d’entreprise mal orthographiés
  • Formules génériques
  • Mauvaise grammaire
  • Délais urgents (heures/jours)
  • Demandes d’informations personnelles
  • Langage “Cliquez ici”

Indicateurs plus sûrs (mais vérifiez quand même) :

  • Messages attendus (que vous avez initiés)
  • Pas de liens, juste des informations
  • Correspond au style de communication officiel
  • Peut être vérifié dans l’application officielle

Exemples concrets de smishing

Exemple 1 : Livraison La Poste

SMS reçu :

La Poste : Échec de livraison du colis.
Payez 1,99 € de frais de réexpédition :
bit.ly/laposte-1234

Analyse :

  • La Poste n’envoie pas de SMS pour les frais de réexpédition
  • L’URL raccourcie cache la destination
  • Les petits frais le rendent légitime
  • Crée l’urgence (colis en attente)

Action correcte :

  • Vérifiez LaPoste.fr avec le numéro de suivi
  • Ou vérifiez les informations d’expédition du détaillant
  • Ne cliquez pas sur le lien
  • Signalez à La Poste

Exemple 2 : Alerte bancaire

SMS reçu :

Alerte bancaire : Transaction suspecte de 500 €
sur la carte se terminant par 4567.
Répondez O pour confirmer ou N pour bloquer.
www.secure-bankverify.com

Analyse :

  • Les banques ne vérifient pas par réponse SMS
  • Mauvais domaine (pas la vraie banque)
  • Les 4 derniers chiffres pourraient être devinés
  • Conçu pour obtenir une réponse rapide

Action correcte :

  • Appelez la banque en utilisant le numéro sur votre carte
  • Vérifiez le compte via l’application officielle
  • Ne répondez pas et ne cliquez pas
  • Signalez au service fraude de la banque

Exemple 3 : Arnaque fiscale/impôts

SMS reçu :

IMPOTS.GOUV : Vous avez un remboursement
non réclamé de 1 247 €. Réclamez dans les
48 heures : [lien]
Réf #IMPOTS-2024-78945

Analyse :

  • Les impôts n’initient jamais de contact par SMS
  • Les montants de remboursement varient pour sembler personnels
  • Urgence de 48 heures
  • Le numéro de référence ajoute une fausse légitimité

Action correcte :

  • Les impôts ne contactent que par courrier
  • Vérifiez impots.gouv.fr pour le statut réel du remboursement
  • Ne cliquez jamais sur les SMS liés aux impôts
  • Signalez aux autorités

Si vous avez cliqué sur un lien de smishing

Actions immédiates :

  1. N’entrez pas d’informations - Fermez le navigateur
  2. Déconnectez Internet - Désactivez WiFi/données
  3. Ne téléchargez rien - Si demandé
  4. Capturez le SMS - Pour signalement
  5. Lancez un scan de sécurité - Antivirus mobile

Dans les heures qui suivent :

  1. Changez les mots de passe - Pour les comptes sur cet appareil
  2. Activez la 2FA - Si pas déjà active
  3. Surveillez les comptes - Vérifiez l’activité non autorisée
  4. Contactez la banque - Si vous avez entré des informations financières
  5. Signalez-le - Opérateur, autorités, entreprise concernée

Suivi :

  1. Surveillez les relevés - Pendant plusieurs mois
  2. Surveillez le crédit - Envisagez un gel
  3. Mettez à jour la sécurité - Sur tous les appareils
  4. Apprenez la leçon - Pour repérer les futures tentatives

Points clés à retenir

  • Le smishing a un taux de clic de 19-36 % (contre 2-4 % pour l’email)
  • Augmentation de 174 % des arnaques à la livraison en 2024
  • Ne cliquez jamais sur les liens dans les SMS inattendus
  • Vérifiez via les applications officielles à la place
  • Activez le filtrage du spam sur le téléphone et l’opérateur
  • Les URL raccourcies cachent la destination - développez avant de cliquer
  • Les banques ne vérifient jamais par réponse SMS
  • Les impôts n’initient jamais de contact par SMS
  • Les codes 2FA ne doivent jamais être partagés
  • En cas de doute, ne cliquez pas - vérifiez de manière indépendante

Rappel : Votre téléphone semble personnel et digne de confiance, c’est exactement pourquoi le smishing est si efficace. Faites toujours une pause avant de cliquer et vérifiez via les canaux officiels. Quelques secondes supplémentaires peuvent vous faire économiser des milliers d’euros.

Prochain chapitre : Nous explorerons les arnaques sur les réseaux sociaux - comment les attaquants exploitent Facebook, Instagram, LinkedIn et d’autres plateformes pour cibler les victimes.

Auteur:
How To Use Internet
Dernière mise à jour:
30/11/2025