Le smishing — contraction de SMS et phishing — connaît une explosion sans précédent en France, avec une augmentation de plus de 400 % des signalements en deux ans selon les données consolidées de la plateforme 33700, de Signal-Spam et de cybermalveillance.gouv.fr. Chaque jour, des millions de Français reçoivent des SMS frauduleux imitant avec un réalisme troublant les communications de Chronopost, La Poste, Ameli, les impôts, leur banque ou des organismes de formation, les incitant à cliquer sur un lien menant vers un site de phishing conçu pour voler leurs identifiants, coordonnées bancaires ou informations personnelles. Ce guide visuel décortique l'anatomie complète de cinq types de faux SMS parmi les plus courants en France, en identifiant pour chacun les signaux d'alerte visuels qui permettent de les distinguer des messages légitimes, le mécanisme technique derrière l'arnaque, ce que les escrocs volent réellement, et les étapes de récupération si vous avez déjà cliqué. Des captures annotées, des comparaisons entre vrais et faux messages, et des conseils pratiques de protection font de ce guide un outil essentiel pour vous protéger et protéger vos proches, notamment les personnes âgées particulièrement ciblées par ces campagnes. Téléchargez notre fiche anatomie imprimable pour la partager dans votre entourage.
FICHE RÉFLEXE — Téléchargement gratuit
PDF A4 imprimable, à afficher dans vos locaux
Télécharger le PDF gratuitL'explosion du smishing en France : chiffres et tendances 2025
Le smishing (SMS phishing) est devenu la menace numéro un pour les particuliers français, dépassant le phishing par email en termes de volume et d'efficacité. Les chiffres sont alarmants : la plateforme 33700 de signalement des SMS frauduleux a reçu plus de 18 millions de signalements en 2024, soit une augmentation de 400 % en deux ans. Le taux de clic sur un lien dans un SMS frauduleux est estimé à 15 à 20 %, soit dix fois supérieur au taux de clic sur un email de phishing (1 à 3 %), ce qui explique l'engouement des cybercriminels pour ce vecteur.
Plusieurs facteurs expliquent cette explosion. Les SMS bénéficient d'un taux d'ouverture de 98 % (contre 20 à 30 % pour les emails), garantissant que le message sera lu. Les écrans de smartphone ne permettent pas de visualiser l'URL complète de destination, rendant les liens courts indistinguables des liens légitimes. Les filtres anti-spam SMS sont beaucoup moins sophistiqués que leurs homologues email. Et surtout, les techniques de SMS spoofing (usurpation de l'identifiant expéditeur) permettent de faire apparaître le SMS comme provenant de « Chronopost », « Ameli » ou « Votre banque » dans la conversation habituelle du service légitime.
Les pertes financières liées au smishing en France sont estimées à plus de 500 millions d'euros par an, incluant les fraudes bancaires directes, les vols d'identité, et les coûts de remédiation. Les personnes âgées de plus de 65 ans représentent 35 % des victimes mais subissent 60 % des pertes financières, car elles sont souvent ciblées avec des montants plus élevés et disposent de moins de moyens de détection et de récupération.
À retenir : Le smishing explose en France : +400 % en 2 ans, 18 millions de signalements, taux de clic de 15-20 % (10x plus que l'email). Le SMS spoofing fait apparaître les messages dans la conversation légitime du service imité. Les personnes âgées sont les plus vulnérables. Signaler au 33700 est essentiel.
Comment fonctionne techniquement le smishing
Comprendre les mécanismes techniques derrière les faux SMS permet de mieux saisir pourquoi ces arnaques sont si difficiles à détecter et comment les opérateurs et les autorités luttent contre le phénomène.
Le SMS spoofing (usurpation d'identité expéditeur) : Les services SMS professionnels (utilisés légitimement par les entreprises pour leurs notifications) permettent de définir un texte libre comme identifiant d'expéditeur (Sender ID). Les escrocs exploitent des passerelles SMS non réglementées ou compromises pour envoyer des messages avec l'identifiant « Chronopost », « Ameli », « Impots.gouv » ou le nom de votre banque. Le téléphone du destinataire regroupe alors le SMS frauduleux avec les vrais messages du service, car il se base uniquement sur le Sender ID pour le classement dans les conversations.
Les services de liens courts : Les URLs dans les SMS sont systématiquement raccourcies pour deux raisons : respecter la limite de 160 caractères du SMS standard, et masquer la véritable destination du lien. Les escrocs utilisent des raccourcisseurs d'URL légitimes (bit.ly, tinyurl), des domaines courts achetés pour l'occasion (suivi-colis.info, ameli-connexion.fr), ou des sous-domaines trompeurs sur des domaines compromis. La résolution du lien court passe par une ou plusieurs redirections avant d'atteindre la page de phishing finale.
Les kits de phishing mobile : Les pages de phishing destinées au smishing sont spécifiquement optimisées pour l'affichage mobile. Elles utilisent un design responsive qui reproduit fidèlement l'application mobile du service imité, incluent des éléments de confiance (logo officiel, charte graphique, mentions légales, faux certificat de sécurité), et sont souvent hébergées sur des domaines avec certificat SSL (cadenas HTTPS) pour renforcer la crédibilité. Les kits les plus avancés adaptent dynamiquement le contenu selon l'opérateur mobile détecté et le modèle de téléphone.
Type 1 : Le faux SMS Chronopost / La Poste — « Votre colis est en attente »
L'arnaque au faux colis est de loin la plus répandue en France, représentant à elle seule près de 40 % des signalements de smishing. Elle exploite la généralisation du e-commerce et le fait que la plupart des Français attendent régulièrement des colis.
Le message type : « CHRONOPOST : Votre colis n°CP938271650FR est en attente de livraison. Frais de réexpédition : 1,99€. Confirmez ici → [lien court] ». Variantes courantes : « Votre colis ne peut être livré, adresse incomplète », « Frais de douane à régler pour votre colis international », « Programmez votre créneau de livraison ».
Les signaux d'alerte : Chronopost et La Poste ne demandent jamais de paiement par SMS. Les vrais numéros de suivi Chronopost commencent par des caractères spécifiques et sont vérifiables sur chronopost.fr. Le lien ne pointe pas vers chronopost.fr ou laposte.fr mais vers un domaine tiers. Le SMS crée une urgence artificielle (« colis en attente de retour sous 48h »). Les vrais SMS de Chronopost proviennent du numéro court 38004, pas d'un numéro mobile standard.
Ce que les escrocs volent : La page de phishing demande d'abord des informations personnelles (nom, adresse) pour renforcer la crédibilité, puis les coordonnées bancaires complètes (numéro de carte, date d'expiration, cryptogramme CVV) pour « payer les frais de 1,99 € ». En réalité, les données de carte sont utilisées pour des achats frauduleux ou revendues sur le dark web. Certaines variantes installent également un malware Android (sous couvert d'une « application de suivi de colis ») qui intercepte les SMS contenant les codes de validation bancaire (3D Secure).
Comparaison vrai vs faux : Un vrai SMS de Chronopost provient du numéro court 38004 (pas d'un 06/07), contient votre vrai numéro de suivi (que vous pouvez vérifier sur chronopost.fr), ne demande jamais de paiement ni de données bancaires, et le lien éventuel pointe vers chronopost.fr (avec le vrai domaine, pas un domaine similaire). Si vous avez un doute, vérifiez directement sur l'application ou le site officiel avec votre numéro de suivi.
Type 2 : Le faux SMS Ameli / Carte Vitale — « Votre nouvelle carte Vitale »
L'arnaque à la Carte Vitale exploite la confiance des Français envers l'Assurance Maladie et leur crainte de perdre leur couverture santé. Cette campagne est particulièrement agressive pendant les périodes de mise à jour des cartes Vitale et vise massivement les personnes âgées.
Le message type : « AMELI : Votre carte Vitale arrive à expiration. Commandez votre nouvelle carte ici → [lien court] ». Variantes : « Mise à jour obligatoire de votre carte Vitale », « Remboursement de 247,83€ en attente, confirmez vos coordonnées », « Nouvelle carte européenne d'assurance maladie disponible ».
Les signaux d'alerte : L'Assurance Maladie ne communique jamais par SMS pour demander des données personnelles ou bancaires. La carte Vitale n'a pas de date d'expiration et ne se renouvelle pas via un lien SMS. Ameli ne demande jamais de « frais de fabrication » pour la carte Vitale (elle est gratuite). Les vrais messages Ameli renvoient vers ameli.fr, pas vers un domaine tiers.
Ce que les escrocs volent : La page de phishing imite le portail ameli.fr et demande : le numéro de Sécurité sociale (qui est une donnée personnelle précieuse pour l'usurpation d'identité), les données d'état civil complètes (nom, prénom, date et lieu de naissance, adresse), et les coordonnées bancaires (sous prétexte de « frais d'expédition de 0,99 € » ou de « versement d'un remboursement »). Le numéro de Sécurité sociale combiné aux données d'état civil permet la création de faux documents d'identité et l'usurpation d'identité complète.
Type 3 : Le faux SMS Impôts / DGFiP — « Votre remboursement est disponible »
L'arnaque au faux remboursement d'impôts est saisonnière — elle culmine entre avril et juillet, pendant la période de déclaration et de réception des avis d'imposition. Elle exploite l'attente légitime d'un remboursement pour piéger les contribuables.
Le message type : « DGFiP : Suite à un recalcul de votre impôt, vous êtes éligible à un remboursement de 487,50€. Confirmez ici → [lien court] ». Variantes : « Votre avis d'imposition est disponible, connectez-vous », « Pénalité de retard : régularisez sous 48h pour éviter la majoration ».
Les signaux d'alerte : La Direction Générale des Finances Publiques ne demande jamais de coordonnées bancaires par SMS. Les vrais remboursements d'impôts sont versés automatiquement sur le compte bancaire enregistré dans votre espace impots.gouv.fr, sans aucune action de votre part. Le montant affiché est souvent calculé pour être crédible (proche des montants habituels de remboursement) mais n'est jamais vérifiable. Le lien ne pointe pas vers impots.gouv.fr.
Ce que les escrocs volent : La page de phishing reproduit l'interface de connexion d'impots.gouv.fr et demande : le numéro fiscal et le mot de passe (donnant accès à l'ensemble de vos données fiscales), puis les coordonnées bancaires pour « recevoir le remboursement ». Avec l'accès au compte fiscal, les escrocs peuvent modifier le RIB de remboursement, accéder à vos revenus et patrimoine (utile pour le ciblage d'autres arnaques), et obtenir une mine d'informations personnelles pour l'usurpation d'identité.
À retenir : Les administrations françaises (impôts, Ameli, CAF) ne demandent JAMAIS de données bancaires ou personnelles par SMS. Les remboursements sont versés automatiquement sans action de votre part. Tout SMS vous demandant de « confirmer » vos coordonnées est une arnaque. Vérifiez toujours directement sur le site officiel en tapant l'adresse manuellement dans votre navigateur.
Type 4 : Le faux SMS CPF / Mon Compte Formation — « Vos droits expirent »
L'arnaque au Compte Personnel de Formation (CPF) est l'une des plus lucratives pour les escrocs, avec des préjudices individuels pouvant atteindre plusieurs milliers d'euros. Elle exploite la méconnaissance des règles du CPF par de nombreux salariés et la crainte de « perdre » des droits acquis.
Le message type : « MON COMPTE FORMATION : Vos 5 000€ de droits CPF expirent le 31/12. Utilisez-les avant leur suppression → [lien court] ». Variantes : « Dernière chance de convertir vos heures DIF avant suppression », « Formation gratuite prise en charge à 100 % par votre CPF ».
Les signaux d'alerte : Le CPF n'a pas de date d'expiration — vos droits sont acquis à vie (ils sont attachés à la personne, pas à l'emploi). Mon Compte Formation ne démarche jamais par SMS, téléphone ou email. Le seul site officiel est moncompteformation.gouv.fr. Depuis 2023, la loi anti-démarchage CPF interdit tout démarchage commercial pour le CPF, punissable de sanctions pénales.
Ce que les escrocs volent : L'arnaque CPF fonctionne différemment des autres types de smishing. La page de phishing ou l'appel téléphonique qui suit le SMS vise à obtenir vos identifiants FranceConnect (numéro de Sécurité sociale + mot de passe) pour se connecter à votre compte CPF et vous inscrire à une formation fictive dispensée par un organisme frauduleux. L'escroc récupère alors les fonds CPF (jusqu'à 5 000 € ou plus) versés par la Caisse des Dépôts à l'organisme fantôme. La victime se retrouve inscrite à une formation inexistante et ses droits CPF sont épuisés.
Type 5 : Le faux SMS bancaire / Authentification forte — « Activité suspecte »
L'arnaque au faux SMS bancaire exploite la confiance des utilisateurs dans les notifications de sécurité de leur banque. Cette variante est particulièrement dangereuse car elle cible directement l'accès au compte bancaire et utilise l'urgence sécuritaire pour pousser la victime à agir sans réfléchir.
Le message type : « BNP PARIBAS : Activité suspecte détectée sur votre compte. Si ce n'est pas vous, sécurisez votre compte immédiatement → [lien court] ». Variantes : « Nouvelle connexion depuis un appareil inconnu. Confirmez votre identité », « Votre carte sera bloquée suite à un paiement suspect de 789€ ».
Les signaux d'alerte : Votre banque ne vous enverra jamais un SMS contenant un lien vers une page de connexion. Les vraies alertes bancaires vous demandent de vous connecter via l'application officielle ou de contacter votre conseiller au numéro habituel. Le SMS crée une urgence (« activité suspecte ») qui vise à court-circuiter votre réflexion. Le montant mentionné (789 €) est suffisamment élevé pour inquiéter mais pas assez pour sembler irréaliste.
Ce que les escrocs volent : La page de phishing reproduit la page de connexion de votre banque en ligne et capture vos identifiants bancaires complets. Les kits les plus sophistiqués fonctionnent en mode proxy en temps réel : pendant que vous saisissez vos identifiants sur la fausse page, l'escroc les utilise simultanément pour se connecter à votre vraie banque en ligne. Quand la banque envoie un code de confirmation par SMS (3D Secure), la fausse page vous demande de le saisir (« pour vérification de sécurité ») et l'escroc l'utilise immédiatement pour valider sa transaction frauduleuse. Ce mécanisme en temps réel permet de contourner l'authentification forte (SCA) imposée par la directive PSD2.
Le signalement au 33700 : comment ça marche concrètement
Le 33700 est le numéro court national de signalement des SMS frauduleux, géré par l'association AF2M (Association Française pour le développement des services et usages Multimédias Multi-opérateurs) en collaboration avec les opérateurs télécom français (Orange, SFR, Bouygues Telecom, Free). Le service est gratuit et anonyme.
Comment signaler : Transférez le SMS suspect au 33700 (transférer, pas copier-coller). Vous recevrez un SMS de confirmation vous demandant le numéro de l'expéditeur du SMS frauduleux. Envoyez ce numéro. Votre signalement sera alors transmis aux opérateurs qui pourront bloquer le numéro émetteur et le domaine associé. L'ensemble de la procédure prend moins d'une minute.
Impact des signalements : Chaque signalement contribue à un effort collectif de lutte contre le smishing. Les opérateurs utilisent les signalements pour : bloquer les numéros émetteurs identifiés, alimenter leurs filtres anti-spam SMS, signaler les domaines de phishing aux navigateurs (Google Safe Browsing, Microsoft SmartScreen) pour le blocage, et fournir des données aux forces de l'ordre pour les enquêtes. En 2024, les signalements au 33700 ont permis de bloquer plus de 300 000 numéros frauduleux et de faire fermer plus de 50 000 sites de phishing.
En complément du 33700, signalez les SMS frauduleux sur la plateforme cybermalveillance.gouv.fr pour les statistiques nationales, et sur PHAROS (internet-signalement.gouv.fr) pour les signalements traités par la police et la gendarmerie. Si vous avez été victime d'une fraude financière, déposez également une plainte au commissariat ou en ligne.
À retenir : Chaque type de faux SMS cible des données différentes : Chronopost → coordonnées bancaires, Ameli → numéro de Sécurité sociale + identité complète, Impôts → identifiants fiscaux + RIB, CPF → identifiants FranceConnect + droits formation, Banque → identifiants bancaires + codes 3D Secure en temps réel. La connaissance du mécanisme de chaque arnaque permet de mesurer les risques et d'adapter la réponse.
Opérations de police récentes contre le smishing en France
Les forces de l'ordre françaises mènent des opérations de grande envergure contre les réseaux de smishing, démontrant que cette cybercriminalité n'est pas sans conséquences pour ses auteurs. Plusieurs démantèlements récents illustrent l'ampleur des réseaux et les sanctions encourues.
En 2024, la Police Judiciaire de Paris a démantelé un réseau de 12 personnes responsable d'une campagne de faux SMS Chronopost ayant généré plus de 8 millions d'euros de préjudice sur 18 mois. Le réseau opérait depuis la région parisienne avec des serveurs hébergés en Europe de l'Est et des mules financières réparties dans toute la France. Les auteurs principaux ont été condamnés à des peines de 3 à 7 ans de prison ferme pour escroquerie en bande organisée, blanchiment et usurpation d'identité.
La Gendarmerie nationale (C3N — Centre de lutte Contre les Criminalités Numériques) a mené l'opération « SMS Shield » en 2024, ciblant les plateformes d'envoi de SMS frauduleux en masse. L'opération a permis la saisie de serveurs ayant envoyé plus de 50 millions de SMS frauduleux en France, l'arrestation de 8 suspects et la saisie de 2,5 millions d'euros en cryptomonnaie et avoirs bancaires.
Au niveau européen, Europol coordonne des opérations internationales contre les réseaux de smishing transnationaux. L'opération « EMMA 9 » (European Money Mule Action) a ciblé les réseaux de mules financières qui blanchissent les produits des fraudes par smishing, aboutissant à l'identification de plus de 10 000 mules et à 474 arrestations dans 26 pays européens.
Protection en entreprise : sécuriser les SMS professionnels
Les entreprises sont doublement concernées par le smishing : leurs collaborateurs peuvent être ciblés personnellement (compromission de comptes professionnels via un lien SMS), et les clients de l'entreprise peuvent recevoir des SMS frauduleux usurpant l'identité de l'entreprise. Voici les mesures de protection à déployer :
MDM (Mobile Device Management) : Déployez une solution de MDM (Microsoft Intune, VMware Workspace ONE, Jamf) sur les téléphones professionnels pour appliquer des politiques de sécurité : filtrage des URLs dans les SMS et le navigateur mobile, blocage de l'installation d'applications hors des stores officiels, détection et blocage des liens de phishing dans les SMS. Les solutions MDM avancées intègrent un MTD (Mobile Threat Defense) capable de détecter les tentatives de smishing en temps réel.
Protection de la marque : Pour empêcher l'usurpation de l'identité de votre entreprise dans les SMS, inscrivez-vous au registre des émetteurs SMS légitimes auprès des opérateurs. Configurez les filtres anti-spoofing pour votre Sender ID professionnel. Surveillez les domaines de typosquatting enregistrés à partir de votre nom de marque. Mettez en place une page dédiée sur votre site web informant vos clients des arnaques en cours et des canaux de communication officiels de votre entreprise. Consultez notre guide RGPD 2026 pour les obligations de notification aux personnes en cas d'usurpation.
Protéger les personnes âgées : stratégies adaptées
Les personnes âgées sont les cibles les plus vulnérables et les plus lucratives du smishing, combinant une moindre familiarité avec les technologies numériques, une confiance plus élevée dans les communications institutionnelles (Ameli, impôts, banque), et des capacités financières souvent plus importantes (épargne retraite). La protection de cette population nécessite des stratégies spécifiques adaptées à leurs usages.
Communication simplifiée : Les messages de prévention doivent être simples, concrets et répétés. La règle d'or à enseigner : « Ne cliquez JAMAIS sur un lien reçu par SMS. Si le message prétend venir d'un organisme officiel, connectez-vous directement à votre compte via l'application ou en tapant l'adresse dans votre navigateur ». Imprimez cette règle et affichez-la près du téléphone.
Configuration technique : Sur les smartphones des personnes âgées, activez les filtres anti-spam SMS intégrés (disponibles sur iOS et Android), installez une application de filtrage SMS (Orange Téléphone, Hiya, Truecaller), configurez la navigation sécurisée sur le navigateur mobile (Google Safe Browsing activé), et si possible, configurez un DNS sécurisé (Quad9, Cloudflare Family) au niveau du routeur domestique pour bloquer les domaines malveillants.
Réseau de vigilance familial : Établissez un « référent numérique » dans la famille ou l'entourage que la personne âgée peut appeler en cas de doute sur un SMS. Encouragez la personne à ne jamais agir dans l'urgence et à toujours consulter un proche avant de cliquer sur un lien ou de communiquer des informations personnelles par téléphone ou SMS. Programmez des visites régulières pour vérifier le téléphone (applications installées, SMS suspects, transactions bancaires inhabituelles).
À retenir : Les personnes âgées représentent 35 % des victimes de smishing mais 60 % des pertes financières. La règle fondamentale à enseigner : ne JAMAIS cliquer sur un lien dans un SMS. Configurez les filtres anti-spam, installez une application de filtrage, et établissez un référent numérique familial que la personne peut consulter en cas de doute.
Analyse technique des campagnes de smishing massives en France
Les campagnes de smishing à grande échelle qui frappent la France sont le produit d'une infrastructure technique sophistiquée, souvent opérée par des réseaux criminels internationaux organisés. Décrypter cette infrastructure permet de comprendre l'ampleur industrielle du phénomène et les raisons pour lesquelles les autorités peinent à l'éradiquer totalement.
L'infrastructure d'envoi : Les escrocs utilisent plusieurs méthodes pour envoyer des millions de SMS frauduleux. La méthode la plus courante est l'exploitation de passerelles SMS internationales (SMS gateways) situées dans des pays où la régulation est faible. Ces passerelles, normalement destinées aux communications commerciales légitimes, sont soit compromises, soit complices. Le coût d'envoi d'un SMS via ces passerelles varie de 0,002 à 0,01 € par message, permettant l'envoi de 10 millions de SMS pour un investissement de 20 000 à 100 000 euros — un montant dérisoire au regard des revenus générés par la fraude.
Une méthode alternative en forte croissance est l'utilisation de SIM farms (fermes de cartes SIM) : des racks de dizaines ou centaines de téléphones portables équipés de cartes SIM prépayées, contrôlés automatiquement par un logiciel. Cette méthode permet de contourner les filtres des opérateurs qui bloquent les SMS provenant de passerelles internationales suspectes, car les messages semblent provenir de numéros mobiles français classiques. Les SIM farms sont souvent installées dans des appartements loués sous de fausses identités en région parisienne ou dans des grandes villes. La police en saisit régulièrement lors des perquisitions — certaines contenaient jusqu'à 500 cartes SIM actives simultanément.
L'infrastructure de phishing : Les pages de phishing sont hébergées sur des serveurs cloud jetables (VPS à 5 € par mois chez des hébergeurs « bulletproof » tolérants à la fraude), avec des domaines enregistrés via des bureaux d'enregistrement peu scrupuleux ou avec des identités volées. La durée de vie moyenne d'un site de phishing est de 4 à 8 heures avant sa détection et son blocage, ce qui explique pourquoi les escrocs préparent des dizaines de domaines de remplacement et passent de l'un à l'autre dès qu'un blocage est détecté. Les kits de phishing sont souvent achetés sur des forums spécialisés du dark web pour 50 à 500 euros, incluant des templates pour les principales cibles françaises (Ameli, impôts, banques, Chronopost).
Le circuit financier : Les données bancaires volées sont exploitées via un réseau de mules financières — des individus recrutés (souvent sous le couvert de « jobs à domicile » ou « agents de transfert ») pour recevoir les fonds frauduleux sur leur compte bancaire personnel et les retransférer vers des comptes offshore ou en cryptomonnaie, conservant une commission de 5 à 10 %. Les mules sont souvent des victimes elles-mêmes, recrutées par des offres d'emploi frauduleuses sur les réseaux sociaux. Les forces de l'ordre européennes mènent des opérations régulières (EMMA — European Money Mule Action) pour démanteler ces réseaux de blanchiment.
Les technologies de filtrage des opérateurs français
Face à l'explosion du smishing, les opérateurs télécom français ont massivement investi dans des technologies de filtrage et de détection des SMS frauduleux. Comprendre ces protections et leurs limites permet de mesurer le niveau de risque résiduel pour les utilisateurs.
Filtrage par intelligence artificielle : Orange, SFR, Bouygues Telecom et Free ont déployé des systèmes de filtrage basés sur le machine learning qui analysent en temps réel le contenu des SMS, les patterns d'envoi (volume, vitesse, provenance), et les URLs contenues dans les messages. Orange déclare bloquer environ 600 millions de SMS frauduleux par an, et les quatre opérateurs français combinés bloquent probablement plus de 1,5 milliard de SMS malveillants annuellement. Ces systèmes s'améliorent continuellement grâce aux signalements du 33700 qui alimentent leurs modèles d'apprentissage.
Vérification du Sender ID : Les opérateurs français ont mis en place un registre des Sender ID autorisés pour les entreprises françaises. Les SMS utilisant un identifiant d'entreprise non enregistré ou provenant de passerelles non autorisées sont bloqués ou étiquetés comme suspects. Cependant, ce système est limité par le caractère international du trafic SMS : les messages transitant par des passerelles étrangères peuvent contourner ces vérifications. Le déploiement du protocole STIR/SHAKEN pour les SMS (similaire à ce qui existe pour les appels téléphoniques) est en cours mais pas encore généralisé.
Limites des filtres : Malgré ces investissements massifs, les filtres ne peuvent pas bloquer 100 % des SMS frauduleux. Les escrocs s'adaptent continuellement : ils varient les formulations pour échapper aux filtres par mots-clés (utilisation de caractères Unicode visuellement identiques, ajout de caractères invisibles), changent de numéros et de domaines plusieurs fois par jour, et testent leurs messages contre les filtres avant de lancer les campagnes massives. Le jeu du chat et de la souris entre les opérateurs et les escrocs est permanent, et les signalements des utilisateurs au 33700 restent un outil indispensable pour alimenter les bases de données de filtrage.
À retenir : Les opérateurs français bloquent plus de 1,5 milliard de SMS frauduleux par an grâce à l'IA et aux signalements 33700. Les escrocs utilisent des SIM farms, des passerelles internationales et des kits de phishing à 50-500€. Le circuit financier passe par des réseaux de mules. Chaque signalement au 33700 contribue directement à améliorer les filtres et à protéger l'ensemble des utilisateurs.
Que faire si vous avez déjà cliqué sur un faux SMS
Si vous avez cliqué sur un lien dans un SMS frauduleux et fourni des informations, la rapidité de votre réaction détermine l'étendue des dommages. Voici la marche à suivre selon les informations communiquées :
Si vous avez saisi vos coordonnées bancaires : Appelez immédiatement le numéro d'urgence de votre banque pour faire opposition sur votre carte bancaire. Signalez la fraude sur Perceval (service-public.fr). Surveillez vos relevés bancaires quotidiennement pendant 3 mois. Demandez une nouvelle carte avec un nouveau numéro. Si des débits frauduleux sont constatés, contestez-les auprès de votre banque (vous avez 13 mois pour contester une opération frauduleuse).
Si vous avez saisi des identifiants (Ameli, impôts, banque en ligne) : Changez immédiatement le mot de passe du service concerné. Activez l'authentification à deux facteurs si disponible. Vérifiez les informations de votre compte (RIB enregistré, adresse email, numéro de téléphone) pour détecter des modifications frauduleuses. Surveillez les connexions à votre compte dans les jours suivants.
Si vous avez installé une application depuis le lien : Ne pas ouvrir l'application si vous ne l'avez pas encore fait. Passez votre téléphone en mode avion (pour couper les communications du malware). Désinstallez immédiatement l'application. Lancez un scan antivirus mobile (Malwarebytes, Bitdefender Mobile). Changez tous les mots de passe enregistrés sur le téléphone depuis un autre appareil. Si le malware résiste à la désinstallation, effectuez une réinitialisation d'usine du téléphone (après avoir sauvegardé vos données sur un support sûr). Consultez notre arbre de décision pour les liens suspects.
Questions fréquentes sur les faux SMS
| Arnaque | Prétexte | Données volées |
|---|---|---|
| Chronopost | Frais de douane | CB, identité |
| Ameli | Renouvellement carte | Identité, CB |
| Impôts | Remboursement | CB, identifiants |
| CPF | Droits expirent | France Connect |
Comment les escrocs obtiennent-ils mon numéro de téléphone ?
Les numéros de téléphone proviennent de multiples sources : bases de données compromises lors de fuites de données (vérifiez sur haveibeenpwned.com si votre numéro a fuité), annuaires publics, formulaires en ligne remplis sur des sites peu scrupuleux, achat de bases marketing sur le dark web, ou simplement génération aléatoire de numéros valides (les attaquants envoient des millions de SMS en balayant les plages de numéros français). Le volume d'envoi est tel que la personnalisation n'est pas nécessaire — les messages génériques suffisent.
Peut-on bloquer définitivement les faux SMS ?
Malheureusement, il n'existe pas de solution permettant de bloquer 100 % des SMS frauduleux. Les filtres anti-spam des opérateurs bloquent une partie des messages (Orange estime bloquer 600 millions de SMS frauduleux par an), et les applications de filtrage ajoutent une couche supplémentaire. Cependant, les escrocs changent constamment de numéros, de domaines et de techniques pour contourner les filtres. La vigilance humaine reste indispensable en complément des protections techniques.
Comment savoir si un SMS de ma banque est vrai ou faux ?
Règle absolue : votre banque ne vous enverra JAMAIS un SMS contenant un lien vers une page de connexion. Les vrais SMS bancaires sont des codes de validation de transaction (3D Secure), des alertes de solde, ou des confirmations de virement — ils ne demandent jamais de cliquer sur un lien ni de fournir des informations. En cas de doute, ouvrez l'application officielle de votre banque ou appelez votre conseiller au numéro habituel (celui figurant sur votre carte bancaire ou vos relevés). Ne rappelez JAMAIS un numéro fourni dans un SMS suspect.
Mon téléphone peut-il être infecté par un simple SMS sans que je clique ?
Les cas d'infection sans clic (zero-click) existent mais sont extrêmement rares et réservés à des attaques ciblées par des acteurs étatiques (comme le logiciel espion Pegasus de NSO Group). Pour le smishing de masse, le simple fait de recevoir et lire le SMS ne présente aucun risque — c'est le clic sur le lien et l'interaction avec la page frauduleuse qui créent le danger. Supprimez simplement le SMS et signalez-le au 33700.
Pourquoi les opérateurs ne bloquent-ils pas tous les faux SMS ?
Les opérateurs français investissent massivement dans le filtrage (Orange déclare bloquer plus de 600 millions de SMS frauduleux par an), mais le volume et la diversité des techniques de contournement rendent le blocage total impossible. Les escrocs changent de numéros émetteurs en permanence, utilisent des passerelles SMS internationales difficiles à contrôler, et varient les contenus des messages pour éviter les filtres par mots-clés. Les signalements au 33700 aident directement les opérateurs à identifier et bloquer les nouvelles campagnes.
Les faux SMS par iMessage ou RCS sont-ils différents ?
Les messages envoyés via iMessage (Apple) ou RCS (Rich Communication Services sur Android) offrent en théorie plus de possibilités de vérification d'identité, mais les escrocs s'adaptent. Sur iMessage, les messages frauduleux proviennent d'adresses email (pas de numéros de téléphone), ce qui peut être un signal d'alerte. Le RCS inclut un système de vérification d'entreprise (badge vérifié), mais son déploiement en France est encore limité. Restez vigilant quel que soit le type de messagerie.
Que risquent les escrocs qui envoient des faux SMS en France ?
L'escroquerie par SMS est poursuivie au titre de l'article 313-1 du Code pénal (escroquerie : 5 ans de prison et 375 000 € d'amende, 10 ans et 1 million en bande organisée), de l'usurpation d'identité (article 226-4-1 : 1 an de prison et 15 000 € d'amende), et potentiellement du vol de données personnelles (article 226-18 : 5 ans et 300 000 €). Les peines prononcées dans les affaires récentes vont de 3 à 7 ans de prison ferme pour les organisateurs, démontrant la sévérité croissante de la justice française face à ce phénomène.
Comment aider mes parents/grands-parents à se protéger des faux SMS ?
Trois actions concrètes : 1) Imprimez la règle d'or et affichez-la près du téléphone : « Ne cliquez JAMAIS sur un lien reçu par SMS ». 2) Configurez les filtres anti-spam sur leur téléphone et installez une application de filtrage (Orange Téléphone est simple et gratuit). 3) Établissez-vous comme « référent numérique » que la personne appelle systématiquement avant toute action suite à un SMS, un email ou un appel suspect. La prévention passe par la répétition et la simplification du message.
Inspiré des recommandations de cybermalveillance.gouv.fr (licence Etalab 2.0)
Ressources complémentaires
- Fiche Réflexe Phishing
- J'ai cliqué sur un lien suspect
- Ai-je été piraté ? Arbre de décision
- Sécuriser son smartphone
- Comparatif gestionnaires de mots de passe
Conclusion
La prévention et la préparation restent les meilleures armes face aux cybermenaces. Téléchargez cette ressource, diffusez-la dans votre organisation et n'hésitez pas à nous contacter pour un accompagnement personnalisé.
Formez vos collaborateurs à reconnaître les faux SMS
Nos formations de sensibilisation couvrent le phishing, le smishing et le vishing avec des exemples réels et des simulations pratiques adaptées au contexte français.
Découvrir nos formations →Télécharger cet article en PDF
Format A4 optimisé pour l'impression et la lecture hors ligne
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire