Arnaques SMS 2026 : 7 signes qui trahissent un faux message

Le SMS frauduleux — ou smishing — est devenu en 2026 le canal d'arnaque le plus rentable au monde. Banque suspendue, colis retenu en douane, remboursement de l'impôt, Netflix bloqué : la mécanique est toujours la même. La rédaction documente les sept signaux qui permettent d'identifier une arnaque SMS en moins de dix secondes, et la procédure exacte à suivre quand on a cliqué par erreur.

Le SMS frauduleux est devenu, en l’espace de quatre ans, le canal d’arnaque le plus rentable de la cyber-fraude grand public. La mécanique est connue : un message court, une marque familière, un sentiment d’urgence, un lien sur lequel cliquer. Ce qui a changé en 2026, c’est l’industrialisation du procédé. Des passerelles SMS internationales permettent d’envoyer plusieurs millions de messages frauduleux pour quelques centaines de dollars, les bases de numéros vérifiés circulent librement après les grandes fuites de données récentes, et le taux de clic sur un SMS dépasse largement celui d’un courriel parce que l’utilisateur prête à ce canal une confiance héritée d’une époque où il servait essentiellement aux échanges familiaux.

La rédaction observe, depuis le printemps 2025, une montée régulière des signalements au numéro 7726 au Canada et 33700 en France. Un internaute occidental majeur reçoit en moyenne entre deux et quatre SMS frauduleux par mois en 2026, avec des pics saisonniers liés aux livraisons, aux remboursements d’impôt et aux renouvellements d’abonnements de streaming. Ce guide reprend les sept signaux qui démasquent une arnaque SMS en moins de dix secondes, les cinq scénarios les plus fréquents en 2026, et la procédure à suivre lorsqu’on a cliqué par erreur ou saisi des informations.

Ce qu’on appelle smishing en 2026

Le mot smishing est la contraction de SMS et de phishing. Il désigne toute tentative d’arnaque qui passe par un message court, qu’il soit envoyé via le réseau SMS classique, via iMessage, via WhatsApp ou via une autre application de messagerie. La frontière entre smishing et phishing courriel s’estompe à mesure que les attaquants exploitent les mêmes infrastructures techniques pour les deux canaux : pages d’hameçonnage hébergées sur des domaines de courte durée, formulaires qui exfiltrent en temps réel les identifiants saisis, redirections en cascade pour échapper aux filtres anti-fraude.

Le terme couvre aussi les arnaques par appel automatisé, parfois appelées vishing, lorsque le SMS sert d’amorce pour pousser la victime à rappeler un numéro surtaxé. Cette variante représente environ quinze pour cent des signalements au Canada, en croissance depuis 2024 — un phénomène que Louis Thibault, spécialiste en prévention de la fraude téléphonique, analyse en détail dans notre entretien dédié au vishing et aux arnaques vocales par IA. Les pertes mondiales se chiffrent en milliards de dollars en 2026, et le smishing figure désormais parmi les trois premiers vecteurs de fraude dans les statistiques du FBI Internet Crime Complaint Center.

Les sept signaux qui démasquent un faux SMS

Le premier signal tient à la nature du numéro émetteur. Une banque, un transporteur, une administration ou un service de streaming utilise un numéro court à quatre ou cinq chiffres, ou un identifiant alphanumérique du type DESJARDINS, BNC, REVENU, NETFLIX. Un SMS qui prétend venir d’une banque mais qui s’affiche depuis un numéro de téléphone mobile à dix chiffres est, dans la quasi-totalité des cas, frauduleux.

Le deuxième signal est la présence d’un lien raccourci. Les services légitimes utilisent leur propre domaine, lisible et reconnaissable, parce qu’ils ont intérêt à rassurer le destinataire. Un lien bit.ly, tinyurl, t.co, ou un domaine que l’on ne reconnaît pas immédiatement, est suspect par défaut. Le troisième signal est la pression temporelle : une notification qui exige une action dans l’heure, sous peine de blocage du compte ou de retour à l’expéditeur du colis, joue exactement sur le ressort psychologique recherché par les fraudeurs. Aucune institution sérieuse n’impose ce type d’ultimatum par SMS.

Le quatrième signal est la qualité du français : fautes d’orthographe, accents manquants, ponctuation absente et tournures maladroites trahissent souvent l’origine étrangère du message. Le cinquième signal est la demande de saisir des identifiants ou un numéro de carte sur une page atteinte depuis le SMS. Aucune banque, aucun transporteur, aucune administration ne demande la saisie d’un mot de passe ou d’un numéro de carte par SMS. Cette règle est absolue. Le ressort psychologique exploité ici — l’urgence imposée à un destinataire pris de court — est analysé en profondeur dans un entretien avec une criminologue spécialiste de victimologie que la rédaction a publié en parallèle.

Le sixième signal est l’expéditeur inhabituel pour le contexte. Un SMS qui prétend venir de Revenu Québec alors que le destinataire vit dans un autre pays est forcément frauduleux. Un SMS de Netflix qui arrive en plein milieu de la nuit, alors qu’aucun renouvellement n’est prévu, est suspect par construction. Le septième signal est la redirection HTTPS sur un domaine étranger, perceptible quand on appuie longuement sur le lien sans cliquer : le navigateur affiche alors la véritable destination, qui doit correspondre au domaine officiel de l’organisme prétendument émetteur. Un domaine inconnu, terminé par une extension exotique, signe la fraude.

Les cinq scénarios les plus courants en 2026

Le premier scénario est le faux SMS de transporteur. Postes Canada, Chronopost, La Poste, FedEx, DHL : la liste varie selon la zone géographique. Le message annonce un colis retenu en douane, en échec de livraison ou en attente de frais de réexpédition. Le lien renvoie vers une page qui imite la charte graphique du transporteur et demande un paiement de quelques euros ou dollars pour libérer le colis. Le numéro de carte saisi sert ensuite à des achats frauduleux ou est revendu sur des places de marché spécialisées. Le pic d’envois est observé pendant les périodes de fêtes.

Le deuxième scénario est le faux SMS bancaire. Desjardins, Banque Nationale, TD, Crédit Agricole, BNP, Société Générale : toutes les grandes enseignes sont imitées. Le message signale une transaction suspecte ou un virement à valider. Le lien renvoie vers une page qui reproduit l’interface de connexion bancaire et collecte identifiant, mot de passe, parfois code de double authentification. Cette dernière information, transmise en temps réel à un opérateur humain qui se connecte simultanément au compte, permet de contourner la double authentification SMS. C’est le scénario le plus rentable par victime, avec des pertes pouvant dépasser plusieurs milliers de dollars.

Téléphone affichant un SMS frauduleux avec lien raccourci suspect

Le troisième scénario est le faux SMS administratif. Revenu Québec, Service Canada, la Direction générale des Finances publiques, l’Assurance Maladie : le message annonce un remboursement à percevoir ou une amende impayée. La promesse d’un remboursement active le réflexe de cupidité ; la menace d’une amende active le réflexe de peur. Cette catégorie est en nette progression depuis 2024, parce que les administrations ont effectivement commencé à utiliser le SMS pour certaines notifications légitimes, ce qui rend la fraude plus crédible.

Le quatrième scénario est le faux SMS de service de streaming. Netflix, Spotify, Disney+, Amazon Prime : le message annonce un échec de paiement, une suspension imminente du compte ou un renouvellement à valider. Le lien mène à une page de mise à jour des informations bancaires. Le rendement par victime est plus faible que pour le faux SMS bancaire, mais le volume d’envois est considérablement plus élevé, parce que la base d’abonnés à au moins un service de streaming dépasse largement la base de clients d’une banque donnée.

Le cinquième scénario, en forte hausse depuis 2024, est le faux SMS de proche en détresse. Le message arrive depuis un numéro inconnu, prétend venir d’un enfant ou d’un parent ayant perdu son téléphone, et demande un transfert d’argent urgent vers un nouveau numéro de compte. La cible privilégiée est le public âgé. Cette variante exploite la familiarité du SMS comme canal de communication intime et la difficulté, pour un destinataire âgé, d’identifier un numéro inconnu comme suspect. Les pertes par victime dépassent fréquemment plusieurs centaines de dollars.

Que faire si vous avez cliqué sur le lien

Le simple clic sur le lien, sans saisie d’information, ne compromet pas immédiatement le téléphone dans la grande majorité des cas. La menace principale, à ce stade, vient du chargement de la page elle-même, qui peut tenter d’exploiter une faille du navigateur ou proposer le téléchargement d’une fausse application. La procédure conservative consiste à fermer immédiatement l’onglet, à vider le cache du navigateur, à redémarrer le téléphone et à vérifier la liste des applications installées au cours des dernières heures. Toute application inconnue installée dans cette période doit être désinstallée sans hésitation.

Si la page atteinte demandait l’installation d’une application présentée comme un outil de suivi de colis ou un certificat à installer, la prudence impose un examen plus poussé. Les applications téléchargées en dehors de Google Play ou de l’App Store officiel constituent le vecteur principal des chevaux de Troie bancaires actuels. Si une telle application a été installée, la désinstallation manuelle peut ne pas suffire : un passage en mode sans échec et une réinitialisation aux paramètres d’usine constituent la seule garantie sérieuse.

Que faire si vous avez saisi des informations

Le scénario le plus grave correspond à la saisie d’identifiants ou d’un numéro de carte sur la page d’hameçonnage. Le réflexe immédiat est l’opposition. Pour une carte bancaire, l’appel au numéro d’opposition figurant au dos de la carte ou sur le site officiel de la banque, depuis un autre appareil que celui qui a reçu le SMS, doit intervenir dans les minutes qui suivent. Pour des identifiants de banque ou de service en ligne, le changement immédiat du mot de passe et l’activation de la double authentification sur un autre appareil sont les deux gestes prioritaires. Cette procédure ressemble à celle suivie dans l’hameçonnage bancaire que la rédaction a documenté en début d’année.

Capture d'écran type d'une fausse page de connexion bancaire atteinte depuis un smishing

Le signalement aux autorités intervient dans la foulée. Au Canada, le Centre antifraude du Canada accepte les signalements en ligne et par téléphone au 1-888-495-8501. En France, la plateforme cybermalveillance.gouv.fr oriente la victime vers les services compétents, et le numéro 33700 traite spécifiquement les SMS frauduleux. Le dépôt d’une plainte au commissariat ou à la Sûreté du Québec ouvre la voie à une éventuelle indemnisation par la banque, qui exige généralement la preuve d’un signalement officiel pour étudier le dossier.

Le changement de mot de passe doit s’étendre, dans les heures qui suivent, à tous les services qui partagent le même mot de passe que celui compromis. La réutilisation d’un même mot de passe sur plusieurs comptes constitue, dans le contexte d’un smishing réussi, le facteur aggravant le plus fréquent. Un attaquant qui obtient un identifiant et un mot de passe les teste systématiquement sur les principaux services concurrents dans les heures qui suivent, par une technique appelée credential stuffing. Le fameux mot de passe doit être changé en priorité sur la boîte courriel principale, qui sert d’adresse de récupération pour la majorité des autres comptes. À moyen terme, basculer ses identifiants sensibles vers un gestionnaire de mots de passe ou des passkeys élimine entièrement la possibilité d’une compromission par smishing — un passkey est cryptographiquement lié au domaine et refuse de signer la fausse page.

Comment se protéger en amont

La prévention repose sur trois piliers : le filtrage technique, la posture comportementale et le signalement systématique. Sur iOS, l’option Filtrer les expéditeurs inconnus, accessible depuis Réglages, Messages, place automatiquement les SMS provenant de numéros qui ne sont pas dans le carnet d’adresses dans un onglet séparé. Sur Android, l’application Messages de Google propose un filtrage similaire, avec une détection automatique des messages suspects basée sur la signature des campagnes connues. Ces filtres ne sont pas parfaits, mais ils écartent une partie significative des envois en masse.

La posture comportementale tient en quelques règles simples. Premièrement, ne jamais cliquer sur un lien reçu par SMS sans avoir vérifié l’expéditeur dans le contexte. Deuxièmement, en cas de doute, fermer le SMS et se rendre directement sur le site officiel ou l’application officielle de l’organisme prétendument émetteur, en passant par le marque-page personnel ou par une recherche manuelle. Troisièmement, ne jamais transmettre par SMS un identifiant, un mot de passe, un code de double authentification ou un numéro de carte. Pour aller plus loin sur les bonnes pratiques de cybersécurité grand public, le site CodeYourWeb publie régulièrement des analyses techniques utiles sur les vecteurs d’attaque récents.

Le smishing est aussi étroitement lié aux fraudes par email : les campagnes d’arnaque combinent souvent les deux canaux, et une mauvaise délivrabilité email — lorsque les filtres anti-spam sont mal configurés — peut laisser passer ces messages frauduleux directement dans la boîte principale des destinataires plutôt que dans le dossier spam.

Le signalement systématique des SMS frauduleux au numéro 7726 au Canada et au 33700 en France constitue, à l’échelle de la collectivité, le geste le plus efficace pour réduire le rendement des campagnes en cours. Les opérateurs agrègent les signalements, identifient les numéros émetteurs et les domaines associés, et bloquent en cascade les infrastructures concernées. Une campagne qui voit son taux de clic chuter rapidement après les premières heures perd sa rentabilité, ce qui décourage la réutilisation de la même infrastructure. Le geste prend dix secondes par SMS et améliore concrètement la détection pour la collectivité.

Pourquoi le smishing est si rentable

L’économie du smishing repose sur un calcul simple. Le coût d’envoi par SMS, via une passerelle internationale, descend en 2026 sous le seuil du dixième de centime : une campagne d’un million de messages coûte moins de mille dollars en coût d’envoi pur. Le taux de clic moyen, observé sur les campagnes récentes, oscille entre un et trois pour cent. Le taux de saisie d’informations sensibles, parmi les destinataires qui ont cliqué, varie entre cinq et quinze pour cent selon la qualité de l’imitation. Le rendement net d’une campagne d’un million de messages se chiffre, en moyenne, à plusieurs dizaines de milliers de dollars.

Cette équation explique pourquoi les campagnes de smishing s’industrialisent. Les groupes opérationnels disposent de modèles graphiques prêts à l’emploi pour les principales banques, transporteurs, services de streaming et administrations occidentales. Ils achètent des bases de numéros vérifiés, segmentées par pays, par opérateur et parfois par tranche d’âge. Ils louent des infrastructures d’hébergement à courte durée pour les pages d’hameçonnage, qu’ils renouvellent toutes les vingt-quatre à quarante-huit heures pour échapper aux blocages. La parade collective passe par la combinaison du blocage technique en amont, du signalement systématique par les destinataires, et de l’éducation continue du grand public sur les signaux d’alerte.

Questions fréquentes

Qu'est-ce que le smishing exactement ?

Le smishing est la contraction de SMS et de phishing. Il désigne toute tentative d'arnaque qui utilise un SMS, un message iMessage ou un message envoyé via une application de messagerie pour pousser la victime à cliquer sur un lien frauduleux, à rappeler un numéro surtaxé ou à transmettre des informations personnelles. La cible n'est plus la boîte courriel mais le téléphone, où l'utilisateur prête moins attention aux indices techniques et réagit plus vite. Le smishing exploite l'urgence, la familiarité d'une marque connue et la confiance que la plupart des gens accordent au canal SMS, historiquement perçu comme plus fiable que le courriel.

Pourquoi reçoit-on autant de SMS frauduleux en 2026 ?

Trois facteurs expliquent l'explosion observée depuis 2022. Premièrement, le coût d'envoi d'un SMS en masse a chuté grâce aux passerelles SMS internationales, qui permettent d'envoyer plusieurs millions de messages pour quelques centaines de dollars. Deuxièmement, les fuites de données massives chez de grands fournisseurs ont mis en circulation des bases de numéros de téléphone vérifiés, vendues sur des forums spécialisés. Troisièmement, le taux de clic sur un SMS dépasse largement celui d'un courriel : un destinataire ouvre un SMS dans les trois minutes en moyenne, contre plusieurs heures pour un courriel. Le rendement par message envoyé est donc largement supérieur.

Comment reconnaître un faux SMS de Postes Canada ou Chronopost ?

Les vrais transporteurs n'envoient jamais de lien réclamant un paiement de frais de douane par SMS sans authentification préalable. Les SMS frauduleux affichent presque systématiquement un lien raccourci ou un domaine qui imite vaguement la marque sans correspondre à son site officiel. Postes Canada utilise canadapost.ca et postescanada.ca ; Chronopost utilise chronopost.fr. Tout autre domaine, même proche graphiquement, est une fraude. Un colis réellement bloqué en douane est notifié par courrier postal ou par un appel du transporteur, jamais par un SMS demandant un paiement immédiat de quelques euros ou dollars.

J'ai cliqué sur le lien d'un faux SMS, que faire maintenant ?

Si vous avez seulement cliqué sans rien saisir, le risque principal vient du chargement de la page elle-même, qui peut tenter d'exploiter une faille du navigateur. Fermez immédiatement l'onglet, videz le cache du navigateur et redémarrez le téléphone. Si vous avez en revanche saisi des identifiants ou un numéro de carte, la procédure est différente : appelez votre banque dans les minutes qui suivent pour faire opposition, changez le mot de passe du service imité depuis un autre appareil, et activez la double authentification. Conservez le SMS comme preuve, car il sera utile pour le signalement aux autorités et pour une éventuelle contestation auprès de la banque.

Comment signaler un SMS frauduleux au Canada et en France ?

Au Canada, le numéro 7726 reçoit gratuitement les transferts de SMS suspects pour analyse par les opérateurs et le Centre antifraude du Canada. Sur iPhone comme sur Android, l'option Transférer ou Signaler comme indésirable accomplit le même travail. En France, le numéro 33700 joue un rôle équivalent depuis 2008, en partenariat avec la plateforme cybermalveillance.gouv.fr et l'association Phishing Initiative. Dans les deux cas, le signalement permet aux opérateurs de bloquer plus rapidement les numéros émetteurs et aux enquêteurs de cartographier les campagnes de smishing en cours. Le geste prend dix secondes et améliore concrètement la détection des fraudes pour la collectivité.

Le smishing peut-il viser un téléphone même sans cliquer sur le lien ?

Le simple fait de recevoir un SMS frauduleux ne compromet pas le téléphone, contrairement à une croyance répandue. La menace se déclenche uniquement lorsque la victime interagit avec le contenu : ouvrir le lien, rappeler le numéro, télécharger une pièce jointe ou installer une application proposée par la page. Les opérateurs filtrent une partie des envois en amont, mais une portion passe toujours. La règle pratique consiste à supprimer le SMS sans interaction dès qu'un signal d'alerte apparaît, et à signaler avant de supprimer si l'on dispose de quelques secondes.

Pour creuser

Smishing 2026 : reconnaître les arnaques SMS et ne plus tomber dans le piège