Definition Smishing
Le smishing est une variante du phishing qui utilise les SMS comme vecteur d’attaque. Un cybercriminel envoie un message texte en usurpant l’identité d’un organisme de confiance (service de livraison, banque, administration, opérateur téléphonique) pour inciter la victime à cliquer sur un lien frauduleux, rappeler un numéro surtaxé ou communiquer directement des informations sensibles par retour de message.
Le lien contenu dans le SMS redirige généralement vers une page web imitant le site légitime de l’expéditeur usurpé. La victime est alors invitée à saisir ses identifiants, ses coordonnées bancaires ou son numéro de carte vitale. Dans d’autres cas, le simple fait de cliquer sur le lien suffit à déclencher le téléchargement d’un logiciel malveillant sur l’appareil mobile. Les scénarios les plus fréquents exploitent des prétextes concrets : un colis en attente de livraison, une contravention impayée, une alerte de sécurité sur un compte bancaire ou un remboursement de l’Assurance maladie.
Le smishing tire son efficacité de plusieurs facteurs propres au canal SMS : le taux d’ouverture des messages texte dépasse largement celui des emails, les utilisateurs sont moins vigilants face aux SMS qu’aux courriels, et les URL raccourcies ou masquées sur mobile rendent difficile l’identification d’un lien suspect avant de cliquer. Les cybercriminels envoient des campagnes massives, parfois à partir de numéros usurpés qui imitent ceux d’entités légitimes, pour maximiser le taux de victimes.
Le mobile, terrain de jeu privilégié des cybercriminels
Smishing, phishing, vishing : les distinctions à connaître
Le phishing désigne l’hameçonnage dans sa forme originelle, par email. Le smishing en est la déclinaison par SMS, et le vishing (contraction de « voice » et « phishing ») repose sur les appels téléphoniques. Ces trois techniques relèvent toutes de l’ingénierie sociale : elles exploitent la confiance de la victime plutôt que des failles techniques dans les systèmes informatiques.
La distinction a des implications pratiques. Un email de phishing peut être filtré par les outils de sécurité d’une messagerie professionnelle ; un SMS arrive directement sur le téléphone personnel de l’employé, hors du périmètre de contrôle de la DSI. C’est cette porosité entre usages personnels et professionnels du mobile qui rend le smishing particulièrement redoutable en entreprise. Plus de 71 % des employés utilisent leur téléphone pour des communications ou l’accès à des informations professionnelles, selon Zimperium, ce qui élargit d’autant la surface d’attaque exposée aux campagnes de smishing.
Comment identifier et éviter un SMS frauduleux
Plusieurs signaux permettent de détecter une tentative de smishing. L’urgence artificielle du message (« votre compte sera bloqué dans 24h », « action requise immédiatement ») est l’un des marqueurs les plus constants : les cybercriminels cherchent à court-circuiter la réflexion de la victime. Un expéditeur inconnu ou un numéro au format inhabituel, une URL raccourcie ou dont le domaine ne correspond pas à l’organisme censé émettre le message, et des fautes d’orthographe dans le texte sont autant d’indicateurs à prendre au sérieux.
La règle de base reste de ne jamais cliquer sur un lien reçu par SMS sans en avoir vérifié la légitimité par un autre canal : appel direct au service concerné via le numéro officiel, connexion directe au site via un navigateur. En cas de doute, le signalement peut se faire via la plateforme 33700, dédiée aux SMS indésirables en France, ou auprès de Cybermalveillance.gouv.fr. Les organisations peuvent de leur côté réduire leur exposition en formant leurs équipes à ces techniques et en activant l’authentification à deux facteurs sur les comptes sensibles, ce qui limite les conséquences d’une compromission d’identifiants obtenue par smishing.
