Le smishing revient en force depuis quelques années. Ce type d'arnaque au SMS peut se révéler particulièrement vicieux et tromper la vigilance des utilisateurs les moins avertis. Les conséquences de ces escroqueries peuvent être désastreuses.

Les arnaques au SMS sont populaires depuis bien longtemps, mais l'on constate une recrudescence de ce type de campagnes depuis quelques années. Cybermalveillance.gouv.fr évoque même une forte croissance de ce type d'hameçonnage depuis 2020. Ce que l'on appelle smishing est un véritable danger pour les possesseurs d'un téléphone mobile, d'autant que les attaques menées par les acteurs malveillants se montrent de plus en plus sophistiquées. Qu'est-ce que le smishing, comment cela fonctionne et comment s'en protéger, voici tout ce que vous devez savoir à ce sujet.

Le smishing, c'est quoi ?

Le mot “smishing” est la contraction de “SMS” et de “phishing”, le terme anglais désignant l'hameçonnage. Vous l'avez compris, le smishing se réfère à l'hameçonnage par SMS. Notez que si l'on parle de SMS tout au long de cet article à des fins de simplification, ce phénomène vaut également pour les autres protocoles de communication textuelle mobiles, comme le RCS.

Généralement, les cybercriminels tentent d'usurper l'identité d'un tiers de confiance pour tromper la vigilance de leurs cibles. Il peut s'agir d'administrations publiques (Assurance maladie, URSSAF…), de plateformes numériques (Netflix, Spotify…), de services de livraison ou de banques. En se faisant passer pour une entité légitime, les cybercriminels espèrent obtenir les données personnelles de leurs victimes, dont parfois les coordonnées bancaires, ou leurs identifiants de connexion.

Comment fonctionne le smishing ?

Les victimes reçoivent un SMS sur leur téléphone portable. Les escrocs ont pu le récupérer à partir d'une base de données, potentiellement payante, depuis un service en ligne qui le fait apparaître publiquement ou par composition aléatoire. Le message invite l'utilisateur à réaliser une action, pour bénéficier d'un avantage ou régler un problème. Les prétextes sont nombreux : “blocage d’un compte en ligne ou bancaire, un incident de paiement, une mise en conformité réglementaire, annuler une commande que la victime n’aurait pas passée, obtenir un remboursement d’une administration, finaliser la livraison d’un colis, mettre à jour ou confirmer des informations personnelles”, liste par exemple cybermalveillance.gouv.fr.

Le contenu des SMS d'hameçonnage est souvent alarmant, anxiogène ou énigmatique. Le but est de produire une réaction chez la victime, pour qu'elle perde son sang-froid ou pour attiser sa curiosité. Il est requis de la cible qu'elle réponde au SMS en fournissant des informations ou qu'elle clique sur un lien renvoyant vers un formulaire ou une fausse page imitant un site web légitime. Les données renseignées tombent alors en possession des cybercriminels, qui peuvent les exploiter à des fins malveillantes.

Pourquoi le smishing progresse ?

L'on pourrait croire que les arnaques par SMS reculent tant on y est habitué, mais plusieurs facteurs contribuent à continuer d'en faire une technique d'hameçonnage très populaire parmi les pirates. Tout d'abord, il est plus difficile pour les victimes d’identifier les SMS frauduleux que les emails d’hameçonnage. Les SMS ne comportent pas de visuel et sont plus simples et directs à rédiger pour les cybercriminels, limitant le nombre d'erreurs commises lors de leur rédaction.

D'autre part, l’expéditeur est uniquement identifiable par un numéro de téléphone, qui peut être raccourci pour faire croire qu'il s'agit d'un service officiel. Certains utilisateurs peuvent aussi avoir le sentiment que seul une entité à laquelle on a communiqué son numéro de téléphone peut nous joindre par ce moyen, instaurant un faux sentiment de confiance.

Ajoutons que si la cible fait l'erreur d'ouvrir le lien qu'elle a reçu par SMS, elle aura plus de mal à repérer un site malveillant à cause de la taille réduite de l’écran et de l'affichage de certains navigateurs, qui peuvent masquer l'adresse URL. Les escrocs profitent aussi de nos comportements : avec nos smartphones, nous sommes constamment sollicités par des notifications et alertes, auxquelles on a tendance à réagir vite et instinctivement.

Quels sont les dangers du smishing ?

Cliquer sur un lien malveillant peut causer l'infection de votre appareil par un malware, qui pourra surveiller votre activité, siphonner vos données personnelles et intercepter vos identifiants et mots de passe. Le SMS frauduleux peut aussi inviter à télécharger une application contenant un virus. Des logiciels malveillants sophistiqués peuvent même lire les SMS d'authentification à double facteur (2FA) pour accéder à vos comptes malgré la couche de sécurité supplémentaire, ou passer des appels à des numéros de téléphone surfacturés.

Un autre type de fraude consiste à convaincre la cible d'appeler un numéro de téléphone, pour parler à une personne capable de vous aider dans votre démarche par exemple. Une technique aussi connue comme celle du faux conseiller bancaire. En plus de probablement appeler un numéro surtaxé, votre interlocuteur tentera de vous soutirer vos informations personnelles, dont vos données bancaires pour accéder à vos comptes en banque.

Vos informations peuvent aussi être obtenues de manière plus naturelle, lorsque vous remplissez les champs d'un formulaire ou d'une page de connexion illégitimes. Certaines copies de sites sont particulièrement bien réalisées, imitant les vrais domaines jusqu'au moindre détail. Quelle que soit la manière dont vos informations ont été subtilisées, les menaces sont graves : vol d'identité, fraude à la carte bancaire…

Comment se protéger du smishing ?

Lorsque vous recevez un SMS d'un numéro qui ne figure pas dans vos contacts, vous devez partir du principe qu'il s'agit d'un danger potentiel. Vous ne devez jamais cliquer sur un lien de redirection inséré dans un tel message. Pour vérifier si le SMS est légitime, rendez-vous dans votre espace client manuellement depuis votre navigateur web ou votre application mobile. Si vous ouvrez tout de même le lien, vérifiez bien l'URL, même si celle-ci n'est pas toujours fiable et peut être masquée.

Aucune administration ou société sérieuse ne vous demandera vos informations personnelles, vos données bancaires ou vos mots de passe par le biais de SMS, ne répondez pas à ces messages. De même, ne téléchargez jamais d'application suite à la réception d'un SMS. Pour tromper la vigilance des victimes, il est parfois fait mention d'une simple mise à jour de l'app, il s'agit d'un piège. Quand la plateforme le permet, configurez un système d'authentification à double facteur pour compliquer la tâche des pirates.

Pour signaler un message frauduleux aux autorités compétentes, il suffit de le transférer par SMS au 33700, un numéro gratuit. Vous pouvez aussi le dénoncer par le biais du site web 33700.fr, la plateforme de lutte contre les spams vocaux et SMS.

Que faire quand on est victime d'arnaque au SMS ?

Si vous avez été victime d'une arnaque, vous devez réagir le plus rapidement possible. Contactez votre banque, votre administration ou votre fournisseur de service pour les avertir si vous craignez que vos identifiants de connexion aient été subtilisés. Essayez aussi de changer le mot de passe du ou des comptes en danger. Si vous avez renseigné un moyen de paiement ou si vous observez des débits suspects sur votre compte, contactez tout de suite votre organisme bancaire ou financier pour demander une opposition.

Pour votre assurance, pour la police, ou pour l'organisme légitime dont l'identité a été usurpée, conservez toutes les preuves de la fraude, notamment le SMS et le site malveillant visité. Si vous soupçonnez la présence d'un malware sur votre appareil, le plus sûr est de le restaurer, et de surtout n'effectuer aucune opération sensible avec avant la réinitialisation, comme une connexion à votre application bancaire.

Vous pouvez signaler des opérations frauduleuses réalisées avec votre carte bancaire via la plateforme Perceval du ministère de l’Intérieur, un service FranceConnect. Pour obtenir conseil, vous avez aussi la possibilité de contacter la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817. La ligne est ouverte de 9h à 18h30 du lundi au vendredi, l'appel et le service sont gratuits.

Une autre option est de déposer plainte. Cette opération peut être réalisée auprès d'un commissariat de police ou d'une brigade de gendarmerie, ainsi que par écrit auprès du procureur de la République du tribunal judiciaire dont vous dépendez. Les particuliers peuvent obtenir gratuitement l'aide de l'association France Victimes pour être accompagnés dans leur démarche. Celle-ci est joignable au 116 006, 7 jours sur 7 de 9h à 19h.

Quelles sont les lois anti smishing ?

La législation française ne prévoit pas de textes dédiés spécifiquement au smishing. Plusieurs articles de loi concernant entre autres l'hameçonnage et la fraude s'appliquent par contre à cette pratique.

• L'escroquerie (article 313-1 du Code pénal) : jusqu'à 5 ans de prison et 375 000 euros d’amende.
• La collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du Code pénal) : jusqu'à 5 ans de prison et 300 000 euros d’amende.
• L'accès frauduleux à un système de traitement automatisé de données (article 323-1 du Code pénal) : jusqu'à 5 ans de prison et 150 000 euros d’amende.
• La contrefaçon et l'usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du Code monétaire et financier) : jusqu'à 7 cinq ans de prison et 750 000 euros d’amende.