Le smishing frappe fort en France : 411 700 victimes recensées en 2023 selon le Service statistique ministériel de la sécurité intérieure. Deux mots en particulier trahissent les SMS frauduleux : « com » et « track ». Si vous recevez un SMS avec l'un de ces 2 mots, supprimez-le vite de votre téléphone sans cliquer sur quoi que ce soit.
Les arnaques par SMS ont atteint une ampleur rarement vue en France. Derrière un message d'apparence anodine, parfois envoyé depuis un numéro commençant par 06 ou 07, se cachent des cybercriminels capables de vider un compte bancaire en quelques clics. La technique porte un nom : le smishing, contraction de "SMS" et de "phishing", et elle repose sur un mécanisme redoutablement simple.
Concrètement, tout commence par un message court, urgent, qui imite à la perfection une banque, un transporteur ou un service public. Et dans ce message, deux mots reviennent avec une fréquence suspecte.
Les deux mots qui signalent un SMS frauduleux
Les experts en cybersécurité, notamment ceux de Spamhaus, ont identifié des récurrences dans les SMS frauduleux qui circulent massivement. Deux termes ressortent systématiquement : « com » et « track ».
« Com » : le signal d'un lien piégé
Le mot « com » apparaît presque toujours dans les URL intégrées aux SMS malveillants. Les cybercriminels construisent des adresses qui ressemblent à des sites officiels, avec des noms de domaine contenant "com" pour imiter des enseignes connues. Résultat : à première vue, le lien semble légitime. Mais il pointe vers une page de phishing, conçue pour copier l'interface d'une banque, d'un opérateur téléphonique ou d'un service de livraison. Une fois sur cette page, chaque information saisie, identifiant, mot de passe, numéro de carte, tombe directement entre les mains des fraudeurs.
« Track » : l'appât du colis en attente
Le terme « track » exploite une habitude bien ancrée : le suivi de colis. Avec l'explosion du commerce en ligne, recevoir un SMS annonçant qu'un colis est "en attente" ou "bloqué" ne surprend plus personne. Les escrocs le savent. Ils fabriquent des messages contenant un lien de tracking factice qui renvoie vers une page imitant La Poste, Colissimo, DHL ou Chronopost. La victime est invitée à payer des "frais de douane" ou à confirmer ses coordonnées pour débloquer la livraison. Ni l'un ni l'autre n'est réel.
Un transporteur légitime ne demande jamais de paiement par SMS ni de saisie de coordonnées bancaires via un lien reçu par message. En cas de doute, rendez-vous directement sur le site officiel de l’enseigne.
Le smishing en France : une fraude qui touche des centaines de milliers de personnes
Les chiffres parlent d'eux-mêmes. Le Service statistique ministériel de la sécurité intérieure a comptabilisé 411 700 victimes de smishing en France pour la seule année 2023. Un chiffre qui place cette arnaque parmi les escroqueries numériques les plus répandues du pays, devant bien d'autres formes de fraude en ligne.
UFC-Que Choisir et la Gendarmerie nationale ont tous deux alerté sur la sophistication croissante de ces messages. Fini le SMS bourré de fautes d'orthographe : les textes frauduleux d'aujourd'hui sont rédigés avec soin, personnalisés, et s'appuient sur des mises en scène crédibles. Les thématiques les plus exploitées incluent le suivi de colis, les incidents bancaires, la réinitialisation de mot de passe, les frais imprévus à régler d'urgence, ou encore les gains exceptionnels à récupérer rapidement.
victimes de smishing recensées en France en 2023
Les numéros utilisés commencent généralement par 06 ou 07, ce qui renforce l'illusion d'un contact humain ordinaire. Mais derrière ces préfixes mobiles classiques se cachent des systèmes automatisés capables d'envoyer des millions de messages en quelques heures. La fraude est industrialisée, et ses conséquences peuvent être lourdes : vol d'identifiants bancaires, détournement financier, et revente des données personnelles sur le marché noir pour alimenter de nouvelles arnaques.
Ce risque de détournement financier n'est pas sans rappeler d'autres vulnérabilités liées aux paiements numériques. D'ailleurs, les perturbations à venir sur les systèmes de virement bancaire en France constituent un autre contexte que les escrocs pourraient exploiter pour fabriquer des messages alarmistes.
Comment fonctionne concrètement l'arnaque par SMS
L'usurpation d'identité au cœur du dispositif
Le smishing repose avant tout sur l'usurpation d'identité d'entreprises ou d'organismes réputés. Les fraudeurs se font passer pour une banque, un opérateur téléphonique, l'Assurance maladie, la CAF, ou encore un service de livraison. Le message arrive avec un ton officiel, parfois accompagné d'un logo reproduit à l'identique dans la page vers laquelle pointe le lien.
L'objectif est toujours le même : pousser la victime à agir vite, sans réfléchir. L'urgence est fabriquée de toutes pièces, "votre compte sera suspendu dans 24 heures", "votre colis sera retourné demain", "une activité suspecte a été détectée". Cette pression temporelle court-circuite le réflexe de méfiance.
Du clic au vol de données : une chaîne rapide
Une fois que la victime clique sur le lien frauduleux, elle atterrit sur une page de phishing conçue pour imiter une interface officielle. Chaque donnée saisie sur cette page, qu'il s'agisse d'un identifiant, d'un code de confirmation, d'un numéro de carte bancaire ou d'un mot de passe, est immédiatement captée par les cybercriminels. Ces informations peuvent ensuite servir directement à des détournements financiers, ou être revendues à d'autres escrocs sur des marchés clandestins. Une seule interaction suffit à exposer l'ensemble des données personnelles stockées sur l'appareil.
Pour les personnes qui gèrent leurs finances depuis leur téléphone, notamment celles qui suivent de près leurs droits aux aides sociales ou leurs prestations, le risque est particulièrement concret : un accès frauduleux à un espace personnel peut entraîner des modifications de RIB ou des demandes de remboursement détournées.
Les bons réflexes pour ne pas tomber dans le piège
Plusieurs comportements permettent de réduire drastiquement le risque d'être victime d'un SMS frauduleux. Voici les pratiques à adopter systématiquement :
- Supprimer immédiatement tout SMS contenant les mots « com » ou « track » dans un contexte ambigu, sans ouvrir le lien.
- Ne jamais cliquer sur un lien reçu par SMS, même si l'expéditeur semble connu. Préférer toujours passer par le site officiel de l'organisme en le tapant manuellement dans le navigateur.
- Ne jamais communiquer de codes d'accès, mots de passe ou coordonnées bancaires en réponse à un SMS.
- Ignorer toute demande de paiement de frais imprévus ou de gains à récupérer d'urgence.
- Signaler chaque message suspect via le numéro national dédié à la lutte contre les arnaques par SMS.
- Mettre à jour régulièrement l'application de messagerie pour bénéficier des derniers filtres anti-spam.
- Vérifier l'expéditeur : un organisme sérieux utilise un shortcode ou un numéro validé, pas un numéro mobile ordinaire.
Aucune banque, aucun transporteur et aucun service public ne vous demandera jamais de cliquer sur un lien SMS pour saisir vos identifiants ou payer des frais. Ce type de demande est systématiquement une arnaque.
La Gendarmerie nationale insiste sur un point précis : ne jamais répondre au message suspect, même pour demander à être retiré d'une liste. Répondre confirme que le numéro est actif, ce qui peut entraîner une multiplication des tentatives. Et si un doute persiste sur un message reçu au nom d'une institution, le seul réflexe valable reste de contacter directement cette institution par ses canaux officiels, en cherchant le numéro sur son site web, jamais dans le SMS lui-même.
Les arnaques numériques évoluent vite et s'adaptent à l'actualité. Les escrocs n'hésitent pas à surfer sur des informations récentes, des fermetures d'enseignes, des changements réglementaires, pour rendre leurs messages encore plus crédibles. Certains faux SMS ont ainsi prétendu émaner d'enseignes en difficulté, jouant sur la confusion générée par des fermetures de magasins médiatisées. La vigilance doit donc s'exercer en permanence, y compris face aux messages qui semblent coller à une actualité récente et connue. Le réflexe de vérification, systématique et sans exception, reste la seule vraie protection contre le smishing.
