Le SMS reste l'un des canaux de communication les plus directs et conserve une image de proximité : une banque qui confirme une opération, un transporteur qui annonce une livraison, etc. Mais cette confiance fait aussi sa faiblesse ; depuis plusieurs années, les cybercriminels exploitent le SMS pour piéger les particuliers comme les professionnels. Cette technique porte un nom : le smishing.
Qu'est-ce que le smishing ?
Le smishing désigne une tentative d'hameçonnage par SMS (contraction de phishing soit hameçonnage en anglais et de SMS). Le principe est simple : un message frauduleux se fait passer pour une organisation connue afin d'inciter la victime à cliquer sur un lien, à communiquer des informations personnelles, à saisir ses coordonnées bancaires ou à rappeler un faux service client. Les scénarios sont souvent familiers : colis en attente, amende à régler, compte bancaire bloqué, carte Vitale à renouveler, etc.
Une menace qui s'installe dans les usages du quotidien
Le succès du smishing repose sur un mécanisme psychologique bien connu : l'urgence. Le SMS frauduleux cherche rarement à convaincre longuement. Il pousse à agir vite. Quelques mots suffisent : "dernier rappel", "paiement en attente", "compte suspendu", "livraison bloquée". Le destinataire, souvent en déplacement ou occupé, peut cliquer sans prendre le temps de vérifier l'expéditeur ou l'adresse du lien.
Cette menace n'est plus marginale. Les attaques par SMS se sont professionnalisées, et les campagnes frauduleuses s'adaptent aux usages du moment. Les fraudeurs usurpent les codes visuels et le ton de marques connues, d'administrations ou d'opérateurs de livraison. Ils créent de faux sites très proches des sites officiels, capables de récupérer des identifiants, des mots de passe, des numéros de carte bancaire ou des codes de validation.
Les recherches récentes en cybersécurité décrivent le smishing comme une forme de social engineering en forte progression. En France, le smishing s'inscrit dans un paysage plus large de fraudes numériques. Dans son bilan 2025, Cybermalveillance.gouv.fr cite l'hameçonnage (dont le smishing fait partie) au premier rang des menaces en cybersécurité avec une augmentation de 70% en 2025, tous publics confondus.
Des campagnes de plus en plus contextualisées
Les campagnes frauduleuses fonctionnent d’autant mieux qu'elles s’appuient sur des situations crédibles. En France, les fraudeurs adaptent leurs messages à l'actualité et aux habitudes des consommateurs. Le développement des péages en flux libre, par exemple, a été exploité dans des campagnes de faux impayés autoroutiers. Les périodes de déclaration fiscale, de renouvellement administratif ou de forte activité e-commerce peuvent également servir de prétexte.
Cybermalveillance.gouv.fr indique que certaines campagnes observées en 2025 étaient personnalisées avec des informations personnelles ou bancaires, probablement issues de violations de données. Cette personnalisation rend les messages plus difficiles à identifier comme frauduleux, car ils peuvent contenir des informations réelles sur la victime.
L'intelligence artificielle rend les messages plus crédibles
Pendant longtemps, les SMS frauduleux étaient relativement faciles à repérer : fautes d’orthographe, formulations maladroites, tournures approximatives, liens très suspects. Ce n'est plus toujours le cas aujourd'hui. Avec les outils d’intelligence artificielle générative, les fraudeurs peuvent produire des messages mieux rédigés, plus naturels et plus personnalisés.
L'IA permet aussi de créer rapidement de fausses pages web, d'imiter le style d'une marque et de multiplier les variantes d'un même message. Cette industrialisation augmente le volume des attaques tout en réduisant les signaux d'alerte visibles pour l'utilisateur.
Comment reconnaître un SMS frauduleux ?
Plusieurs signaux doivent alerter. Un SMS est suspect lorsqu'il :
- impose une action immédiate
- contient un lien inhabituel
- réclame un paiement urgent ou demande des informations sensibles
- invite à transmettre un code de sécurité, un mot de passe, un numéro de carte bancaire ou des copies de documents d'identité
Le nom affiché de l’expéditeur ne suffit pas à garantir l’authenticité du message. Un fraudeur peut usurper l'identité d’une marque ou d’une administration. Le ministère de l'Intérieur rappelle que les tentatives d'hameçonnage par e-mail, SMS ou appel téléphonique ont généralement pour objectif de récupérer des informations personnelles, de voler des coordonnées bancaires ou d'usurper l’identité de la victime.
Que faire lorsqu'on reçoit un SMS suspect ?
En cas de doute, la première règle est de ne pas suivre les consignes du message. Il ne faut pas cliquer sur le lien, ne pas répondre, ne pas rappeler le numéro indiqué et ne jamais transmettre d'informations sensibles.
En France, un SMS suspect ou indésirable peut être signalé au 33700, la plateforme de lutte contre les SMS et appels indésirables. Le signalement peut se faire en transférant le message, via un formulaire en ligne ou avec une capture d’écran. La CNIL rappelle également que les SMS indésirables peuvent être transférés gratuitement au 33700 ; les signalements sont ensuite transmis aux opérateurs afin qu'ils puissent agir auprès des émetteurs concernés.
Ce signalement est important, car il permet d'identifier plus rapidement les campagnes frauduleuses et de contribuer aux actions de blocage ou de traitement menées par les opérateurs.
Que faire si l'on a cliqué ?
Cliquer sur un lien ne signifie pas toujours que des données ont été compromises. En revanche, si des informations ont été saisies, il faut agir rapidement. En cas de transmission d'identifiants, il est recommandé de changer immédiatement son mot de passe, surtout s'il est réutilisé sur plusieurs services. Si des coordonnées bancaires ont été communiquées, il faut contacter sa banque sans délai, surveiller ses comptes et faire opposition si nécessaire.
Il est aussi conseillé de conserver les preuves : capture d’écran du SMS, adresse du site frauduleux, numéro de téléphone, heure de réception, éventuels échanges. Ces éléments peuvent être utiles pour un signalement ou une plainte.
Un enjeu de confiance pour les entreprises
Le smishing ne touche pas seulement les victimes directes. Il fragilise aussi la confiance envers les communications légitimes des entreprises. Lorsqu'un consommateur reçoit régulièrement de faux SMS de livraison, de banque ou de service client, il devient plus méfiant envers l'ensemble des messages reçus sur son mobile.
Pour les entreprises qui utilisent le SMS, l'enjeu est donc double : continuer à bénéficier de la rapidité du canal, tout en évitant de nourrir la confusion avec les messages frauduleux. Un SMS professionnel doit être clair, identifiable et cohérent avec les autres canaux de communication :
- l'expéditeur doit être reconnaissable
- le message doit éviter les formulations anxiogènes
- les liens doivent renvoyer vers des domaines compréhensibles et cohérents avec la marque
La conformité joue également un rôle dans cette confiance. En France, la prospection commerciale par SMS est encadrée. La CNIL rappelle que la prospection électronique par SMS nécessite, dans le cas général, le consentement préalable de la personne concernée.
Pour conclure
La lutte contre le smishing repose sur plusieurs leviers : sensibilisation des utilisateurs, signalement des messages frauduleux, amélioration des outils de détection, coopération entre opérateurs et autorités, mais aussi meilleure qualité des communications envoyées par les entreprises.
Dans un contexte où les arnaques deviennent plus crédibles, la confiance devient un actif stratégique. Pour les particuliers, le réflexe principal reste de ralentir avant d'agir : vérifier l'expéditeur, ne pas cliquer dans l'urgence, passer par les canaux officiels et signaler les messages suspects. Pour les entreprises, l'enjeu est d'envoyer des messages utiles, clairement identifiables et conformes, afin de ne pas entretenir la confusion dont les fraudeurs tirent profit.