Dernier article

J’ai cliqué sur un lien de phishing par SMS : que faire ?

Laredac Longueur de l’article : 4 minutes
Personne anxieuse lisant un SMS suspect de phishing dans une cuisine réaliste et éclairée naturellement.
© SFPF - J’ai cliqué sur un lien de phishing par SMS : que faire ?
Dans cet article Dans cet article

Un SMS pressant, un lien raccourci, un réflexe sur l’écran… et le clic part. Quelques secondes plus tard, le doute s’installe : et si ce message venait d’un pirate ? Ce scénario concerne désormais des millions de personnes en France, alors que les attaques par smishing progressent fortement et se sophistiquent.

Si tu viens de cliquer sur un lien de phishing par SMS, tu te demandes jusqu’où l’arnaque va aller, ce que les cybercriminels ont réellement récupéré, et comment bloquer les dégâts. Les prochaines minutes comptent beaucoup, mais de nombreux leviers concrets existent pour reprendre la main, limiter les pertes et renforcer ta sécurité pour la suite.

Action clé Objectif
Couper la connexion (Wi-Fi / données) Limiter la transmission potentielle d’informations 📡
Changer immédiatement ses mots de passe Sécuriser les comptes sensibles 🔐
Activer l’authentification à deux facteurs Renforcer la protection des accès 🚧
Surveiller ses comptes bancaires Détecter toute activité suspecte 💳
Signaler le phishing (33700) Aider à bloquer les campagnes de fraude 🚨


📌


Télécharger l’image

Phishing par SMS : comprendre précisément ce qui vient de se passer

Un SMS de « banque », de « colis » ou d’« administration », un ton alarmiste, un lien cliquable, et la mécanique se met en place. Le phishing par SMS, ou smishing, vise à te pousser à cliquer pour voler des données sensibles : identifiants, codes de carte bancaire, accès à tes comptes en ligne ou prise de contrôle de ton téléphone.

En France, le smishing connaît une forte progression : les tentatives de phishing via QR code intégrés à des SMS se comptent déjà en plusieurs millions, et la fraude globale atteint 618,4 millions d’euros pour le seul premier semestre 2025, en hausse de 7,4 % par rapport à 2024. Les arnaques par manipulation (dont le smishing fait partie) représentent environ 40 % des fraudes. Le terrain est donc très actif.

Conseils33700 : comment signaler un SMS ou appel frauduleux

Les cybercriminels s’appuient sur une combinaison de techniques :

  • Usurpation de numéro (spoofing) pour afficher un faux numéro local ou un « pseudo » de banque ou de service public.
  • SMS de fausse livraison, de suivi de colis, de paiement de frais ou d’amende, qui exploitent l’impatience ou la peur.
  • Notifications bancaires frauduleuses, fausses alertes d’impôts ou de sécurité de compte.
  • Messages « Hello Mum » ou variantes familiales jouant sur l’urgence et l’affect.
  • Liens vers faux sites de paiement, faux portails d’authentification ou pages qui installent des malwares.

Les statistiques montrent une hausse marquée : à l’échelle mondiale, les attaques SMS augmentent d’environ 40 %, avec près de 3,5 milliards de spams SMS reçus chaque jour. Les liens de smishing entraînent un taux de clic compris entre 19 % et 36 %. Les moins de 35 ans sont très exposés : 72 % reçoivent des messages frauduleux, 16 % se font avoir.

« En 2023, les pertes liées aux escroqueries en France dépassent 4,5 milliards d’euros, avec une perte moyenne de 29 000 € par escroquerie. Plus d’un Français sur deux reçoit des messages frauduleux, et 13 % en deviennent victimes. »

26 février 2026
Scène réaliste dans un bureau de lutte contre la cybercriminalité où une personne explique une arnaque en ligne à un enquêteur.
Comment porter plainte pour une arnaque sur internet : démarche complète
0 commentaires

Différence entre simple clic, saisie de données et infection

Avant d’agir, il faut analyser précisément ce qui s’est passé après le clic sur le lien de phishing :

  • Tu as cliqué mais rien saisi : le site s’est affiché, mais tu n’as ni tapé de mot de passe, ni de numéro de carte, ni autorisé de téléchargement. Le risque principal reste l’installation silencieuse de scripts ou l’exploitation de failles, surtout si ton appareil n’est pas à jour.
  • Tu as saisi des identifiants (banque, messagerie, réseaux sociaux, espace client…) : les cybercriminels disposent déjà de moyens concrets d’accéder à tes comptes.
  • Tu as donné des informations bancaires (numéro de carte, date d’expiration, CVV, codes 3D Secure) : les fraudeurs peuvent réaliser des paiements ou préparer des virements frauduleux.
  • Tu as installé une application ou autorisé une configuration (profil, APK Android, etc.) : ton téléphone peut être placé sous contrôle partiel (espionnage SMS, interception de codes, redirection d’appels, etc.).

Chaque cas exige une réponse adaptée. Attendre ne règle rien : les arnaqueurs exploitent souvent les données dans les heures ou les jours qui suivent le clic.

Conseil pratique : note immédiatement l’heure du clic, le contenu du SMS, le lien, le numéro affiché et les écrans que tu as vus. Ces éléments serviront pour ta banque, ta plainte, et pour signaler l’arnaque via les canaux officiels.

Gestes d’urgence après avoir cliqué sur un lien de phishing par SMS

Les premières actions réduisent directement le risque de fraude. L’idée consiste à couper au plus vite l’accès que les pirates cherchent à exploiter : comptes, mobile, moyens de paiement.

1. Déconnecter, fermer les pages et sécuriser la connexion

Dès que tu réalises la nature frauduleuse du SMS :

  • Ferme le navigateur immédiatement sur ton smartphone, sans cliquer davantage.
  • Si un téléchargement a démarré, annule-le sans l’ouvrir et supprime le fichier dans ton gestionnaire de téléchargements.
  • Active le mode avion quelques instants pour couper les connexions en cours, puis réactive le réseau après avoir réfléchi aux prochaines étapes.

Sur Android comme sur iOS, éviter tout nouveau clic sur le même lien limite les scripts additionnels potentiellement chargés par la page malveillante.

26 février 2026
Thésée : comment porter plainte pour arnaque en ligne
0 commentaires

2. Changer immédiatement tous les mots de passe concernés

Si tu as renseigné un identifiant et un mot de passe après le clic, considère ces accès comme compromis.

  • Change en priorité les mots de passe des services saisis : banque en ligne, messagerie, opérateur, compte de livraison, compte d’impôts, etc.
  • Si ce mot de passe est réutilisé ailleurs, modifie-le sur tous les autres comptes (réutilisation = risque de piratage en cascade).
  • Active une double authentification

Le credential phishing explose, avec une hausse proche de 967 % sur certaines typologies d’attaques. L’objectif des pirates consiste souvent à récupérer un couple identifiant/mot de passe pour ensuite ouvrir la porte à d’autres fraudes (virements, usurpation d’identité, prise de contrôle d’email ou de réseaux sociaux).

Astuce de sécurité : utilise un gestionnaire de mots de passe pour générer des codes uniques et complexes pour chaque service. Cela réduit fortement l’effet boule de neige en cas de fuite isolée.

3. Réagir vite en cas de données bancaires saisies

Si tu as renseigné les informations de ta carte bancaire, chaque minute compte. Les montants de fraude par virement atteignent déjà 230 millions d’euros sur le premier semestre 2025, avec une hausse de 44 % et un montant unitaire moyen de 2 104 €. Les pirates misent sur l’empressement et la confusion.

  • Contacte immédiatement ton service bancaire via le numéro d’urgence indiqué sur le site officiel ou au dos de ta carte.
  • Demande l’opposition sur la carte et, si nécessaire, la surveillance renforcée des mouvements sur ton compte.
  • Note la date, l’heure, le nom de ton interlocuteur et le numéro de dossier ouvert.

Si des paiements frauduleux apparaissent déjà, signale-les sans attendre. Ta banque analysera la situation et te communiquera la marche à suivre pour une éventuelle indemnisation.

« Beaucoup de fraudes par smishing se concrétisent par un virement ou un paiement en ligne quelques heures seulement après la collecte des données bancaires. La rapidité de la réaction influe directement sur les chances de blocage. »

25 février 2026
Personne concentrée à son bureau en train de signaler une arnaque en ligne sur une plateforme officielle, dans une scène réaliste et naturelle.
Comment signaler une arnaque en ligne sur Pharos : procédure
0 commentaires

4. Si une application douteuse a été installée

Certains liens de phishing redirigent vers des applications à installer hors des stores officiels, ou vers des profils de configuration (notamment sur iOS) destinés à intercepter les SMS de validation ou à rediriger le trafic.

  • Désinstalle immédiatement toute application installée suite au SMS si elle ne provient pas du Play Store ou de l’App Store.
  • Sur Android, ouvre les Paramètres > Applications et supprime les applis inconnues, puis vérifie les autorisations (SMS, téléphone, stockage, accessibilité).
  • Sur iPhone, vérifie dans Réglages > Général > VPN et gestion de l’appareil l’absence de profil suspect ou de gestion à distance non sollicitée.

Si tu constates des comportements étranges (batterie qui se vide, SMS envoyés seuls, surchauffe, ouvertures de pages non sollicitées), une restauration complète de l’appareil depuis une sauvegarde saine reste envisageable.

Limite à connaître : même une désinstallation ne garantit pas l’éradication d’un malware sophistiqué. En cas de doute sérieux, fais analyser l’appareil par un professionnel ou par le support de ton constructeur, et restaure uniquement à partir de sauvegardes antérieures à l’incident.

Que vérifier après le clic : analyser les dégâts potentiels

Une fois l’urgence traitée, un diagnostic approfondi permet de repérer des signes d’intrusion ou de fraude. Le but consiste à ne pas laisser une brèche ouverte qui réapparaît trois mois plus tard.

Contrôler l’activité sur tes comptes bancaires

Connecte-toi à ton espace bancaire (en utilisant une URL saisie manuellement ou un favori fiable) et :

  • Inspecte les derniers paiements par carte, y compris les micro-prélèvements ou montants inhabituels.
  • Vérifie les virements sortants, les nouveaux bénéficiaires et les plafonds de paiements ou retraits.
  • Active, si possible, des alertes SMS ou e-mail pour chaque transaction.

Les fraudeurs testent souvent une carte avec un faible montant avant de lancer une opération plus conséquente. Une vigilance régulière pendant quelques semaines réduit le risque de surprise tardive.

Examiner les boîtes mail, comptes en ligne et réseaux sociaux

Après un smishing, certains pirates ciblent surtout la messagerie, pivot de nombreux services (réinitialisation de mot de passe, confirmation d’achat, accès aux réseaux sociaux).

  • Vérifie les connexions récentes dans les paramètres de ton compte mail (adresses IP, pays, appareils).
  • Contrôle l’absence de règles de redirection mystérieuses ou de filtres qui déplacent des messages dans des dossiers cachés.
  • Sur les réseaux sociaux, regarde la liste des sessions actives et déconnecte toutes les sessions inconnues.

Une prise de contrôle discrète de la messagerie permet à un escroc de rester en retrait, de surveiller tes échanges et de déclencher une fraude plus élaborée (faux RIB fournisseur, escroquerie au président, usurpation d’identité, etc.).

Évaluer la compromission du téléphone lui-même

Le smishing ne se limite pas à la collecte de mots de passe. Certaines campagnes utilisent des liens pointant vers des malwares capables d’intercepter les SMS, y compris les codes de connexion à usage unique (OTP), ou de détourner les connexions vers des services en ligne.

  • Installe une solution de sécurité mobile reconnue et réalise un scan complet.
  • Vérifie les autorisations SMS et d’accessibilité des applications installées, en particulier celles installées récemment.
  • Si ton appareil est professionnel ou connecté à un réseau d’entreprise, informe immédiatement ton service informatique.

Les organisations restent très exposées : près de 74 % des entreprises ont déjà subi au moins une attaque par smishing. Les mobiles d’entreprise constituent une cible directe, notamment dans les départements finance, RH ou direction.

Signaler le SMS de phishing et alerter les autorités

Au-delà de ta propre protection, le signalement aide à couper les campagnes de smishing en cours, à faire bloquer les numéros frauduleux et à nourrir les enquêtes. La lutte se joue à l’échelle collective.

Les canaux officiels de signalement en France

En France, plusieurs leviers existent pour remonter un SMS de phishing :

  • Transfert du SMS au 33 700 : ce numéro de signalement des spams vocaux et SMS opéré par les acteurs télécom centralise les campagnes en cours.
  • Plateforme Pharos (signalement en ligne des contenus illicites) pour les escroqueries complexes ou liées à des sites frauduleux.
  • Signalement à ta banque en cas de lien se présentant comme bancaire, même si aucune perte n’est constatée.

Signaler une arnaque par SMS permet d’identifier plus vite les numéros usurpés, les noms de domaine malveillants et les méthodes utilisées. Le volume massif des smishings impose une remontée d’information structurée.

Pour une démarche guidée étape par étape, un guide détaillé sur les arnaques SMS est disponible ici : comprendre et signaler une arnaque SMS.

Le dépôt de plainte : dans quels cas et comment ?

Quand une fraude financière s’est déjà produite (paiement, virement, usurpation d’identité), un dépôt de plainte consolide ton dossier vis-à-vis de la banque et des assurances.

  • Présente tous les éléments : captures d’écran du SMS, du site, des relevés bancaires, des échanges avec la banque.
  • Explique chronologiquement les faits : réception du message, clic, saisie éventuelle de données, appel reçu, débit constaté.
  • Conserve le récépissé de plainte et communique-le à ton établissement bancaire.

La plainte sert aussi à nourrir les enquêtes sur des réseaux organisés. Les cybercriminels recyclent souvent les mêmes infrastructures techniques pour de multiples campagnes (faux colis, fausses amendes, fausses plateformes de paiement).

Tableau récapitulatif : que faire selon ton niveau d’exposition ?

Les réactions à adopter varient selon ce que tu as fait concrètement après le clic. Le tableau suivant synthétise les principaux scénarios.

Situation après le clic Risques principaux Actions immédiates recommandées
Tu as simplement cliqué et fermé la page sans rien saisir Scripts malveillants, tentative de suivi, exploitation de failles du navigateur Fermer toutes les pages, vider le cache du navigateur, lancer un scan de sécurité, mettre à jour l’OS et les applis
Tu as saisi des identifiants (banque, mail, réseaux sociaux…) Prise de contrôle de comptes, usurpation d’identité, fraude par virement Changer immédiatement les mots de passe, activer 2FA par application, vérifier l’activité récente et les connexions suspectes
Tu as fourni des données de carte bancaire Paiements frauduleux, tests de carte, achats non autorisés Appeler le service d’opposition, bloquer la carte, surveiller les relevés, préparer un dossier pour la banque et une éventuelle plainte
Tu as installé une application ou un profil après le SMS Malware, interception de SMS, espionnage, contrôle partiel du téléphone Désinstaller l’appli/profil, analyser l’appareil, vérifier les autorisations, envisager une restauration, informer l’IT si mobile pro
Tu as reçu ensuite un appel soi-disant de la « banque » Fraude par manipulation, incitation à valider des virements ou livrer des codes Raccrocher, rappeler ta banque via un numéro officiel, refuser toute validation dictée par téléphone

Comment les pirates exploitent ton clic : mécanismes de fraude courants

Comprendre le cheminement des escrocs aide à anticiper leurs prochaines étapes. Un lien cliqué n’est souvent que le début de la chaîne d’attaque.

Vol d’identifiants et rebond sur d’autres services

Une grande partie des liens de smishing pointe vers des copies de sites officiels : banques, opérateurs, boutiques en ligne, impôts, plateformes de paiement. Le design imite parfaitement les pages d’origine, avec logo, couleurs et formulaires identiques.

  • Les identifiants sont capturés en temps réel et envoyés aux serveurs des pirates.
  • Les fraudeurs testent ensuite ces accès sur divers services : messagerie, réseaux sociaux, comptes marchands.
  • En parallèle, ils lancent une campagne d’ingénierie sociale (appels, e-mails) en se faisant passer pour ton établissement.

Les attaques par smishing s’inscrivent de plus en plus dans des scénarios multi-canaux : SMS initial, appel téléphonique, message WhatsApp, voire e-mail de confirmation falsifié. Les arnaques RH/finance via WhatsApp ou les fraudes au faux fournisseur illustrent ce type de montage.

Fraudes par virement et manipulation téléphonique

La hausse des fraudes par virement (44 % d’augmentation) traduit un usage massif de la manipulation. Après un clic sur un faux SMS bancaire, beaucoup de victimes reçoivent un appel d’un « conseiller sécurité » qui prétend :

  • Avoir détecté un virement suspect.
  • Proposer un « compte sécurisé » où transférer temporairement les fonds.
  • Demander des codes reçus par SMS ou via l’application bancaire.

Ce schéma conduit à la validation volontaire de virements frauduleux, sous pression psychologique. Les montants unitaires peuvent atteindre plusieurs milliers d’euros.

« Les fraudes par manipulation représentent près de 40 % des montants de fraude. Les messages SMS frauduleux préparent souvent le terrain à un contact vocal très convaincant. »

Infection du mobile et détournement de la double authentification

Certains malwares mobiles ciblent directement les SMS d’authentification. Les codes reçus par SMS servent à :

  • Valider un virement bancaire.
  • Confirmer une connexion à un compte en ligne.
  • Réaliser un changement de mot de passe.

Lorsque le malware intercepte ces codes, le pirate agit comme s’il tenait ton téléphone en main. L’autorité américaine NIST déconseille d’ailleurs l’utilisation des SMS comme unique méthode de double authentification, en raison des risques d’interception et de détournement.

Renforcer ta sécurité après un smishing : transformer l’erreur en déclic

Un clic malheureux offre aussi l’occasion de revoir en profondeur tes habitudes de cybersécurité. L’objectif consiste à réduire fortement la surface d’attaque pour l’avenir.

Mettre à jour régulièrement smartphone et applications

Les vulnérabilités logicielles constituent une porte d’entrée privilégiée. Sans mise à jour régulière :

  • Un simple chargement de page malveillante peut exploiter une faille du navigateur.
  • Une application obsolète peut servir de relais entre le malware et tes données.

Adopte une routine :

  • Active les mises à jour automatiques du système d’exploitation.
  • Nettoie régulièrement les applications inutilisées.
  • Installe les applis uniquement depuis les stores officiels, en contrôlant l’éditeur et les avis.

Revoir la gestion des mots de passe et de la 2FA

Après un incident de smishing, revisiter la stratégie d’authentification renforce la résilience globale :

  • Utilise des mots de passe uniques par service, longs et aléatoires.
  • Privilégie la double authentification par application ou clé physique plutôt que par SMS.
  • Change régulièrement les mots de passe des services critiques (banque, e-mail principal, stockage cloud).

Une fuite isolée devient alors beaucoup moins exploitable, et les attaquants se heurtent à plusieurs couches de protection.

Développer des réflexes de détection face aux SMS suspects

Le volume d’arnaques SMS augmente, avec une forte présence de faux messages de livraison (près de la moitié des arnaques repérées) et de fausses notifications bancaires. S’entraîner à repérer certains signaux améliore nettement le tri.

  • Orthographe approximative, tournures maladroites ou ton trop menaçant.
  • Numéro inconnu ou format étrange, parfois très proche d’un vrai numéro local.
  • URL raccourcie ou nom de domaine qui ressemble au vrai mais comporte une lettre manquante ou ajoutée.
  • Invitation à cliquer « immédiatement » sous peine de blocage ou de pénalités.

Avant tout clic, passe systématiquement par les canaux habituels : application officielle de la banque, site favori, appel au service client via un numéro vérifié. Ne valide jamais une opération à partir d’un lien reçu par SMS.

Réflexe clé : dès qu’un SMS évoque de l’argent, un blocage de compte, un colis en attente de frais ou un remboursement surprise, considère-le comme suspect par défaut. Tu prends ensuite le temps de vérifier par un canal indépendant.

Cas particuliers : entreprises, familles, jeunes actifs, seniors

Les campagnes de smishing ciblent différemment selon les profils. Adapter le discours de prévention à chaque contexte améliore l’efficacité.

Mobiles d’entreprise et risques professionnels

Les smartphones professionnels représentent une cible à forte valeur. Les attaquants visent les services finance, RH, direction ou fournisseurs pour déclencher des virements importants, modifier des RIB ou voler des données stratégiques.

  • Les mobiles d’entreprise exposés aux attaques SMS atteignent environ 17 % de l’ensemble.
  • Les attaques contre les services cloud progressent aussi (+15 %), souvent préparées par du smishing.

En cas de clic sur un mobile professionnel :

  • Préviens immédiatement le service informatique, sans effacer les preuves.
  • Ne transfère pas le SMS suspect sur des outils internes sans accord de la sécurité.
  • Respecte les procédures internes de déclaration d’incident.

Famille, jeunes et seniors : adapter l’accompagnement

Les statistiques montrent des différences de sensibilisation :

  • La connaissance du terme « smishing » reste limitée chez les plus de 55 ans (environ 23 %).
  • Les millennials atteignent un niveau de connaissance plus élevé (environ 34 %), mais restent très sollicités.
  • La génération Z signale davantage les arnaques sur les réseaux sociaux (près de 58 %), ce qui montre une bonne réactivité mais aussi une forte exposition.

Après un incident, une discussion familiale structurée aide à :

  • Partager des exemples concrets d’arnaques reçues.
  • Mettre en place des règles communes (ne jamais cliquer, contacter directement la banque, s’appeler en cas de doute, etc.).
  • Diffuser des guides et ressources fiables, par exemple sur la manière de signaler une arnaque SMS.

Et si le clic est ancien : comment rattraper plusieurs jours ou semaines après ?

Beaucoup de personnes se rendent compte tardivement qu’elles ont répondu à un SMS malveillant. Même plusieurs jours ou semaines plus tard, des gestes restent utiles.

Revenir sur l’incident avec méthode

Commence par reconstituer le scénario :

  • Retrouve le SMS dans l’historique si tu ne l’as pas supprimé.
  • Note la date de réception, la date du clic, et ce que tu as saisi.
  • Liste les services potentiellement concernés (banque, impôts, boutique en ligne, etc.).

Ensuite, applique les mesures de sécurisation appropriées : changement de mots de passe, activation de 2FA, vérification des relevés bancaires, scan du mobile.

Vérifier les accès persistants et les redirections

Certains pirates installent un accès durable sans agir immédiatement. Pour les repérer :

  • Contrôle les sessions actives sur tes services clés (Google, Apple, Microsoft, réseaux sociaux).
  • Recherche des adresses de récupération ou numéros de téléphone ajoutés à ton insu.
  • Inspecte les règles de redirection dans ta messagerie.

En cas de comportement suspect (e-mails que tu n’as pas envoyés, commentaires sur tes réseaux que tu n’as pas publiés), change immédiatement les identifiants et déconnecte toutes les sessions.

Aller plus loin : guides et ressources pour ne plus se laisser piéger

Après un épisode de smishing, structurer son apprentissage en cybersécurité apporte un bénéfice durable. De nombreux contenus pratiques abordent :

Les attaques évoluent rapidement : augmentation continue des QR codes frauduleux, usage de deepfakes vocaux et de messages rédigés par IA, extension vers des plateformes de messagerie comme WhatsApp, Signal ou des services de livraison. Se tenir informé, mettre régulièrement à jour ses pratiques, et en parler autour de soi restent des protections solides face à une menace qui se généralise.

Donnez votre avis

Soyez le 1er à noter cet article
ou bien laissez un avis détaillé

Signaler une erreur ou faire une réclamation

Partagez cet article maintenant !

Répondez à cet article

Plus d'informations

Nous contacter
Plan du site
À propos de l'équipe
Politique de confidentialité
Mentions légales

Les sujets à ne pas louper

Tout voir

Copyright ©SFPF 2026

Répondre maintenant