Un simple « Bonjour, vous êtes chez vous ? » : l’arnaque par SMS qui vide votre compte en 2025

Chaque jour, des millions de messages transitent par nos téléphones. Parmi eux, certains semblent anodins, voire courtois, mais cachent une intention malveillante. Les arnaques par SMS, ou « smishing », ont pris une ampleur inquiétante, et une nouvelle vague d’escroqueries sophistiquées met en danger la sécurité financière de particuliers aux quatre coins de la France. Ce ne sont plus de simples messages aux fautes d’orthographe évidentes : les cybercriminels misent désormais sur la subtilité, l’urgence psychologique et la crédibilité feinte pour piéger leurs victimes. Derrière un simple « Bonjour, vous êtes chez vous ? » se cache parfois une opération minutieusement planifiée pour vider un compte bancaire. Comprendre ces mécanismes, c’est la première étape pour s’en protéger.

Qu’est-ce que le smishing et pourquoi est-il si dangereux ?

Le terme « smishing » est un mélange de « SMS » et de « phishing ». Contrairement au phishing classique, qui passe par email, le smishing utilise le canal du message texte pour atteindre ses cibles. Ce choix n’est pas anodin : les SMS sont perçus comme plus directs, plus personnels, et surtout, plus légitimes. Une alerte sur le téléphone portable semble souvent urgente, d’autant plus quand elle évoque un colis non livré, une amende ou un compte bancaire bloqué. C’est précisément cette urgence que les escrocs exploitent.

Les messages frauduleux imitent à la perfection ceux d’organismes officiels : La Poste, Chronopost, un établissement bancaire ou même l’administration fiscale. Le design du SMS, le ton employé, parfois même le nom de l’expéditeur, sont calqués sur les communications légitimes. Le piège se referme dès que la victime clique sur un lien ou répond au message. À ce moment-là, elle entre dans un processus qu’elle ne contrôle plus.

Comment fonctionne l’arnaque au colis ?

L’exemple le plus répandu reste celui du colis en attente. Un SMS arrive, souvent en début de journée : « Livraison impossible – votre colis est en souffrance. Cliquez ici pour rediriger ». Ce message semble anodin, surtout si vous avez effectué des achats récemment. Mais même en l’absence de commande, certains y répondent par curiosité. Erreur fatale.

Élodie Rivière, 42 ans, enseignante à Lyon, s’est fait piéger en mars dernier. « J’avais reçu un SMS disant que Mondial Relay ne pouvait pas livrer mon colis. J’ai cliqué sans réfléchir, j’étais pressée. Sur le site, tout semblait normal : les logos, les couleurs, même le formulaire. J’ai renseigné mes coordonnées bancaires pour payer des frais de rediffusion. Quarante-huit heures plus tard, ma banque m’a alertée : 1 200 euros avaient été prélevés. »

Le site sur lequel elle a saisi ses données n’était pas celui de Mondial Relay, mais une copie quasi parfaite, hébergée sur un nom de domaine proche du vrai. Une technique appelée « typosquatting », où les pirates créent des adresses web qui ressemblent trait pour trait aux originaux, à une lettre près.

Pourquoi un simple « Bonjour, vous êtes chez vous ? » peut être une arnaque ?

Les escrocs ont compris que les messages trop directs suscitaient la méfiance. Désormais, ils utilisent des approches plus insidieuses. L’un des pièges les plus récents commence par un SMS minimaliste : « Bonjour, vous êtes chez vous ? ». Aucune mention de colis, aucune urgence apparente. C’est ce qui le rend si efficace.

En répondant, la victime engage une conversation. L’escroc, désormais en position de dialogue, se fait passer pour un livreur. « Le colis est trop volumineux pour la boîte aux lettres, je dois vous envoyer un lien pour choisir un point relais. » Le ton est poli, plausible. Et pourtant, derrière ce lien, une page de phishing attend.

Comment les cybercriminels gagnent-ils en crédibilité ?

La sophistication de ces arnaques repose sur plusieurs leviers. D’abord, l’achat de bases de données personnelles sur le Dark Web. Grâce à ces informations, les escrocs peuvent personnaliser leurs messages : nom, adresse, voire historique d’achats. Un SMS qui commence par « Bonjour Camille, livraison impossible à votre domicile, 15 rue des Saules » semble immédiatement plus légitime.

Ensuite, l’exploitation des comportements humains. « Les gens répondent instinctivement à une question simple, surtout quand elle semble venir d’un tiers inoffensif », explique Lucas Moreau, expert en cybersécurité et consultant pour plusieurs banques françaises. « C’est une technique de manipulation basée sur l’engagement progressif. On commence par une interaction anodine, puis on glisse vers une demande plus intrusive. »

Ces arnaques fonctionnent parce qu’elles jouent sur deux émotions fortes : l’impatience de recevoir un colis et la peur de le rater. « On vit dans une société de livraison express, où tout doit arriver en 24 heures », ajoute Lucas. « Cette pression temporelle désactive notre vigilance. »

Comment reconnaître un SMS frauduleux ?

Malgré leur sophistication, certaines alertes doivent vous alerter. La première est le numéro d’expédition. Les transporteurs officiels comme La Poste ou Mondial Relay n’utilisent jamais des numéros commençant par 06, 07 ou 09. Ce sont des numéros de mobile, souvent utilisés par les escrocs pour diffuser massivement leurs messages. Un numéro court, comme 3633 ou 3456, est bien plus probable pour une notification officielle.

La deuxième alerte : les fautes d’orthographe ou les formulations approximatives. Même si les arnaques deviennent plus soignées, certains messages contiennent encore des tournures bizarres ou des phrases mal construites. « Veuillez cliquer ici pour valider votre livraison » au lieu de « finaliser » ou « confirmer » peut être un signe.

Enfin, l’absence de détails concrets. Un vrai message de livraison indique généralement le nom du destinataire, le numéro de suivi, parfois le poids du colis ou le nom de l’expéditeur. Un SMS vague, du type « Colis en attente », sans référence précise, doit vous mettre la puce à l’oreille.

Que faire en cas de doute sur un SMS ?

La règle d’or : ne jamais cliquer, ne jamais répondre. Même une réponse du type « Non » ou « Pas intéressé » suffit à confirmer que le numéro est actif, ouvrant la porte à d’autres tentatives. Le silence est la meilleure arme.

En cas de doute, la démarche recommandée est de contacter directement l’organisme concerné, mais par un canal officiel. Par exemple, si vous recevez un SMS de « La Poste », rendez-vous sur le site laposte.fr, ou appelez le service client via le numéro indiqué sur le site, pas celui du message. Vous pouvez aussi vérifier l’état de vos colis via votre compte en ligne, sans passer par un lien externe.

Comment se protéger efficacement contre le smishing ?

Plusieurs mesures simples mais efficaces peuvent réduire considérablement les risques. La première : activer le filtre des messages indésirables sur votre téléphone. Que vous utilisiez un iPhone ou un smartphone Android, cette option existe et bloque une grande partie des spams automatiques.

Ensuite, installez une application de sécurité mobile qui analyse les SMS en temps réel. Certaines, comme celle proposée par les banques ou les opérateurs télécoms, sont capables d’identifier les numéros suspects ou les liens malveillants.

Enfin, formez-vous et formez vos proches. Les seniors, en particulier, sont souvent ciblés. « Mon père a failli se faire avoir parce qu’il pensait que le message venait de sa banque », raconte Inès Lemaire, 38 ans, assistante sociale à Bordeaux. « Il a reçu un SMS disant que son compte était bloqué. Heureusement, il m’a appelée avant de cliquer. On a vérifié ensemble : c’était une arnaque. »

Que faire après avoir cliqué sur un lien frauduleux ?

Si vous avez malgré tout cliqué sur un lien ou saisi vos données bancaires, il faut agir vite. La première étape est de contacter immédiatement votre banque. Expliquez la situation, bloquez votre carte si nécessaire, et demandez une enquête sur les transactions suspectes. Dans de nombreux cas, les banques peuvent bloquer les retraits ou rembourser les sommes volées, surtout si l’alerte est rapide.

Ensuite, signalez le SMS à l’antenne nationale de lutte contre les fraudes, via le numéro 33700. Ce service, géré par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), recueille les messages frauduleux pour identifier les campagnes en cours et alerter le public.

Il est également conseillé de changer tous vos mots de passe, notamment ceux liés à vos comptes bancaires ou à vos services de livraison. Activez l’authentification à deux facteurs partout où c’est possible.

Comment les arnaques évoluent-elles ?

Les cybercriminels ne restent jamais en place. Après avoir exploité les peurs liées aux livraisons, ils s’attaquent désormais à d’autres domaines : allocations sociales, remboursements d’impôts, primes d’État. Un SMS peut prétendre venir de la CAF, annonçant un blocage de vos aides si vous ne cliquez pas sur un lien. Un autre peut évoquer un gain à un concours que vous n’avez jamais fait.

La tendance est à la personnalisation accrue. Grâce aux données volées, les escrocs peuvent même mentionner des commandes récentes, des noms d’enseignes ou des lieux de livraison. « Ils créent une illusion de contexte », souligne Lucas Moreau. « Le cerveau humain cherche des signes de cohérence. Quand un message correspond à une réalité récente, on baisse la garde. »

Quel avenir pour la lutte contre le smishing ?

Les autorités renforcent leur réponse. En 2023, une campagne nationale de sensibilisation a été lancée, avec des messages clairs : « Ne cliquez pas », « Vérifiez toujours », « Signalez ». Les opérateurs télécoms sont aussi mis sous pression pour bloquer plus efficacement les numéros sources d’arnaques.

Cependant, la bataille est loin d’être gagnée. Les escrocs changent régulièrement de numéros, de domaines et de méthodes. La seule arme fiable reste la vigilance individuelle. « Il faut apprendre à douter », insiste Élodie Rivière, aujourd’hui devenue ambassadrice d’une association de prévention. « Un message qui semble urgent n’est pas forcément vrai. Prenez 30 secondes pour vérifier. C’est souvent suffisant. »

A retenir

Quel SMS ne faut-il surtout pas répondre ?

Un SMS du type « Bonjour, vous êtes chez vous ? » peut être le début d’une arnaque au smishing. Même s’il semble anodin, il vise à engager une conversation pour ensuite envoyer un lien frauduleux. Ne répondez jamais à un message de ce genre provenant d’un numéro inconnu.

Comment signaler un SMS frauduleux ?

Transférez le message suspect au 33700. Ce numéro gratuit est géré par les autorités françaises pour recueillir les signalements de smishing et agir contre les campagnes d’escroquerie.

Peut-on récupérer son argent après une arnaque par SMS ?

Oui, dans certains cas, notamment si vous alertez rapidement votre banque. Plus la réaction est rapide, plus les chances de remboursement sont élevées. Cependant, cela dépend des politiques de chaque établissement et de la nature des transactions.

Les transporteurs utilisent-ils des numéros en 06 ou 07 ?

Non. La Poste, Chronopost, Mondial Relay ou DPD n’envoient pas de SMS depuis des numéros mobiles commençant par 06, 07 ou 09. Ces préfixes sont typiquement utilisés par les escrocs. Méfiez-vous.

Faut-il activer le filtre anti-spam sur son téléphone ?

Oui, absolument. Cette fonction, disponible sur tous les smartphones récents, bloque une grande partie des messages indésirables et réduit l’exposition aux arnaques par SMS.