Le smishing explose en France : 411 700 victimes ont été recensées en 2023 selon le service statistique ministériel de la sécurité intérieure. Deux mots en particulier signalent le danger dans vos SMS : « com » et « track ». Si vous les repérez dans un message suspect, supprimez-le immédiatement.
Les arnaques par SMS ne sont plus l'apanage de quelques escrocs maladroits envoyant des messages truffés de fautes. Ces dernières années, les cybercriminels ont professionnalisé leurs méthodes au point de tromper des profils de tous âges, sans distinction. Le smishing (contraction de SMS et phishing) est devenu l'une des formes de fraude numérique les plus répandues sur le territoire français, et les chiffres donnent le vertige.
Concrètement, le principe est simple : vous recevez un SMS qui semble provenir d'une entreprise connue, d'un transporteur ou de votre banque. Un lien vous invite à cliquer. Et en quelques secondes, vos données personnelles, vos identifiants bancaires ou vos codes d'accès peuvent tomber entre de mauvaises mains.
Les SMS frauduleux ciblent massivement les Français
411 700 victimes en une seule année : le chiffre publié pour 2023 par le service statistique ministériel de la sécurité intérieure illustre l'ampleur du phénomène. La gendarmerie nationale et UFC-Que Choisir ont multiplié les alertes, mais les campagnes de smishing continuent de progresser, portées par leur efficacité redoutable.
Les fraudeurs usurpent l'identité d'entreprises réputées, qu'il s'agisse d'opérateurs téléphoniques, de services de livraison ou d'établissements bancaires. Le message reçu imite à la perfection la charte graphique et le ton de l'organisme ciblé. Résultat : même un utilisateur averti peut se laisser surprendre.
Les deux grandes familles d'arnaques par SMS
Deux types de campagnes dominent le paysage du smishing en France. La première exploite le suivi de colis : vous recevez un message vous informant qu'un colis est en attente, qu'il faut payer des frais de douane ou confirmer une adresse de livraison. La seconde joue sur la peur d'un incident bancaire fictif, vous demandant de sécuriser votre compte en urgence via un lien.
Dans les deux cas, le lien contenu dans le SMS redirige vers une page de phishing qui imite l'interface officielle de l'organisme mentionné. Une fois vos informations saisies, elles sont immédiatement récupérées par les cybercriminels, puis souvent revendues sur le marché noir pour alimenter de nouvelles fraudes.
Des numéros mobiles ordinaires pour mieux tromper
Autre élément de vigilance : les fraudeurs n'utilisent pas toujours des numéros étrangers ou suspects. Ils émettent fréquemment depuis des préfixes 06 ou 07, des numéros mobiles français parfaitement banals, ce qui renforce le sentiment de légitimité du message reçu.
Un SMS provenant d’un numéro en 06 ou 07 n’est pas automatiquement fiable. Les cybercriminels utilisent couramment ces préfixes pour imiter des expéditeurs légitimes.
« Com » et « track » : les deux mots qui trahissent une arnaque
Spamhaus, site de référence en cybersécurité, et les experts du domaine ont identifié deux termes qui apparaissent de façon récurrente dans les SMS frauduleux : « com » et « track ». Leur présence dans un lien ou dans le corps d'un message ambigu doit déclencher une alerte immédiate.
Le mot « track » (de l'anglais "suivre") est massivement utilisé dans les faux SMS de suivi de colis. Les fraudeurs construisent des URL du type "suivi-track-colis.com" ou "track-livraison-fr.com" pour imiter les interfaces des transporteurs. Quant à « com », il signale souvent un domaine générique utilisé à la place d'une extension officielle (.gouv.fr, .fr d'une marque reconnue), ce qui trahit une adresse frauduleuse déguisée.
La règle est directe : si un SMS non sollicité contient l'un de ces deux mots dans un contexte de livraison, de paiement ou de sécurité de compte, ne cliquez pas. Supprimez le message. Vérifiez directement sur le site officiel de l'organisme concerné si une action est réellement requise de votre part.
victimes de smishing recensées en France en 2023
Ce que risquent concrètement les victimes
Un simple clic sur un lien malveillant suffit à exposer l'intégralité de vos données personnelles. Les cybercriminels ciblent en priorité les identifiants bancaires, les codes d'accès et les mots de passe, mais aussi les données d'identité qui permettent d'usurper un profil complet.
Les informations volées ne servent pas uniquement à vider un compte. Elles alimentent des chaînes de fraude plus larges : création de faux dossiers de crédit, ouverture de comptes frauduleux, ou revente en lot sur le marché noir à d'autres groupes criminels. Les victimes peuvent ainsi subir des conséquences bien après l'incident initial, sans même en être informées immédiatement.
Ce risque touche tout le monde. Contrairement à une idée reçue, les personnes âgées ne sont pas les seules ciblées. Les campagnes de smishing sont conçues pour fonctionner sur tous les profils, y compris les utilisateurs réguliers du numérique qui pensent maîtriser les codes de la sécurité en ligne. D'ailleurs, si vous cherchez à bloquer définitivement les appels indésirables, sachez que les mêmes réflexes de méfiance s'appliquent aux SMS.
Les bons réflexes pour ne pas tomber dans le piège
La protection contre le smishing repose sur quelques comportements simples, mais qui doivent devenir des automatismes.
Ne jamais cliquer sur un lien reçu par SMS sans avoir vérifié l'expéditeur et le contexte. Si le message provient d'un numéro inhabituel et contient une proposition urgente (paiement de frais, réinitialisation de mot de passe, communication d'un code), ignorez-le. Les organismes officiels et les entreprises sérieuses ne demandent jamais de données sensibles par SMS.
Vérifier via les canaux officiels : si un message prétend venir de votre banque ou d'un transporteur, connectez-vous directement à leur site via votre navigateur, sans passer par le lien reçu. Cette habitude élimine la quasi-totalité des risques liés au phishing mobile.
Mettre à jour régulièrement l'application de messagerie de votre téléphone. Les mises à jour intègrent souvent des filtres anti-spam améliorés qui détectent automatiquement certains messages frauduleux avant même qu'ils atteignent votre boîte de réception.
Tout SMS non sollicité contenant un lien avec « track » ou « com », associé à une demande urgente de paiement, de code ou d’identifiant, doit être supprimé immédiatement sans être ouvert.
Signaler chaque message frauduleux via le numéro national dédié aux signalements de SMS suspects. Ce geste, souvent négligé, contribue à alimenter les bases de données des autorités et à protéger d'autres utilisateurs.
Et ne jamais répondre. Répondre à un SMS frauduleux, même pour signifier que vous avez compris l'arnaque, confirme aux cybercriminels que votre numéro est actif. Vous devenez alors une cible encore plus exposée pour de futures campagnes. Une vigilance similaire s'impose d'ailleurs lorsque vous cherchez votre code PUK : certains sites frauduleux imitent les pages opérateurs pour récupérer vos informations d'abonné. La prudence numérique ne s'arrête pas à la messagerie.
