« Bonjour, j'ai un colis pour Mme Dupont. Je suis passé au 15 rue des Lilas ce matin… » Sauf que tu n'as rien commandé. Mais ton nom et ton adresse sont corrects. C'est précisément ce qui rend l'arnaque mortelle.
En 2026, le smishing — contraction de SMS et phishing — n'est plus une menace artisanale expédiée depuis un garage. C'est une industrie structurée qui a trouvé le carburant parfait : les données personnelles volées lors des récentes cyberattaques contre Mondial Relay, La Poste, France Travail ou Colis Privé.
Les chiffres donnent le tournis. Selon le rapport Proofpoint, les attaques par SMS frauduleux ont bondi de 2 500 % au premier semestre 2025. La plateforme Cybermalveillance.gouv.fr a enregistré plus de 500 000 demandes d'assistance en 2025, soit 20 % de plus qu'en 2024. L'hameçonnage, toutes formes confondues, représente 108 000 signalements — la menace numéro 1 en France, tous publics confondus.
Le scénario qui fait trembler les banques
L'attaque la plus coûteuse ne concerne pas les faux colis. C'est le faux conseiller bancaire. Et elle rapporte gros aux escrocs : environ 380 millions d'euros de préjudice en 2024, selon les données compilées par Guardia Cybersecurity School.
Le mécanisme est diabolique dans sa simplicité :
- Tu reçois un SMS qui prétend venir de ta banque : « Un paiement de 657,99 € est en cours de validation. Si vous n'en êtes pas l'auteur, contactez le service de sécurité au 09 XX XX XX XX »
- Tu appelles, paniqué. Un faux conseiller te décroche, se présente comme agent du « service opposition »
- Il te demande des vérifications d'identité, intercepte tes codes 2FA, te pousse à partager ton écran sur WhatsApp
- En quelques minutes, ton compte est vidé — en moyenne 3 000 € par victime
Cybermalveillance a alerté fin 2025 sur une « forte résurgence » de cette arnaque. Les messages sont devenus plus variés, les modes opératoires se sont diversifiés. Certains escrocs vont jusqu'à envoyer un coursier à ton domicile pour récupérer ta carte bancaire, prétextant qu'elle a été compromise.
Pourquoi le SMS est devenu l'arme de choix
L'email, les Français ont appris à s'en méfier. Ne pas cliquer sur un lien douteux dans un mail, c'est le B-A-BA de la sécurité informatique. Mais le SMS ? Le réflexe n'est pas encore ancré.
Les cybercriminels ont compris trois choses qui changent la donne :
- Le taux d'ouverture d'un SMS atteint 98 %, contre 20 % pour un email
- La vigilance est plus faible sur téléphone que sur ordinateur
- Le coût est dérisoire : une carte SIM coûte quelques euros, l'envoi massif de SMS se fait via des plateformes en ligne accessibles en quelques clics
Un rapport StalkPhish de septembre 2025 détaille comment les arnaqueurs francophones utilisent des services comme Onoff pour disposer de numéros français en 01, 02 ou 09, impossibles à distinguer de lignes légitimes. Une campagne peut cibler des centaines de milliers de numéros en quelques heures.
L'arsenal du smishing : 6 scénarios qui reviennent en boucle
| Scénario | Message type | Risque principal |
|---|---|---|
| Faux colis | « Votre colis est bloqué, frais à régler » | Vol de coordonnées bancaires |
| Fausse contravention | « Amende impayée, régler sous 48h » | Vol de données bancaires |
| Faux conseiller bancaire | « Opération suspecte sur votre compte » | Virement frauduleux (~3 000 €) |
| Fausse administration | « Remboursement Ameli en attente » | Vol d'identité |
| Faux proche en détresse | « C'est moi, j'ai changé de numéro, j'ai besoin d'aide » | Virement (200-1 000 €) |
| Fausse offre d'emploi | « Travail à domicile, rémunération attractive » | Vol de données personnelles |
Le scénario du faux colis domine en volume. Avec l'essor du e-commerce, la plupart des Français attendent régulièrement une livraison — le prétexte est donc crédible. Les fraudeurs usurpent l'identité de Colissimo, Chronopost, Mondial Relay. Le message réclame le règlement de frais minimes, souvent 1,99 € ou 2 €. Ce petit montant sert d'appât : on hésite moins à payer deux euros pour récupérer un colis. Mais en renseignant sa carte bancaire, on donne accès à bien plus gros.
Nouveauté 2026 : l'arnaque au péage en flux libre. Avec la généralisation des péages sans barrière sur les autoroutes françaises, les escrocs envoient des SMS réclamant le paiement d'un prétendu impayé. Le contexte est suffisamment nouveau pour que les automobilistes n'aient pas encore les réflexes nécessaires.
Le vrai problème : tes données sont déjà en ligne
L'évolution la plus inquiétante de 2026, c'est la personnalisation. Fini les SMS génériques envoyés à l'aveugle. Les escrocs connaissent ton nom, ton adresse, parfois même ton digicode.
Où trouvent-ils ces informations ? Dans les bases de données piratées lors des cyberattaques récentes :
- Mondial Relay : vol de fichiers clients
- La Poste : attaque DDoS et exfiltration de données
- France Travail : piratage des données des missions locales
- Colis Privé : noms, prénoms, adresses, emails et numéros de téléphone de millions de Français exposés sur le dark web
Comme on l'analysait dans notre article sur les 23 millions de comptes piratés en France, les fuites de données alimentent un marché souterrain florissant. Le rapport Cybermalveillance 2025 décrit un écosystème « piloté par des acteurs spécialisés, des plateformes d'échanges dédiées, des kits d'hameçonnage prêts à l'emploi et même des centres d'appels composés de faux téléconseillers ».
Le trio nom + adresse + numéro de téléphone constitue une mine d'or. Il permet de construire une arnaque personnalisée et particulièrement convaincante, basée sur ce qu'on appelle l'ingénierie sociale — la manipulation psychologique de la cible.
Quand l'IA entre dans la danse
Les deepfakes ne sont plus réservés aux vidéos de célébrités. L'intelligence artificielle est désormais utilisée pour automatiser et perfectionner les campagnes de smishing.
Selon une étude Capgemini, 40 % des attaques par phishing intègrent des éléments générés par IA en 2026. Concrètement, ça se traduit par :
- Des SMS sans fautes d'orthographe (autrefois un signe révélateur)
- Des messages adaptés au contexte de la victime (lieu, habitudes d'achat)
- Des faux sites web clonés en quelques minutes par des générateurs d'IA
- Des voix synthétiques pour les appels de faux conseillers bancaires
L'IA baisse considérablement le barrier à l'entrée. Plus besoin d'être un hacker chevronné pour lancer une campagne de smishing efficace. Des kits prêts à l'emploi circulent sur le dark web, permettant à n'importe qui de se lancer dans l'arnaque.
Comment te protéger : le guide pratique
Aucune solution miracle, mais des réflexes qui font la différence.
Les 5 règles d'or
- Ne clique jamais sur un lien reçu par SMS — même si les informations te semblent correctes. Les transporteurs ne demandent jamais de règlement via un texto.
- Ne rappelle jamais un numéro indiqué dans un message non sollicité — si c'est ta banque, appelle le numéro au dos de ta carte.
- Vérifie par toi-même — connecte-toi à ton espace client ou à l'application officielle pour vérifier le statut d'une livraison ou d'une transaction.
- Signale tout SMS suspect au 33700 — la plateforme gratuite de lutte contre les spams.
- Active l'authentification multifacteur sur tous tes comptes sensibles — même si les escrocs interceptent un code, ça ajoute une couche de protection.
Si tu as été piégé : les 3 étapes d'urgence
- Alerte ta banque immédiatement — elle peut bloquer la transaction si tu es rapide.
- Dépose plainte — en ligne sur service-public.fr ou au commissariat.
- Change tous tes mots de passe — surtout si tu as partagé ton écran ou donné des identifiants.
La réponse de l'État français
Face à l'ampleur du phénomène, les pouvoirs publics ont multiplié les initiatives en 2026. L'ANSSI a vu son budget augmenter de 22 % pour atteindre 320 millions d'euros. La plateforme Cybermalveillance.gouv.fr a lancé un dispositif d'alerte en temps réel pour les PME et propose des audits gratuits pour les entreprises de moins de 250 salariés.
La directive NIS2, applicable depuis janvier 2026, impose aussi aux entreprises de déclarer les incidents sous 24 heures et de mettre en place des mesures techniques comme le chiffrement et l'authentification multifactorielle. Les sanctions pour non-conformité peuvent atteindre 2 % du chiffre d'affaires mondial.
En parallèle, la nouvelle autorité numérique créée dans le cadre du plan cyber 200 millions d'euros a pour mission de coordonner la riposte contre les cybermenaces. Mais pour les particuliers, le meilleur rempart reste la vigilance individuelle.
Le smishing va-t-il disparaître ?
Pas dans l'immédiat. Tant que les données personnelles continueront de fuir massivement et que les SMS resteront un canal de communication信任 mais peu sécurisé, les escrocs auront du carburant.
La généralisation des passkeys — ces clés d'authentification qui remplacent les mots de passe — pourrait réduire l'efficacité des arnaques bancaires. Mais cela prendra des années.
D'ici là, le smishing continuera de muter. Les campagnes seront de plus en plus ciblées, les messages de plus en plus réalistes, et les scénarios de plus en plus variés. L'arnaque au faux livreur qui connaît ton nom et ton adresse n'est que le début. La prochaine vague pourrait exploiter des données de santé, d'assurance, ou même les informations généré par l'IA à partir de tes réseaux sociaux.
Le seul vrai bouclier, c'est toi. Ton téléphone sonne, ton téléphone vibre. Mais c'est à toi de décider si tu réponds au piège.
Sources
- Cybermalveillance.gouv.fr — L'hameçonnage au faux numéro d'opposition bancaire — Cybermalveillance, 2025
- 01net — Voici les 7 SMS d'arnaques qui font des ravages en France — 01net, 2025
- GNT — L'arnaque au faux livreur connaît désormais votre nom et votre adresse — Génération-NT, janvier 2026
- Guardia School — Smishing en France, anatomie d'une arnaque SMS qui explose en 2026 — Guardia Cybersecurity School, avril 2026
- Riskintel — Ransomware 2026 : industrialisation, guerre économique et stratégies de défense — Riskintel Media, mars 2026
- Proofpoint — State of the Phish 2024 — Proofpoint, 2024
- ISISec — Actualité cyber 2026 : incidents, réglementations et tendances clés — ISISec, 2026
- DCOD — Cyberattaques : les 10 incidents majeurs du 5 mai 2026 — DCOD, mai 2026
Julian COLPART
Fondateur & Rédacteur en chef
Passionné de tech, d'IA et de tendances qui façonnent notre quotidien. Je vérifie et valide chaque article publié sur DailyTrend pour garantir l'exactitude et la qualité de l'information.