Qu’est-ce que le smishing, le spam SMS nouvelle génération ?
- Bernard Jarno
- 16 août 2021

Vous connaissez peut-être le spam par courrier électronique : c’est l’équivalent en ligne du courrier indésirable, avec le danger supplémentaire d’être un outil utilisé par les escrocs pour distribuer des virus ou obtenir des informations personnelles.
Mais le spam existe aussi dans le monde de la téléphonie mobile, les spammeurs utilisant désormais les messages texte pour harceler les propriétaires de téléphone.
Mais qu'est-ce que le smishing ?
Le smishing est une cyberattaque qui utilise des SMS trompeurs pour inciter les victimes à partager des informations précieuses, à installer des logiciels malveillants ou à donner de l’argent.
L’objectif est de vous faire croire qu’un message provient d’une personne ou d’une organisation de confiance, puis de vous convaincre de prendre des mesures qui donnent à l’attaquant des informations exploitables (comme des identifiants de connexion à un compte bancaire, par exemple) ou l’accès à votre appareil mobile.
Le smishing est une variante, axée sur les messages textuels, des escroqueries par phishing par courrier électronique qui existent depuis les années 1990.
Malheureusement les gens sont souvent moins attentifs aux messages suspects sur leur téléphone que sur leur ordinateur : ils sont plus susceptibles d’ouvrir un message texte potentiellement suspect qu’un message électronique, et leurs appareils personnels ne disposent généralement pas du type de sécurité disponible sur les PC d’entreprise.
Cette nouvelle version pernicieuse du phishing par email est malheureusement de plus en plus répandue.

Exemple de faux message du Crédit Agricole
Phishing, smishing et vishing : quelle est la différence ?
Le smishing consiste essentiellement en un hameçonnage (phishing) par messages textuels. Le mot est un mélange de « phishing » et de « SMS », ce dernier étant le protocole utilisé par la plupart des services de messagerie texte des téléphones.
En raison de cette étymologie, vous verrez parfois le mot écrit « SMiShing », bien que cela soit de plus en plus rare ; les gens incluent également dans le smishing les tentatives d’escroquerie via des services de messagerie non-SMS, comme WhatsApp, Telegram, WeChat ou iMessage d’Apple. Le terme existe depuis au moins la fin des années 2000, mais l’omniprésence des smartphones en a fait un vecteur d’attaque plus tentant pour les pirates.
Quant au Vishing, combinaison de « phishing » et de « voice », il consiste à utiliser des messages vocaux ou des appels téléphoniques pour tenter de voler des identités ou des informations telles que votre code PIN ou les détails de votre carte bancaires.
Statistiques sur le smishing
Il existe une statistique qui ne concerne pas spécifiquement le smishing, mais qui explique pourquoi les attaquants consacrent tant d’efforts au développement de ces escroqueries :
98 % des SMS sont lus et 45 % font généralement l’objet d’une réponse, alors que les chiffres équivalents pour les e-mails sont respectivement de 20 % et 6 %.
Les utilisateurs étant de plus en plus submergés par des courriels constants et se méfiant du spam, les SMS sont devenus un vecteur d’attaque plus attrayant, exploitant la relation plus intime que nous entretenons avec nos téléphones.
Différents types d'objectifs et de motivations du smishing
Mais quels sont les exemples spécifiques du fonctionnement du smishing dans la pratique ? À quelles genre de pratiques devriez-vous faire attention ?
– Tentatives vous incitant à révéler vos informations d’identification. Les adeptes du smishing peuvent essayer de vous convaincre de donner un nom d’utilisateur et un mot de passe ou d’autres informations confidentielles qu’ils pourront utiliser pour se connecter à l’un de vos comptes en ligne. Le smishing bancaire est l’un des types les plus lucratifs et les plus courants de cette catégorie d’attaque.
– Tentatives vous incitant à télécharger un logiciel malveillant. Ce type d’attaque correspond à l’un des principaux objectifs du phishing par courrier électronique, bien que les techniques soient adaptées aux utilisateurs et à la technologie mobiles.
– Tentatives vous incitant à envoyer de l’argent à quelqu’un. Cette version du smishing est davantage l’apanage des escrocs, mais elle n’en reste pas moins préoccupante, surtout lorsqu’il s’agit de personnes peu au fait de la technologie, qui n’utilisent pas beaucoup le courrier électronique et ne sont pas insensibles aux appels des princes nigérians qui tentent d’obtenir de l’argent caché sur des comptes bancaires à l’étranger.
Comment éviter le smishing et s’en protéger
- Méfiez-vous des sms ou textos utilisant un langage avec des fautes ou un grammaire bizarre.
- Les offres qui semblent trop belles pour être vraies le sont généralement.
- Ne cliquez pas sur des liens intégrés ou ne téléchargez pas d’applications directement à partir d’un SMS. Si vous ne reconnaissez pas le numéro qui vous a envoyé le message, ne cliquez pas sur l’URL qu’il contient. Il est préférable de supprimer le texte s’il est suspect.
- Les services des impôts, les banques ou autres administrations françaises ne communiquent généralement pas par texto
- Ne répondez pas au message. Certains textes d’hameçonnage comportent une ligne à la fin du texte, comme « Envoyez STOP au 87269 pour ne plus recevoir de messages ». Vous ne devez pas répondre au texte ou à ce numéro, car cela ne fait que confirmer que le numéro que les escrocs ont dans leur dossier appartient et est utilisé par une personne réelle. Si vous répondez, ils vous enverront d’autres messages de spam.
- Vérifiez les numéros et les messages suspects avant d’agir. Si vous n’êtes pas sûr qu’un message texte soit digne de confiance ou non, vous pouvez toujours chercher le numéro ou le texte du message sur Google. Vous saurez ainsi si le message provient d’escrocs. Si c’est le cas, vous pouvez bloquer les numéros ou les appels provenant du numéro suspect.
- Apprenez à reconnaître les signes d’un virus sur votre téléphone. Nous pensons généralement que les virus sont un problème pour les ordinateurs et non pour les téléphones, mais ils peuvent également affecter les appareils mobiles. Soyez attentif à la diminution des performances, à l’apparition d’applications indésirables ou au signes de chauffe de votre appareil, qui peuvent tous être des indicateurs que quelque chose ne va pas avec votre smartphone.
- Utilisez un VPN pour protéger vos données de localisation. Certains escrocs ont recours au smishing en utilisant les données de localisation de votre téléphone, qui sont assez faciles à obtenir. Lorsque vous vous rendez dans un nouveau lieu, vous pouvez recevoir un message indiquant que le service (comme Google, Facebook, etc.) a remarqué que vous vous trouvez dans une nouvelle localisation et que vous devez envoyer un texte de confirmation pour déverrouiller votre compte. La meilleure façon d’empêcher les escrocs d’accéder aux données de localisation de votre téléphone est d’utiliser un VPN qui crypte toutes vos données afin que les escrocs ne puissent pas y accéder, et qui masque votre adresse IP réelle par une fausse.
Comment repérer les SMS non sollicités
Les spams sont des messages non sollicités, non désirés et qui peuvent parfois coûter de l’argent à leur destinataire. Les spams sont généralement envoyés automatiquement et en masse, souvent à des numéros de téléphone choisis ou générés au hasard.
Ces types de messages peuvent prendre de nombreuses formes – on vous demandera souvent de répondre à une adresse électronique ou à un numéro de téléphone qui ne correspond pas à l’identité supposée de l’expéditeur.
Souvent, les textes de spam malveillants sont les étapes initiales d’une véritable escroquerie, dans laquelle les expéditeurs espèrent obtenir des informations personnelles par des moyens frauduleux. Les escrocs se font souvent passer pour des institutions financières ou une agence gouvernementale.
Ils peuvent aussi prétendre que vous avez gagné de l’argent à une loterie à laquelle vous n’avez pas participé ou que vous êtes sur le point de recevoir la livraison d’un produit que vous n’avez pas commandé.
Que faire si vous pensez avoir reçu un message de spam de type smishing :
- Ne répondez pas
- Ne donnez pas de détails personnels
- Ne cliquez pas sur les liens
- Ne montrez aucun intérêt pour ce que le spammeur demande ou promeut.
- Conservez tous les messages indésirables, car vous pourriez en avoir besoin plus tard si vous continuez à recevoir des messages et si vous devez prendre d’autres mesures.

Bloquer un numéro sur iOS
Bloquer le spam par SMS
Si vous voulez arrêter les messages ou les appels provenant d’un certain numéro, c’est une autre solution viable, à condition que le spam provienne toujours de la même source.
Sur iPhone, vous pouvez procéder comme suit :
- Ouvrez l’application Messages, ouvrez la conversation en question.
- Appuyez sur l’icône i dans le coin supérieur droit, puis sur le nom ou le numéro de téléphone.
- Faites défiler l’écran jusqu’en bas, puis sélectionnez Bloquer ce correspondant.
- Cela empêchera également les appels téléphoniques provenant de ce numéro.
Lorsque vous bloquez un numéro de téléphone ou un contact sur l’iPhone, il peut toujours laisser un message sur votre boîte vocale, mais vous ne recevrez pas de notification. Le contact ne recevra pas de notification indiquant que l’appel ou le message a été bloqué.
Sur Android, le processus est similaire :
- Ouvrez votre application Messages, puis la conversation en question.
- Appuyez sur l’icône Plus, généralement représentée par trois points verticaux.
À partir de là, les étapes exactes varient d’un fabricant Android à l’autre. Vous pouvez avoir une option pour bloquer le contact immédiatement, ou vous pouvez avoir besoin de creuser plus loin dans les paramètres. Cherchez quelque chose du genre « Personnes et options ».
Bloquer les SMS non sollicités sans numéro
Les expéditeurs de SMS indésirables utilisent des méthodes de plus en plus sophistiquées et envoient maintenant souvent des messages sans numéro. À la place, le message provient généralement d’un expéditeur nommé. « DenisUEG », par exemple.
Dans ce cas, le logiciel de blocage par défaut de votre téléphone ne fonctionnera pas. Il reste cependant des options, mais elles varient en fonction de votre téléphone.
Sur iPhone
- Ouvrez le SMS indésirable en question
- Appuyez sur l’icône en forme de visage en haut du volet des messages, puis sur Info.
- Appuyez sur l’icône de téléphone bleue à droite du nom du spammeur.
- Cela va lancer un appel téléphonique. Annulez-le immédiatement
- Fermez Messages, puis ouvrez l’application Téléphone.
- Appuyez sur le volet Récents
- Cliquez sur l’icône i à côté du numéro que vous venez de composer.
- Sélectionnez Bloquer ce correspondant.
Sur Samsung
Si vous utilisez l’application Messages par défaut sur un smartphone Android Samsung, vous devriez pouvoir configurer un filtre personnalisé pour empêcher l’expéditeur en question de vous envoyer d’autres messages.
- Ouvrez l’application Messages
- Notez le nom de l’expéditeur en question, exactement comme il est orthographié.
- Appuyez sur l’icône à trois points dans le coin supérieur droit de l’application Messages.
- Appuyez sur Bloquer des messages
- Sélectionnez Bloquer des phrases et entrez le nom de l’expéditeur que vous venez de citer.
Cette méthode peut fonctionner si les messages proviennent d’un expéditeur spécifique avec un nom unique, mais elle est moins idéale si un tiers se fait passer pour votre vendeur en ligne préféré ou votre banque. Après tout, vous ne voulez pas que des messages légitimes se retrouvent dans votre dossier de spam.
Vous pouvez toutefois voir tous les messages bloqués en appuyant sur l’option de menu Messages bloqués dans les paramètres de blocage des messages mentionnés ci-dessus.
Autres téléphones Android
Si vous utilisez un appareil autre que Samsung, vous pouvez envisager de changer votre application de messagerie par défaut pour une application telle que Key Messages.
En espérant vous avoir aidé a stopper le spam SMS sur votre smartphone.
