La femme est assise à son poste de travail, son portable à la main et regarde son collègue.

Smishing

L’hameçonnage par SMS expliqué simplement

Vous avez reçu un SMS suspect? Dans ce guide, vous découvrirez comment fonctionne l’hameçonnage par SMS et comment vous en protéger grâce à des mesures simples.

  •  Temps de lecture: 12 minutes
  • Dernière mise à jour: juin 2026
  • 1
    Nouvelle contribution

L'essentiel en bref

  • L’hameçonnage par SMS («smishing» en anglais) est une forme d’hameçonnage par laquelle des malfrats envoient des messages texte par SMS ou par messagerie instantanée dans le but de se procurer des données d’accès ou des informations de carte de crédit ou de propager des logiciels malveillants.
  • Afin d’augmenter la crédibilité des messages, les escrocs falsifient le nom ou le numéro de l’expéditeur du SMS et se font passer pour une entreprise connue. Les messages frauduleux apparaissent alors dans l’historique des messages reçus de cette entreprise, comme s’ils avaient effectivement été envoyés par celle-ci.
  • Méfiez-vous des SMS qui vous invitent à accéder à un site Internet et ne vous fiez à aucun nom ou numéro d’expéditeur. N’entrez jamais vos informations de carte de crédit ni vos données d’accès sur un site web que vous avez ouvert en cliquant sur un lien contenu dans un message.
 Sur cette page
Qu’est-ce que l’hameçonnage par SMS?
Exemples
Assurance
Comment se protéger contre l’hameçonnage par SMS?
Questions et réponses

L’hameçonnage par SMS: qu’est-ce que c’est?

L’hameçonnage par SMS («smishing» en anglais) est une forme d’hameçonnage par laquelle des malfrats envoient de faux SMS ou messages texte via des services de messagerie afin de se procurer des données d’accès ou des informations de carte de crédit, de propager des logiciels malveillants ou d’abonner leurs victimes à des services à valeur ajoutée frauduleux.

En général, les cybercriminels volent les données d’accès et les informations de carte de crédit pour prendre le contrôle du compte e-banking, commettre une fraude à la carte de crédit ou les vendre sur le darknet. Parfois, l’arnaque consiste à amener les victimes à souscrire un abonnement piège dont les frais leur sont ensuite régulièrement imputés sur la carte de crédit ou la facture de téléphonie mobile.

Le terme «smishing» est la contraction des mots «SMS» et «phishing». La traduction française de «smishing» est hameçonnage par SMS ou par messagerie instantanée. Dans le langage courant, on parle aussi souvent d’arnaque au SMS.

Au sens étroit, l’hameçonnage par SMS se réfère uniquement aux tentatives de tromperie à des fins d’extorsion de données. Les escroqueries au moyen de messages courts qui visent un profit financier direct n’entrent pas dans cette catégorie.

Suivant le mode opératoire, l’hameçonnage par SMS peut être classé en plusieurs catégories:

Hameçonnage par connexion: les escrocs vous invitent à cliquer sur un lien menant à un faux site Internet qui ressemble à s’y méprendre au portail de connexion de votre banque ou d’un prestataire. Ils interceptent ensuite les nom d’utilisateur et mot de passe que vous saisissez afin de prendre le contrôle de votre compte.

Hameçonnage par carte de crédit: sous prétexte de modestes taxes douanières ou postales dues, les escrocs vous invitent à saisir vos données de carte de crédit, y c. chiffre de contrôle, sur une fausse page web. Ils utilisent ensuite ces données pour effectuer des achats non autorisés, ou les vendent sur le darknet.

Installation d’un maliciel: les escrocs vous envoient un SMS avec un lien vous invitant à installer une application prétendument utile ou à effectuer une mise à jour du système. En réalité, il s’agit d’un cheval de Troie. Ce logiciel malveillant peut voler des mots de passe, récupérer les contenus qui s’affichent à l’écran ou intercepter et effacer à votre insu des SMS de vérification de votre banque.

Souscription d’un abonnement piège: vous accédez à un site Internet via un lien reçu par SMS. Dès que vous cliquez sur un bouton piégé ou saisissez vos données de carte de crédit, vous souscrivez un service payant sans vous en rendre compte et dont les frais sont ensuite régulièrement imputés par petits montants sur votre décompte de communications mobiles ou sur votre carte de crédit.

Les abonnements pièges par SMS, dont le but est un débit frauduleux de la facture de portable et non le vol de données, ne sont pas considérés comme un hameçonnage par SMS au sens strict.

Attaque d’hameçonnage multicanal (SMS plus appel téléphonique): vous recevez un SMS vous demandant de rappeler un numéro sous un prétexte donné. Lorsque vous rappelez, on vous redirige vers un numéro étranger surtaxé ou vers des escrocs qui tentent de vous soutirer des données sensibles au téléphone (hameçonnage vocal ou «vishing»).

Il s’agit ici d’une forme mixte d’hameçonnage par SMS et d’hameçonnage vocal, où les malfrats utilisent à la fois un SMS et un appel téléphonique pour parvenir à leurs fins. On parle aussi d’attaque multicanal.

Selon l’Office fédéral de la cybersécurité (OFCS), le nombre de cas d’hameçonnage signalés a doublé en 2024. Dans son Rapport anti-phishing 2024, l’OFCS précise que cette augmentation est due principalement à des campagnes d’hameçonnage par SMS et par messagerie instantanée, sans toutefois en quantifier l’évolution.

En 2025, le nombre en chiffres absolus de cas d’hameçonnage annoncés est resté assez stable selon l’OFCS. Une hausse a toutefois été enregistrée pour les tentatives d’escroquerie par SMS ou par messagerie instantanée (hameçonnage par SMS) en lien avec Twint et les plateformes de petites annonces telles que Ricardo, Tutti et Facebook Marketplace. Les terminaux mobiles restent la porte d’entrée privilégiée des escrocs, car ils leur permettent de contourner les barrières de sécurité techniques des fournisseurs e-mail et éveillent moins les soupçons chez les utilisatrices et utilisateurs.

L’OFCS constate par ailleurs que les attaques deviennent plus sophistiquées et complexes et sont souvent perpétrées via plusieurs canaux différents.

Comment fonctionne l’hameçonnage par SMS?

Dans le cas d’une attaque d’hameçonnage par SMS, les escrocs imitent les SMS ou les messages instantanés que les banques ou les entreprises de livraison envoient à leur clientèle. Sous un prétexte plausible, ces SMS et messages instantanés invitent la victime à réaliser une action urgente en cliquant sur le lien indiqué, qui la redirige vers un faux site web. Celui-ci est conçu pour voler des données sensibles, propager des logiciels malveillants ou amener à souscrire un abonnement piège.

Des exemples de prétextes souvent utilisés sont notamment des taxes douanières soi-disant dues, un accusé de réception pour un paquet, la vérification des données d’accès afin d’éviter un blocage de compte, un avertissement de sécurité, une notification de gain, un remboursement d’impôts ou l’écoute d’un message vocal mis en lien.

Les e-mails d’hameçonnage sont en général assez faciles à identifier à l’aide de l’adresse de l’expéditeur, contrairement aux SMS d’hameçonnage, dans lesquels le nom ou le numéro de l’expéditeur sont souvent falsifiés afin de faire croire qu’il s’agit d’un autre expéditeur (usurpation de SMS). De tels SMS peuvent même apparaître dans l’historique de vos SMS avec le prestataire en question, ce qui en augmente la crédibilité.

Voici quelques exemples d’hameçonnage par SMS qui se sont réellement produits:

Hameçonnage par connexion: vol de données d’accès

Hameçonnage par connexion à Twint (avril 2025): peu de temps après la publication d’une annonce sur une plateforme de vente en ligne, des personnes qui se faisaient passer pour des acheteurs ont pris contact par WhatsApp ou par SMS avec la vendeuse ou le vendeur et lui ont envoyé un lien l’invitant à confirmer la réception du paiement. La page mise en lien, qui était une copie exacte de celle de la Poste Suisse, a permis aux escrocs de voler les données d’accès au compte Twint de la vendeuse ou du vendeur. En savoir plus sur les arnaques sur Twint

Hameçonnage par carte bancaire: vol de données de carte de crédit

Fausses contraventions envoyées par SMS (septembre 2025): des arnaqueurs ont utilisé des «SMS blaster» pour envoyer des SMS aux téléphones mobiles situés à proximité. Sous prétexte d’une prétendue amende de stationnement due, les victimes ont été dirigées vers une fausse page de paiement, où leurs données de carte de crédit leur ont été subtilisées.

Installation d’un logiciel malveillant sur le téléphone portable (maliciel / cheval de Troie)

Anatsa (2024-2026): Anatsa est un maliciel bancaire qui se fait passer pour une application inoffensive, par exemple un lecteur PDF, et s’installe via un lien contenu dans un SMS. Une fois téléchargé, il se procure des autorisations étendues dans le système de la victime. Dès que celle-ci ouvre une application bancaire, le cheval de Troie superpose sa propre fenêtre sur celle de l’application légitime pour voler les identifiants de la victime et effectuer des virements non autorisés en son nom.

Souscription d’un abonnement piège

Arnaques à la taxe douanière: en saisissant leurs données de carte de crédit sur un faux site web afin de s’acquitter de prétendues taxes douanières ou amendes de stationnement, des personnes ont souscrit à leur insu un abonnement payant pour un service en ligne dont les frais leur sont ensuite régulièrement débités de la carte de crédit.

Attaque d’hameçonnage multicanal

Dans ce type d'arnaque, les criminels cherchent, au moyen d’un SMS ou d’un message instantané, à provoquer un rappel téléphonique afin de soutirer des informations sensibles telles que le code d’accès à l’e-banking. Voici un exemple de SMS frauduleux:

«Alerte de sécurité: un paiement suspect de 1250 francs vient d’être autorisé. Si vous n’êtes pas à l’origine de cette autorisation, appelez immédiatement notre service de sécurité au +41 XX XXX XX XX.»

Sender ID spoofing ou SMS spoofing (usurpation d’identité par SMS): afin de rendre leur message crédible, les escrocs falsifient le nom ou le numéro de téléphone de l’expéditeur (identifiant d’expéditeur) du SMS. Le faux message peut ainsi apparaître dans l’historique de vos échanges de SMS avec l’entreprise dont l’identité a été usurpée.

Services d’URLs abrégées ou «réducteurs d’URLs»: les escrocs utilisent des services tels que Bitly ou TinyURL pour masquer l’adresse d’un lien. Le lien court dans le SMS est par exemple «https://bitly.ws/3a2Xv» et dirige vers la page d’hameçonnage suivante: «https://chpost-service-portal.top/login/index.php». Or l’adresse correcte de la Poste Suisse est «https://www.post.ch/fr».

Look-alike domains: les cyberpirates utilisent souvent des domaines similaires, aussi appelés «look-alike domains», qui ressemblent à s’y méprendre aux adresses authentiques (exemple: «swiss-post-portal.ch» au lieu de «post.ch»).

Formulaires préremplis: lorsque la victime clique sur le lien indiqué dans un SMS d’hameçonnage, elle est redirigée vers une page d’hameçonnage où se trouve un formulaire prérempli avec son nom ou son numéro de téléphone. Ces données proviennent d’une fuite de données précédente.

SMS blaster ou «false base stations»: depuis l’été 2025, on observe une hausse des cas d’arnaque où les fraudeurs utilisent de fausses stations de base, aussi appelées «SMS blaster». Ces appareils, qui se font passer pour une antenne-relais de téléphonie mobile, peuvent se connecter aux smartphones situés à proximité, puis leur envoyer de faux SMS. Cette technologie permet de contourner tous les filtres de sécurité des opérateurs mobiles authentiques.

Ingénierie sociale: l’ingénierie sociale est une manipulation psychologique au moyen de laquelle les pirates tentent de soutirer des données sensibles à leurs victimes ou de les pousser à accomplir des actes contraires à leurs intérêts en jouant sur la peur, en faisant appel à leur respect de l’autorité ou à leur compassion.

Pretexting: les auteurs d’hameçonnage ont toujours besoin d’un prétexte pour se procurer les données souhaitées. Les prétextes les plus souvent utilisés dans les cas d’hameçonnage par SMS sont un prétendu problème avec la livraison d’un paquet, un risque de blocage du compte bancaire, un remboursement d’impôts, une amende de stationnement ou autre facture due ainsi que l’expiration imminente de points de fidélité. 

Avec la cyberassurance de la Mobilière, vous jouez la carte de la sécurité.

Die Cyberversicherung der Mobiliar ist für Sie da, wenn Sie Opfer von Smishing werden. Erfahren Sie mehr zur Cyberversicherung oder berechnen Sie direkt und unverbindlich Ihre Versicherungsprämie. Entscheiden Sie danach in aller Ruhe.

La cyberassurance pour le quotidien numérique
Produit

Cyberassurance

Votre disque dur externe avec toutes les photos de famille qu'il contient n'a pas résisté au bain de coca accidentel ? La cyberassurance de La Mobilière vous aide à sauver vos données et à récupérer votre argent en cas d'escroquerie. 
Calculer la prime

Comment se protéger contre l’hameçonnage par SMS?

Ne vous fiez jamais aveuglément aux noms ou aux numéros d’expéditeur dans les SMS, car ceux-ci peuvent avoir été falsifiés. Même si un SMS apparaît dans votre historique des messages avec une organisation sérieuse, cela ne veut pas forcément dire qu’il émane de celle-ci.

Méfiez-vous des liens contenus dans des SMS ou des messages instantanés provenant de banques, d’entreprises de livraison de colis ou d’autorités. Une organisation sérieuse ne vous demandera jamais par SMS de saisir un mot de passe ou des données de carte de crédit. En cas de doute, connectez-vous via l’application ou le site Internet officiels du prestataire au lieu de cliquer sur le lien contenu dans le message.

Activez la protection anti-spam sur votre smartphone:

Android: dans votre application de messagerie, cliquez sur Paramètres > Activer protection anti-spam. La protection anti-spam déplace automatiquement tout SMS suspect dans le dossier «Spams bloqués».

iOS (iPhone): dans Réglages, cliquez sur Messages > Inconnu & spam, puis activez l’option «Filtrer les expéditeurs inconnus». Les messages provenant de numéros qui ne sont pas enregistrés dans vos contacts sont alors classés dans un onglet séparé et tous les liens qu’ils contiennent, désactivés.

Pour l’authentification à deux facteurs (2FA), utilisez les applications comme Google Authenticator ou Microsoft Authenticator plutôt que la vérification par SMS. Contrairement aux SMS, les codes générés par ces applications ne peuvent en général pas être interceptés par un maliciel installé sur votre téléphone portable.

Vous trouverez des informations sur les faux SMS et autres cas de cybercriminalité actuels sur les sites Internet suivants: Cybercrimepolice.ch, Verbraucherzentrale.de et Office fédéral de la cybersécurité (OFCS).

N’entrez jamais votre mot de passe ou code NIP sur une page web que vous avez ouverte en cliquant sur un lien reçu par SMS. Utilisez toujours l’application officielle du prestataire ou saisissez directement l’adresse connue, par exemple «raiffeisen.ch», dans votre navigateur.

Ne transmettez jamais un code de vérification reçu par SMS ou par messagerie instantanée, même si c’est un prétendu contact qui vous le demande. Le smartphone ou la messagerie instantanée de votre contact a peut-être été piraté.

Une icône cadenas indique simplement que la connexion est chiffrée. Mais il pourrait aussi s’agir d’une connexion chiffrée vers un site web frauduleux. Les indices suivants dans la ligne d’adresse suggèrent souvent qu’il s’agit d’un faux site Internet: extensions suspectes comme «.top», «.xyz», «.online», «.info» ou «.site» au lieu de «.ch» et noms de domaine modifiés tels que «post-service-schweiz.ch».

En cas de site Internet douteux, vérifiez si les liens mis en ligne pour changer la langue, consulter les mentions légales ou les CG fonctionnent. S’ils vous redirigent vers la page précédente ou ne fonctionnent pas, il est possible qu’il s’agisse d’un faux site Internet.

Téléchargez toujours les applications depuis le Google Play Store ou l’Apple App Store officiel. N’installez jamais un fichier auquel vous avez accédé via un lien reçu dans un SMS.

Assurez-vous que l’option «Installation depuis des sources inconnues» est désactivée dans les réglages de votre smartphone. Effectuez régulièrement des mises à jour de sécurité de votre système d’exploitation afin de combler les lacunes. Méfiez-vous tout particulièrement lorsqu’une application, une fois installée, vous demande des autorisations inhabituelles, par exemple pour les fonctions d’accessibilité ou les SMS.

Les indices typiques d’une infection de votre smartphone par un programme malveillant sont:

  • une soudaine et forte hausse de la consommation de la batterie ou un dégagement de chaleur inhabituel lorsque vous n’utilisez pas votre téléphone portable,
  • l’envoi de SMS à vos contacts sans que vous n’en soyez à l’origine,
  • la désactivation soudaine d’applications de sécurité,
  • l’arrêt de l’application SMS ou le scintillement de l’écran à l’ouverture de l’application d’e-banking ou d’une application de réseaux sociaux.

Si, à la suite d’une attaque par hameçonnage, votre carte de crédit est débitée de prétendues taxes douanières ou amendes de stationnement par exemple, bloquez-la immédiatement pour empêcher d’autres prélèvements. Et ce, surtout si un montant modeste a été débité.

Désactivez les services à valeur ajoutée ainsi que ceux de prestataires tiers sur le portail clients de votre opérateur mobile. Vous éviterez ainsi toute facturation indésirable sur votre décompte de téléphonie mobile. La prudence est particulièrement de mise lorsqu’on vous demande d’indiquer votre numéro de téléphone sur un site Internet. Il s’agit souvent d’un stratagème utilisé par les escrocs pour obtenir votre consentement à un abonnement.

S’il est déjà trop tard, envoyez un SMS avec le texte «STOP ALL» au numéro court de trois à cinq chiffres du service en question. Ce numéro figure soit dans l’expéditeur du SMS avec lequel les coûts ont été confirmés, soit sous la rubrique «Services à valeur ajoutée» ou «Prestataires tiers» du décompte détaillé de votre facture de téléphonie mobile. En outre, il est recommandé de désactiver les services à valeur ajoutée ainsi que ceux de prestataires tiers dans le compte client de votre opérateur mobile.

Si vous contestez les frais d’un abonnement piège auprès de votre opérateur mobile, celui-ci vous redirigera certainement vers la société à l’origine dudit abonnement. Si celle-ci refuse de vous rembourser, voire ne réagit pas, vous pouvez ouvrir une procédure de conciliation auprès d’Ombudscom. Peu onéreuse, voire souvent gratuite, cette procédure connaît une issue favorable dans la plupart des cas d’abonnement piège selon Ombudscom.

Questions et réponses

Si vous avez saisi des données de connexion ou des informations de carte de crédit, modifiez votre mot de passe ou faites immédiatement bloquer votre carte. Vous pouvez le faire via l’application de votre institut financier ou en téléphonant au numéro d’urgence figurant sur le verso de la carte. Si vous soupçonnez que les malfrats ont déjà accédé à votre compte en ligne, faites aussi bloquer celui-ci le plus rapidement possible. Vous trouverez plus d’informations à ce sujet dans le guide «Au secours, ai-je été piraté?».

Si vous avez installé une application sur votre smartphone, activez immédiatement le mode avion et réinitialisez les paramètres d’usine afin de supprimer le maliciel. Attention: il est possible que cela entraîne la perte de données enregistrées dans la mémoire locale de votre smartphone. Si vous faites une sauvegarde avant la réinitialisation, il se peut que vous sauvegardiez aussi le cheval de Troie.

En cas de doute, adressez-vous à un spécialiste en informatique. Si vous avez souscrit une cyberassurance de la Mobilière, vous pouvez appeler l’assistance au 00800 16 16 16 16.

Sur Antiphishing.ch, signalez le site web à partir duquel vous avez téléchargé un cheval de Troie afin que celui-ci puisse être fermé le plus rapidement possible. Si vous avez subi un préjudice financier, déclarez la tentative d’hameçonnage par SMS à la police.

Tant que vous n’ouvrez que le lien, sans introduire de données, il ne se passe généralement rien. Il suffit de fermer le navigateur Internet et d’informer votre opérateur de téléphonie mobile ou l’Office fédéral de la cybersécurité (voir aussi réponse à la question suivante).

Si, par contre, vous avez déjà saisi des données d’accès ou des informations de carte de crédit, demandez immédiatement le blocage de la carte concernée ou modifiez le mot de passe. Assurez-vous aussi que l’authentification à deux facteurs (2FA) est activée pour le compte concerné.

Au moindre indice laissant supposer que les malfrats ont pris le contrôle de votre compte en ligne, faites bloquer celui-ci. Vous trouverez plus d’informations à ce sujet dans le guide «Au secours, ai-je été piraté?».

En tant que cliente ou client de Sunrise, Yallo, Lebara, Digital Republic et Aldi Suisse Mobile, vous pouvez copier le SMS d’hameçonnage et l’envoyer au numéro 7726. Chez tous les autres opérateurs mobiles, vous pouvez signaler le cas en ligne à l’Office fédéral de la cybersécurité (OFCS) en envoyant une capture d’écran du message.

S’il s’agit d’un cas de cyberescroquerie assuré et que la protection juridique ne parvient pas à récupérer l’argent, la cyberassurance examine la possibilité d’une indemnisation pouvant aller jusqu’à 20 000 francs. Plus d’infos sur la cyberassurance de la Mobilière

Ne sont généralement pas couverts les cas d’arnaque au sentiment, d’escroquerie aux placements en ligne, d’arnaque au prétendu neveu, d’usurpation d’une fonction, d’arnaque au faux support informatique ainsi que tous les types d’escroquerie où des cartes de crédit ou des appareils sont volés.

Le terme générique hameçonnage désigne les tentatives de tromperie au moyen de messages et de faux sites web visant à extorquer des données sensibles.

L’hameçonnage par SMS est une forme particulière d’hameçonnage par laquelle les malfrats envoient des messages courts par SMS ou via des services de messagerie instantanée tels que WhatsApp ou Telegram.

L’hameçonnage vocal («voice phishing» ou «vishing» en anglais) est une autre forme particulière d’hameçonnage, où les escrocs utilisent l’appel téléphonique ou le message vocal pour parvenir à leurs fins.

La cyberassurance vous intéresse?

Calculateur de primes

Calculer la prime sans engagement

Conseil personnalisé

Demander un conseil
Ce guide vous a-t-il été utile?

Thèmes apparentés

Les guides suivants pourraient également vous intéresser.

Person bedient einen Laptop auf dem Tisch. Daneben liegen ein Stapel Papier und eine Tasse Kaffee.
Guide

Le phishing, qu’est-ce que c’est?

Découvrez comment fonctionne l’hameçonnage et comment vous en protéger efficacement.
Vishing: un homme au téléphone portable, symbole du hameçonnage vocal
Guide

Vishing: qu'est-ce que l’hameçonnage vocal?

Qu’entend-on par «hameçonnage vocal»? Comment fonctionne l’hameçonnage vocal et comment s’en protéger?
Arnaques sur Twint
Guide

Comment fonctionne une arnaque sur Twint?

Notre guide vous donne un aperçu des différents types d’arnaques sur Twint et vous explique comment vous en prémunir.
Junger Mann im Zug, hält sein Smartphone in der Hand. Er ist zufrieden.
Guide

Comment reconnaître une tentative d’hameçonnage?

Comment identifier un e-mail d’hameçonnage, que faire et comment réagir correctement si vous êtes victime d’un e-mail frauduleux.
Identifier une escroquerie sur Internet – exemple d’un e-mail d’hameçonnage
Guide

Identifier une escroquerie sur Internet et agir correctement

Découvrez à quoi ressemble l'escroquerie sur Internet, comment vous en protéger et ce qu'il faut faire en cas de fraude.