Arnaque par SMS : 7 signaux d’alerte pour la repérer

Vous avez probablement reçu, ce mois-ci, un SMS qui ressemble à ça : « Votre colis Mondial Relay n’a pas pu être livré, cliquez ici pour reprogrammer ». Vous n’êtes pas seul : selon Cybermalveillance.gouv.fr, 60 % des Français ont été confrontés à du phishing (hameçonnage en français) en 2026. Et l’année n’arrange rien : les arnaqueurs ont sorti une nouvelle arme, l’IA générative.

Concrètement, ça veut dire des SMS plus crédibles, mieux ciblés, parfois illustrés d’une image générée à la volée. On parle techniquement de smishing (contraction de SMS et phishing, hameçonnage par SMS en français) : un message frauduleux qui imite une marque de confiance, comme votre banque, un transporteur ou l’administration, pour vous pousser à cliquer sur un lien et voler vos identifiants ou votre argent. Voici comment les repérer à coup sûr, et surtout ce qu’il faut faire si vous mordez à l’hameçon.

Une arnaque par SMS, c’est quoi exactement ?

On parle de smishing dès lors qu’un SMS frauduleux passe par votre opérateur télécom pour vous piéger. Le principe est toujours le même : un pirate vous envoie un message qui imite une marque de confiance (votre banque, La Poste, Mondial Relay, l’administration française) et vous pousse à cliquer sur un lien.

Au bout du lien, deux scénarios possibles :

• Un faux site qui imite l’original. Vous y saisissez vos identifiants ou vos coordonnées bancaires. Le pirate les récupère en direct.
• Un téléchargement piégé, surtout sur Android, qui installe un logiciel espion capable de siphonner vos SMS, vos contacts et vos applications bancaires.

Le SMS frauduleux n’a rien d’une nouveauté. Ce qui change en 2026, c’est l’échelle et la sophistication. La même logique s’applique d’ailleurs aux arnaques au QR code (quishing), qui ont explosé en parallèle.

Pourquoi 2026 est l’année des SMS piégés

Trois choses ont changé depuis 2024.

Premier changement : l’IA générative écrit du français parfait. Fini les fautes d’orthographe, les tournures bizarres, les majuscules au milieu d’une phrase. Un SMS d’arnaque ressemble aujourd’hui à un vrai message de service client. Bien rédigé, court, factuel.

Deuxième changement : les pirates ciblent. Ils achètent des bases de données fuitées sur le dark web (la partie cachée du web), et ils savent que vous habitez à telle adresse, que vous avez un véhicule, que votre voiture est une C3 immatriculée AB-123-CD. Le SMS d’arnaque au péage le plus récent contient nom, plaque et modèle exact du véhicule. Ça pique.

Et le plus inquiétant : les pirates illustrent leurs messages avec des images générées par IA. Sur les arnaques au colis Mondial Relay détectées en mai 2026, vous recevez une photo du paquet avec votre nom et un logo conforme. Aucun défaut visible. Le doute s’installe.

Résultat : même les utilisateurs avertis se font piéger.

Les 3 arnaques par SMS qui font des ravages en ce moment

L’arnaque à la fausse amende ANTAI

Active depuis janvier 2026, c’est la grande revenante. Vous recevez un mail (et parfois un SMS) prétendant venir de l’ANTAI, l’Agence nationale de traitement automatisé des infractions. L’objet : une amende impayée qui va doubler si vous ne payez pas dans les 48 heures. Le lien renvoie vers un faux site qui collecte votre carte bancaire.

Signal d’alerte clair : l’ANTAI n’envoie jamais d’amende par SMS ou par mail. Les amendes officielles arrivent par courrier postal, ou via le site antai.gouv.fr sur lequel vous vous connectez vous-même.

Le faux SMS de livraison Mondial Relay

Vous attendez un colis, ou pas. Un SMS arrive : « Votre colis n’a pas pu être livré, payez 1,99 € de frais de représentation ». En mai 2026, ces messages contiennent désormais une image du paquet générée par IA, avec votre nom apparent, et un faux logo.

Signal d’alerte clair : aucun transporteur sérieux ne réclame de paiement par SMS pour redélivrer un colis. Si vous avez un doute, allez sur le site officiel du transporteur, saisissez le numéro de suivi à la main.

L’arnaque au péage avec votre plaque d’immatriculation

C’est la plus retorse. Le SMS prétend venir d’une société d’autoroute. Il mentionne votre nom, votre plaque, le modèle de votre voiture, parfois même un trajet récent. Un trajet impayé, paraît-il. Lien pour régulariser. Faux site bancaire derrière.

Signal d’alerte clair : les sociétés d’autoroute facturent les péages directement via le télépéage ou les barrières. Les rappels de paiement passent par mail ou courrier, jamais par un lien SMS à cliquer dans l’urgence.

Comment reconnaître un SMS frauduleux à coup sûr

Pas la peine de chercher midi à quatorze heures. Voici les sept signaux d’alerte qui doivent vous faire dresser l’oreille :

1. Urgence anormale. « Vous avez 24 heures », « Vous risquez une amende de 375 € », « Compte bloqué dans une heure ». La pression temporelle est la signature de l’arnaque.
2. Demande de paiement minuscule. 1,99 €, 2,90 €, 3,50 €. Les pirates jouent sur le « ce n’est pas grand-chose, je clique pour en finir ». Erreur. Une fois la carte saisie, ils débitent des montants bien plus gros.
3. Lien suspect. Survolez le lien sans cliquer. S’il contient un nom de domaine bizarre (antai-paiement.info, mondialrelay-livraison.net, des tirets partout), c’est piégé. Les vrais services utilisent leur domaine officiel, point.
4. Numéro d’expéditeur inconnu. Un SMS officiel d’une banque ou de l’administration arrive en général d’un numéro court à 5 chiffres ou d’un nom d’expéditeur (« ANTAI », « LaPoste »). Un numéro mobile à 10 chiffres pour une amende ? Arnaque.
5. Demande d’identifiants ou de coordonnées bancaires. Aucun service sérieux ne vous demande votre code de carte bancaire ou votre mot de passe par SMS. Aucun.
6. Ton générique sans contexte précis. « Cher client », « Bonjour », sans nom, sans référence de dossier identifiable. Sauf que les arnaques de 2026 deviennent justement plus personnalisées. Ce signal ne suffit donc plus à lui seul.
7. Sentiment de gêne. Si quelque chose vous semble bizarre, écoutez ce ressenti. C’est souvent le bon réflexe.

Petit conseil : si au moins deux de ces signaux sont réunis, ne cliquez pas. Allez directement sur le site officiel du service concerné, en tapant l’adresse à la main dans votre navigateur.

Que faire face à un SMS suspect

Quatre étapes, dans l’ordre :

1. Ne cliquez pas sur le lien. Évident, mais le réflexe d’urgence pousse à cliquer « juste pour voir ». Voir, c’est déjà perdu.
2. Signalez le SMS au 33700. C’est le numéro gratuit dédié au signalement des SMS frauduleux, géré par les opérateurs français. Transférez le message en l’état, ils s’occupent du reste.
3. Signalez sur signal-spam.fr si c’est un mail. C’est la plateforme officielle de signalement, qui alimente les listes noires utilisées par les opérateurs et les hébergeurs.
4. Supprimez le SMS une fois signalé. Histoire de ne pas tomber dessus par mégarde plus tard.

Au passage, sachez que le gouvernement a relancé en 2026 le filtre anti-arnaques officiel. C’est un service qui bloque automatiquement les sites frauduleux dans certains navigateurs. Utile, mais pas miraculeux. La meilleure défense reste votre vigilance, qui s’apprend aussi en comprenant la mécanique générale des scams.

Et si vous avez déjà cliqué (ou pire, payé) ?

Pas de panique, mais agissez vite. Cinq actions à faire dans l’heure qui suit :

1. Faites opposition sur votre carte bancaire. Appelez votre banque ou utilisez l’appli mobile. Le numéro d’opposition figure au dos de votre carte.
2. Changez tous les mots de passe que vous avez pu saisir sur le faux site. Et tous les comptes qui partagent ce mot de passe, parce que si vous le réutilisez (en vrai, vous le réutilisez), tout est compromis. Profitez-en pour adopter un gestionnaire de mots de passe et générer des mots de passe forts et uniques pour chaque service.
3. Vérifiez vos comptes en banque dans les jours suivants. Un débit suspect, même minime, peut être le test du pirate avant un gros prélèvement.
4. Déposez plainte au commissariat ou via le site officiel pre-plainte-en-ligne.gouv.fr. C’est utile pour le suivi assurance et pour les statistiques nationales.
5. Faites-vous aider par Cybermalveillance.gouv.fr. Le service public dédié aide les victimes à reprendre la main, gratuitement.

Récap : ce qu’il faut retenir

Trois choses à faire dès aujourd’hui :

• Méfiez-vous de tout SMS qui mêle urgence et demande de paiement ou de coordonnées. C’est la signature universelle de l’arnaque.
• Mémorisez le 33700. C’est votre réflexe de signalement, à portée de pouce.
• Ne saisissez jamais vos coordonnées bancaires en passant par un lien SMS. Allez toujours sur le site officiel en tapant l’adresse vous-même.

Ma recommandation tranchée, si je dois n’en garder qu’une : considérez par défaut que tout SMS qui réclame un paiement, même minime, est une arnaque. Vous n’imaginez pas combien d’arnaques s’effondrent face à ce simple réflexe.

Pour aller plus loin

• Cybermalveillance.gouv.fr : aide aux victimes et conseils officiels
• Signal Spam : signalement des emails frauduleux
• Le 33700 : signalement gratuit des SMS frauduleux par transfert
• Service-public.fr, hameçonnage : démarches officielles en cas d’arnaque
• Phishing : les bons réflexes pour se protéger (guide complémentaire sur AAI)

Cela pourrait aussi vous intéresser

Quishing : reconnaître l’arnaque au QR code et s’en protéger Arnaque du téléphone bloqué sur Facebook : comment la reconnaître et s’en protéger ModelesCV, arnaque ou véritable aide pour faire votre CV ? Tech reconditionnée et Black Friday : comment repérer les vrais bons plans