Depuis le début du mois de juin 2025, une campagne d’escroquerie par SMS, aussi discrète qu’efficace, sévit en France. Reposant sur une mise en scène bien rodée, elle exploite nos réflexes quotidiens d’acheteurs en ligne. Derrière un simple message annonçant un problème de livraison se cache en réalité une mécanique de fraude sophistiquée, basée sur l’ingénierie sociale. Analyse d’une arnaque qui évolue avec ses cibles.
Le SMS, un vecteur de fraude que l’on croyait dépassé
À l’heure des messageries instantanées et du protocole RCS, les SMS semblent relégués au second plan dans les usages numériques. Pourtant, c’est justement cette rareté qui les rend d’autant plus dangereux. La plupart des messages reçus aujourd’hui sur ce canal ne sont plus que des tentatives d’hameçonnage (ou phishing), souvent appelées dans ce contexte précis « smishing » (contraction de SMS et phishing).
Très subtils, ces SMS reproduisent à la perfection les communications des services de livraison officiels. Et c’est précisément ce raffinement qui piège un nombre croissant d’utilisateurs.
« Je repasse, ou je mets en relais ? » : un piège en deux temps
La nouvelle méthode, détectée massivement début juin 2025, marque un tournant. Fini les liens douteux dès le premier message : les escrocs commencent par un SMS anodin, ressemblant trait pour trait à une notification authentique d’un livreur. Par exemple :
« Bonjour, c’est le livreur Mondial Relay, j’ai un colis au nom de….qui ne rentrait pas dans la boite aux lettres, veuillez reprogrammer la livraison car je ne peux pas repasser aujourd’hui »
Le message est volontairement neutre, courtois, sans lien cliquable, et appelle une réponse naturelle de la part du destinataire. Ce n’est qu’en cas de réponse que l’escroc envoie un lien malveillant, censé permettre de choisir un nouveau créneau de livraison ou un point de retrait.
Ce lien redirige vers une fausse page Web, généralement une copie quasi parfaite d’un site de transporteur connu (Colissimo, Mondial Relay, Chronopost…). On y demande à l’utilisateur de saisir ses données personnelles et parfois de régler des « frais de relivraison » modiques (entre 1,99 € et 2,99 €). Mais ce petit paiement cache un objectif bien plus vaste : récupérer les données bancaires de la victime.
Une escroquerie basée sur l’ingénierie sociale
L’efficacité de cette arnaque repose sur une arme psychologique : l’urgence perçue. L’utilisateur, souvent en attente réelle d’un colis, est conditionné à réagir rapidement à toute notification de livraison. Il s’agit d’une attaque contre la confiance, plus que contre un système informatique.
Le site frauduleux, bien construit et sans fautes d’orthographe, désarme les méfiances. Le ton est naturel, l’interface familière, et la somme demandée suffisamment basse pour paraître anodine. C’est un piège comportemental, pensé pour être traversé sans réflexion.
L’évolution de la fraude : personnalisation et fuites de données
Autre signal inquiétant : certains SMS frauduleux mentionnent le nom et le prénom exacts du destinataire. Cela révèle que des bases de données ont fuité et circulent entre cybercriminels, renforçant encore l’effet de légitimité perçue.
De nombreuses victimes ont reçu des messages incluant leurs informations personnelles, ce qui rend le subterfuge d’autant plus difficile à détecter. L’escroquerie évolue, se perfectionne, et s’adapte aux usages : elle cible en priorité les consommateurs réguliers d’e-commerce, plus enclins à cliquer sur un lien de suivi sans réflexion.
Des conséquences au-delà du vol de données
Les impacts de cette arnaque vont bien au-delà du simple piratage bancaire : dans plusieurs cas documentés, les liens frauduleux ont permis d’installer des logiciels espions à l’insu des victimes, de les abonner à leur insu à des services premium payants avec des prélèvements hebdomadaires discrets, ou encore d’usurper leur identité pour commettre d’autres fraudes, souvent découvertes trop tard en raison du caractère peu visible et espacé des débits.
Certaines victimes ne découvrent les prélèvements que des semaines plus tard, leur fréquence faible n’ayant pas déclenché d’alerte de la banque.
Comment se protéger ? Les bons réflexes à adopter
Les spécialistes en cybersécurité s’accordent sur une série de réflexes simples et efficaces pour se prémunir :
- Ne jamais cliquer sur un lien reçu par SMS sans avoir sollicité la démarche ;
- Consulter uniquement les applications ou sites officiels pour suivre un colis ;
- Utiliser des alias e-mail différents pour les achats en ligne ;
- Favoriser les paiements sécurisés, avec authentification forte (3D Secure) ;
- Signaler immédiatement les SMS suspects à la plateforme officielle 33700.
Des plateformes officielles pour signaler et agir
Deux outils majeurs sont à la disposition du public pour lutter contre ce fléau :
- Le 33700, géré par les opérateurs : il suffit de transférer le SMS frauduleux au 33700, gratuitement. Ce service bloque les numéros malveillants à l’échelle nationale.
- Cybermalveillance.gouv.fr, le portail officiel d’assistance : il propose des guides pratiques et une aide personnalisée en cas de cyberattaque ou de fraude.
Ces outils ne sont pas seulement utiles à titre individuel : ils alimentent aussi les bases de données des autorités, contribuant à démanteler les réseaux de fraude.
Les transporteurs, victimes collatérales
Cette vague de smishing entraîne également une confusion croissante entre escroqueries et communications légitimes. Les services de livraison comme Mondial Relay ou La Poste reçoivent de plus en plus de réclamations de clients abusés.
Face à cette situation, les transporteurs rappellent régulièrement qu’ils n’envoient jamais de SMS demandant un paiement, ni depuis des numéros de téléphone standards. Les sociétés doivent désormais intégrer des mécanismes anti-phishing dans leur communication pour regagner la confiance du public.
Ne cédez pas à l’urgence, vérifiez avant d’agir
La campagne de smishing qui sévit en ce mois de juin 2025 est particulièrement pernicieuse. Elle exploite les automatismes numériques du quotidien, s’infiltrant dans nos échanges avec un réalisme inquiétant. Pourtant, elle peut être efficacement contrecarrée par des gestes simples, une vigilance active et l’utilisation des outils officiels.
Rappelez-vous : un SMS de livraison doit toujours susciter un doute. Ne cliquez jamais sans vérifier, ne payez jamais de frais imprévus, et utilisez les canaux sécurisés pour suivre vos commandes. Dans un monde numérique, la vigilance est votre meilleur antivirus.
