Actualité

20 janvier 2026 · 5 min de lecture · Par DYLETH

Le smishing : l'arnaque par SMS qui ne s'arrête pas

Le "smishing" — contraction de SMS et phishing — consiste à envoyer des messages frauduleux sur votre téléphone pour vous inciter à cliquer sur un lien malveillant, à rappeler un numéro surtaxé ou à fournir des informations personnelles. Selon les données de l'Autorité nationale des fréquences (ANFR) et de l'ANSSI, plus d'1,2 milliard de SMS frauduleux sont envoyés chaque année sur les réseaux français.

Ce qui rend le smishing particulièrement efficace, c'est la nature même du SMS. Contrairement à l'email — que beaucoup d'entre nous abordons avec une certaine méfiance —, le SMS est perçu comme un canal direct, personnel, urgent. Nous l'ouvrons presque automatiquement, souvent en quelques secondes. Les fraudeurs l'ont bien compris.

En 2025, les arnaques par SMS ne ressemblent plus aux messages mal orthographiés d'il y a dix ans. Elles sont personnalisées, visuellement soignées, et utilisent les noms de marques ou d'institutions que vous reconnaissez immédiatement. Voici les cinq nouvelles techniques les plus répandues.

Piège 1 — Le faux avis de passage colis

Vous recevez un SMS : "Votre colis n'a pas pu être livré. Confirmez votre adresse et payez 2,99 € de frais de réexpédition : [lien court]". Le message arrive souvent au nom de La Poste, Colissimo, DHL ou Chronopost. Il est envoyé en masse à des millions de numéros — peu importe que vous attendiez un colis ou non.

En cliquant, vous atterrissez sur une page imitant parfaitement le site du transporteur. On vous demande votre adresse, puis vos coordonnées bancaires pour régler les "2,99 euros". La vraie transaction, elle, sera bien plus salée : les fraudeurs utilisent les données saisies pour effectuer des achats à votre insu, ou revendent vos informations à d'autres réseaux criminels.

En 2024, cette arnaque a généré plus de 47 millions d'euros de pertes déclarées en France, selon les estimations de cybermalveillance.gouv.fr. Le chiffre réel est probablement bien supérieur, beaucoup de victimes ne signalant pas les petits montants.

Comment le repérer

Les vrais transporteurs ne demandent jamais de paiement par SMS. En cas de doute, connectez-vous directement sur le site officiel du transporteur (en tapant l'URL vous-même) avec le numéro de suivi figurant sur votre confirmation de commande. Ne cliquez jamais sur le lien du SMS.

Piège 2 — La fausse amende ou pénalité administrative

Ce type de SMS se présente comme un avis officiel émanant des douanes, de l'Assurance maladie (Ameli), de la CAF, de la Direction des finances publiques ou d'un tribunal. Le message signale une amende impayée, un remboursement bloqué ou une convocation — et demande d'agir sous 48 heures pour éviter des frais supplémentaires ou une procédure.

Les exemples courants en 2025 :

  • "Votre dossier CAF présente une irrégularité. Régularisez avant le [date] pour éviter une suspension de vos prestations."
  • "Un avis d'amende douanière de 87 € vous a été émis. Payez en ligne pour éviter une majoration."
  • "Votre carte Vitale doit être renouvelée. Complétez vos informations pour continuer à bénéficier de vos remboursements."

L'efficacité de ce piège repose sur la peur. Une amende non payée, des allocations suspendues — personne ne veut laisser traîner ce genre de situation. L'urgence artificielle pousse à cliquer avant de réfléchir.

À savoir : les administrations françaises ne demandent jamais d'informations bancaires ou de paiement par SMS. Tout avis officiel arrive par courrier postal ou via votre espace personnel sur le site gouvernemental concerné.

Piège 3 — Le quishing : le QR code piégé

Nouvelle tendance de 2024-2025, le "quishing" (QR code + phishing) consiste à intégrer un QR code dans un SMS ou une image. Le message vous invite à le scanner pour "mettre à jour vos informations", "accéder à votre espace client" ou "récupérer votre prime".

L'avantage pour le fraudeur : les QR codes contournent les filtres anti-phishing habituels, car le lien malveillant n'est pas directement visible dans le texte du message. Votre téléphone ne peut pas vérifier l'URL avant que vous ne scanniez le code.

Une fois scanné, le QR code vous dirige vers un site frauduleux qui peut demander vos identifiants, vos coordonnées bancaires, ou installer discrètement un logiciel espion sur votre téléphone. Cette technique a connu une hausse de 587 % entre 2023 et 2024 selon les données de l'Anti-Phishing Working Group (APWG).

Si vous recevez un SMS contenant uniquement un QR code, sans explication claire de l'expéditeur que vous reconnaissez avec certitude : ne le scannez pas.

Piège 4 — La transaction suspecte à confirmer

"Une transaction de 847 € a été effectuée depuis votre compte. Si vous n'êtes pas à l'origine de cet achat, cliquez ici pour bloquer votre carte."

Ce type de message exploite un mécanisme psychologique puissant : la peur de perdre de l'argent. Le montant est toujours suffisamment élevé pour créer l'alarme, mais pas assez excessif pour paraître invraisemblable. En cliquant sur le lien, la victime est dirigée vers une fausse interface bancaire où elle saisit ses identifiants — qui sont immédiatement capturés par les fraudeurs.

Certaines versions plus élaborées demandent également un code reçu par SMS pour "bloquer" la transaction. Ce code est en réalité un code d'authentification à deux facteurs que les fraudeurs utilisent en temps réel pour valider eux-mêmes une opération sur votre vrai compte bancaire.

Votre banque dispose d'un numéro officiel au dos de votre carte. En cas de suspicion, appelez ce numéro directement. Ne passez jamais par un lien reçu par SMS.

Piège 5 — Le gain improbable, le concours, la prime

"Félicitations ! Vous avez été sélectionné pour recevoir un iPhone 16 Pro. Réclamez votre gain avant 24h." Ou encore : "Votre prime CEE de 1 200 € est disponible. Complétez votre dossier pour la percevoir."

Ces messages jouent sur l'attrait du gain facile. Ils sont souvent mieux construits qu'on ne le croit : mention d'un partenaire commercial connu (grande surface, opérateur téléphonique, service public), formulation soignée, logo reconnaissable. L'objectif est toujours d'obtenir des informations personnelles ou bancaires sous prétexte de "débloquer" un gain ou de "valider votre dossier".

Une règle absolue : si vous n'avez pas participé à un concours, vous ne pouvez pas en avoir gagné un. Les primes d'État (CEE, chèque énergie, etc.) ne sont pas communiquées par SMS non sollicité.

Ce que ces 5 pièges ont en commun : l'URL

Derrière chacune de ces arnaques se trouve un lien. Et ce lien, même lorsqu'il semble légitime, contient presque toujours des indices révélateurs. Voici la technique des 5 secondes pour analyser une URL suspecte :

  1. Regardez le domaine principal (la partie juste avant le .fr, .com, etc.). Est-ce que c'est bien "laposte.fr" ou "ameli.fr" — ou "laposte-livraison.com" ou "ameli-renouvellement.net" ?
  2. Méfiez-vous des tirets dans le domaine : "impots-gouv-remboursement.fr" n'est pas "impots.gouv.fr".
  3. Les URL raccourcies (bit.ly, tinyurl, lien.fr...) cachent la destination réelle. Un service officiel n'a aucune raison d'utiliser un lien raccourci.
  4. Le protocole HTTPS ne garantit pas la légitimité : un site frauduleux peut parfaitement être en HTTPS. Ce n'est pas un gage de confiance.
  5. Tapez l'URL vous-même plutôt que de cliquer. Si le service existe, vous y accéderez sans passer par le lien du SMS.

Comment DYLETH analyse les liens en temps réel

Appliquer ces vérifications manuellement demande une attention que nous n'avons pas toujours, surtout sur petit écran, en déplacement. DYLETH intègre un moteur d'analyse d'URLs qui évalue chaque lien reçu par SMS avant même que vous ne puissiez cliquer dessus.

Notre système croise plusieurs sources : bases de données de domaines frauduleux connus, analyse comportementale de l'URL (structure, ancienneté du domaine, redirections), comparaison avec les domaines officiels des institutions imitées. En cas de suspicion, vous recevez une alerte avant d'ouvrir le lien. Le tout sans jamais lire le contenu de vos messages — le texte reste privé, seule l'URL est analysée.

Cette architecture respectueuse de la vie privée est au cœur de la conception de DYLETH : Privacy by Design, certifiée RGPD, développée en France.

Conclusion : la méfiance est une compétence

Les arnaques par SMS de 2025 ne ressemblent plus à celles d'hier. Elles sont précises, personnalisées, et s'appuient sur des émotions universelles — la peur, l'urgence, l'envie d'un gain. La bonne nouvelle : les signaux d'alerte restent identifiables. Un lien dans un SMS non sollicité, une demande de paiement ou d'informations bancaires, une urgence artificielle : ces éléments doivent toujours déclencher un réflexe de vérification.

Et pour les moments où la vigilance est difficile à maintenir, DYLETH veille.

Passez à l'action

Comprendre est la première étape. Se protéger est la seconde.

DYLETH bloque phishing, smishing et URLs malveillantes en temps réel, gratuitement.

Télécharger DYLETHVoir les 9 modules
SMS frauduleux : les 5 nouveaux pièges de 2025 | Blog DYLETH | DYLETH