Comment fonctionne le smishing
Le smishing exploite trois caractéristiques du SMS que l’email n’a pas :
-
Taux d’ouverture exceptionnel : 98 % des SMS sont lus, la plupart dans les 3 minutes. Un email de phishing a un taux d’ouverture de 20 % au mieux.
-
Confiance implicite : les gens associent le SMS à des communications légitimes (codes de vérification bancaire, notifications d’administration). Un SMS semble plus “officiel” qu’un email.
-
Écran réduit : sur mobile, l’URL complète est rarement visible. Les liens raccourcis (bit.ly, cutt.ly) masquent la destination. Et l’interface mobile rend plus difficile la vérification de l’expéditeur.
Anatomie d’une attaque
- L’attaquant envoie un SMS en masse en usurpant un nom d’expéditeur connu (Ameli, La Poste, ANTAI)
- Le message crée une urgence : colis bloqué, remboursement en attente, compte suspendu
- Le lien mène à une copie exacte du site officiel (ameli.fr, impots.gouv.fr)
- La victime entre ses identifiants, qui sont capturés en temps réel
- L’attaquant utilise ces identifiants immédiatement (dans les minutes) ou les revend
Les campagnes de smishing les plus courantes en France
Faux colis Chronopost / Colissimo / La Poste
“Chronopost : votre colis est en attente de livraison. Confirmez vos informations pour planifier la relivraison : [lien]”
C’est la campagne de smishing la plus répandue en France, avec des pics pendant les fêtes et les périodes de soldes. Le lien mène à un faux site Chronopost qui demande de payer des “frais de relivraison” de 1,99 € — en réalité, l’objectif est de capturer votre numéro de carte bancaire.
Fausse notification Ameli
“Assurance Maladie : vous avez un nouveau message. Consultez votre espace : [lien]”
Le faux site Ameli demande votre numéro de sécurité sociale, votre date de naissance et vos identifiants de connexion. Ces données sont ensuite utilisées pour des fraudes à l’identité.
Faux remboursement d’impôts
“DGFIP : Vous avez droit à un remboursement de 186,40 €. Complétez votre dossier : [lien]”
Le faux site des impôts demande vos coordonnées bancaires pour le “remboursement”. Les données sont utilisées pour des prélèvements frauduleux.
Fausse amende ANTAI
“ANTAI : vous avez une contravention impayée. Réglez avant majoration : [lien]”
Le site frauduleux copie parfaitement amendes.gouv.fr et demande un paiement par carte bancaire.
Fausse alerte bancaire
“[Votre banque] : opération suspecte de 849 € sur votre compte. Si ce n’est pas vous : [lien]”
Le site demande vos identifiants bancaires et votre code de validation SMS. L’attaquant accède ensuite à votre espace bancaire en temps réel.
Smishing et entreprise
Le smishing ne touche pas que les particuliers. En entreprise, les scénarios spécifiques :
SMS ciblant les dirigeants
L’attaquant envoie un SMS au dirigeant en se faisant passer pour sa banque, son comptable ou un organisme de régulation. Le numéro personnel du dirigeant est souvent trouvable via les registres d’entreprise ou les fuites de données.
SMS de vérification MFA intercepté
L’attaquant qui a déjà obtenu l’identifiant et le mot de passe d’un employé (via phishing email ou credential stuffing) envoie un SMS de prétexte pour obtenir le code MFA :
“IT Helpdesk : nous effectuons une maintenance. Merci de nous communiquer le code que vous allez recevoir pour valider votre compte.”
L’employé reçoit le vrai code MFA (déclenché par l’attaquant qui tente de se connecter) et le communique en réponse.
SMS pendant un exercice de simulation
Les simulations de phishing se concentrent sur l’email. Le smishing est rarement testé, ce qui en fait un angle mort. Les employés formés à repérer les emails suspects restent vulnérables aux SMS.
Les chiffres du smishing
- 98 % de taux d’ouverture des SMS contre 20 % pour l’email — Gartner Research
- 3 minutes : temps moyen de lecture d’un SMS après réception
- 36 % : taux de clic sur les liens de smishing contre 2-3 % pour le phishing email — Proofpoint State of the Phish 2024
- +300 % : augmentation des attaques de smishing depuis 2021 — Proofpoint State of the Phish 2024
- 33700 : le numéro national de signalement des SMS indésirables reçoit plus de 200 000 signalements par mois en France
Comment protéger votre entreprise
Sensibilisation des employés
- Inclure le smishing dans les formations : les simulations de phishing email ne suffisent pas. Montrez des exemples concrets de SMS frauduleux
- Règle simple : ne jamais cliquer sur un lien reçu par SMS, même si le message semble légitime. Ouvrir le navigateur et aller directement sur le site officiel
- Signalement : encourager les employés à transférer les SMS suspects au 33700 et à prévenir l’équipe IT
Protection technique
- Filtres anti-spam SMS : les opérateurs proposent des filtres. Vérifiez qu’ils sont activés sur les lignes professionnelles
- MDM (Mobile Device Management) : pour les téléphones professionnels, un MDM peut bloquer l’ouverture de liens vers des domaines malveillants connus
- MFA résistant au phishing : remplacer la validation par SMS (vulnérable) par des clés FIDO2 ou une app d’authentification qui ne transmet pas le code par un canal interceptable
Processus
- Politique de communication : définir que l’entreprise n’envoie jamais de demandes sensibles par SMS (changement de mot de passe, virement, données personnelles)
- Numéros de contact vérifiés : maintenir une liste des numéros officiels des prestataires et banques. En cas de SMS suspect, rappeler au numéro connu
Smishing vs phishing email : comparaison
| Critère | Phishing email | Smishing |
|---|---|---|
| Taux d’ouverture | ~20 % | ~98 % |
| Taux de clic | 2-3 % | ~36 % |
| Filtrage | Performant (anti-spam) | Limité |
| Vérification expéditeur | Possible (SPF/DKIM/DMARC) | Spoofing facile |
| Longueur du message | Détaillé | Court, peu d’indices |
| Pièces jointes | Oui (malware) | Non (liens uniquement) |
| Simulations en entreprise | Courantes | Rares |
Le smishing est un vecteur sous-estimé en entreprise. Les employés formés à détecter les emails de phishing baissent leur garde face aux SMS. Intégrer le smishing dans votre programme de sensibilisation est un avantage compétitif en termes de sécurité.
Questions fréquentes
Qu'est-ce que le smishing ?
Le smishing est un phishing par SMS. Le terme combine SMS et phishing. L'attaquant envoie un message texte qui semble venir d'une source de confiance (administration, service de livraison, banque) et contient un lien vers un faux site web destiné à voler vos identifiants, vos données bancaires ou à installer un malware sur votre téléphone.
Pourquoi le smishing est-il si efficace ?
Le SMS a un taux d'ouverture de 98 % (contre 20 % pour l'email) et est lu en moyenne dans les 3 minutes. Les gens font davantage confiance aux SMS qu'aux emails. De plus, les URLs raccourcies dans les SMS masquent la destination réelle, et les filtres anti-phishing sur mobile sont moins performants que sur email.
Quels sont les SMS frauduleux les plus courants en France ?
Les plus fréquents : faux avis de passage Chronopost/Colissimo ('votre colis est en attente, confirmez la livraison'), fausse notification Ameli ('nouveau message de votre caisse'), faux rappel d'impôts ('vous avez un remboursement en attente'), faux alerte bancaire ('opération suspecte, confirmez'), et fausse contravention ANTAI ('amende impayée').
Comment signaler un SMS frauduleux en France ?
Transférez le SMS au 33700, le numéro national de signalement des SMS indésirables. Vous pouvez aussi signaler sur la plateforme Pharos (internet-signalement.gouv.fr) ou directement auprès de Cybermalveillance.gouv.fr. Ne cliquez pas sur le lien et supprimez le message.