Arnaques SMS (smishing) : Colis, CPF, Amende… Comment les repérer à coup sûr en 2026 ?

Je parie que ça vient de vous arriver. Votre téléphone a vibré. Une notification brève, un coup d’œil rapide : “Colis en attente“, “Amende impayée“, “Droits CPF expirés“. Votre rythme cardiaque s’est peut-être légèrement accéléré. C’est normal, c’est biologique. C’est exactement ce que les cybercriminels recherchent : court-circuiter votre raison par l’émotion.

En tant qu’expert en sécurité numérique, je vois passer des centaines de ces tentatives chaque année. En 2026, le “Smishing” (phishing par SMS) n’est plus l’œuvre d’amateurs envoyant des messages bourrés de fautes. C’est une industrie organisée, techniquement redoutable, qui exploite nos moindres failles psychologiques. Mais rassurez-vous : derrière l’écran de fumée, la mécanique reste grossière pour qui sait regarder.

Aujourd’hui, je ne vais pas seulement vous dire de “faire attention”. Je vais vous donner les clés techniques pour démonter ces pièges, un par un, comme nous le faisons en laboratoire d’analyse.

Le diagnostic immédiat : le test des 3 secondes

Vous n’avez pas de temps à perdre ? Voici la méthode radicale pour trier le vrai du faux avant même de déverrouiller votre écran. Si le message cumule ces trois facteurs, je vous le garantis à 99,9 % : c’est une arnaque.

• L’émetteur est un mobile : Le message prétend venir de l’Assurance Maladie, de Chronopost ou de la Gendarmerie, mais le numéro commence par 06, 07 ou +33 6. C’est l’indice absolu.
• L’urgence artificielle (FOMO) : On vous menace (“majoration”, “suppression de compte”) ou on vous presse (“sous 24h”, “dernier rappel”). Une administration ne gère jamais ses dossiers par ultimatum SMS.
• L’URL douteuse : Le lien ne finit pas strictement par .gouv.fr ou le domaine officiel de la marque (ex : chronopost.fr). Si vous voyez antai-dossier-info.com, fuyez.

ALERTE ROUGE DE L’EXPERT : Gravez ceci dans votre mémoire. L’ANTAI (Agence Nationale de Traitement Automatisé des Infractions) n’envoie JAMAIS de SMS pour réclamer un paiement. Jamais. De même, vos droits CPF sont acquis à vie : ils n’expirent JAMAIS tant que vous êtes actif. Tout message affirmant le contraire est un mensonge.

Analyse technique d’un faux SMS : l’envers du décor

Pourquoi est-ce si difficile de repérer ces arnaques ? Parce qu’elles sont conçues pour imiter la réalité à la perfection. Mais en informatique, le diable se cache dans les métadonnées. Analysons ensemble l’anatomie d’une attaque pour comprendre pourquoi vous êtes ciblé.

1. Le “Spoofing” imparfait : pourquoi des 06 et des 07?

Vous vous êtes sûrement demandé : “Pourquoi Chronopost m’écrirait avec le numéro perso de quelqu’un ?” La réponse est technique et économique.

Les grandes entreprises utilisent des numéros courts à 5 chiffres pour leurs notifications automatisées (A2P). Les escrocs, eux, utilisent des “Simbox” (des fermes de cartes SIM) ou des téléphones infectés par des virus pour envoyer des milliers de SMS à moindre coût via des forfaits grand public illimités.

C’est pour cela que je suis catégorique : une institution n’utilise pas de 06. Si vous voyez un numéro mobile pour une démarche officielle, c’est une anomalie technique majeure.

2. L’obfuscation d’URL : le piège visuel

Le lien est l’arme du crime. En 2026, le cadenas vert (HTTPS) ne veut plus rien dire : n’importe quel escroc peut obtenir un certificat de sécurité gratuit en quelques secondes. Ce que vous devez regarder, c’est la racine du domaine.

Les attaquants utilisent le typosquatting. Ils achètent des noms de domaine qui ressemblent visuellement à l’officiel, mais avec une extension différente ou un tiret en trop.

Exemple : mon-compte-formation.info au lieu de moncompteformation.gouv.fr

Pour un œil non averti, la différence est minime. Pour un serveur DNS, ce sont deux mondes différents.

Les 3 scénarios phares de 2026 décryptés

Les cybercriminels ne réinventent pas la roue, ils suivent des “scripts” saisonniers. Voici les trois campagnes massives qui saturent les réseaux français cette année.

L’arnaque au colis (Chronopost, La Poste)

Le scénario : “Votre colis ne rentrait pas dans la boîte aux lettres” ou “Frais d’affranchissement insuffisants (1,99 €)“.

L’analyse : C’est du génie social pur. Avec l’explosion du e-commerce, nous attendons presque tous un colis. L’arnaque joue sur la frustration de la livraison ratée. Mais réfléchissez : un livreur ne vous envoie jamais de lien de paiement par SMS. S’il y a un problème, il laisse un avis de passage papier ou met à jour le suivi officiel.

L’action réflexe : Ne cliquez pas. Copiez le numéro de colis (si donné) et collez-le manuellement dans l’application officielle du transporteur ou sur leur site web. C’est la seule source de vérité.

L’arnaque à la fausse amende (ANTAI)

Le scénario : “Info ANTAI : Dossier de contravention n°2910 en attente. Payez 35 € pour éviter la majoration de 135 €.”

L’analyse : Ici, on joue sur la peur du gendarme. Le but n’est pas seulement de vous voler 35 €, mais de récupérer l’intégralité de vos données (Nom, adresse, numéro de carte, et parfois numéro de permis). C’est ce qu’on appelle un “Fullz” sur le Dark Web : un pack complet d’identité prêt à être revendu.

La réalité technique : L’État communique par courrier postal (la lettre verte). Le seul site de paiement légitime est amendes.gouv.fr. Tout le reste est une façade.

L’arnaque au Compte Personnel de Formation (CPF)

Le scénario : “Dernier rappel : vos droits CPF vont expirer.”

L’analyse : Depuis l’interdiction du démarchage téléphonique, les escrocs se sont rabattus sur le SMS. L’objectif est de voler vos identifiants France Connect pour siphonner votre cagnotte de formation via des sociétés fantômes.

La vérité : Je le répète, l’urgence est un mensonge. Vos droits ne périment pas.

La boîte à outils de vérification : devenez proactif

Ne subissez plus le doute. Adoptez une posture de “Zéro Confiance” avec ces outils simples :

• Le Reverse Lookup (recherche inversée) : Copiez le numéro suspect et collez-le dans Google ou sur un site comme Signal-Arnaques. Si c’est une arnaque, d’autres victimes l’auront probablement déjà signalé.
• L’analyseur de lien (sans cliquer) : Vous avez un doute sur un lien ? Ne l’ouvrez pas sur votre mobile. Copiez-le et, si vous êtes sur ordinateur, utilisez un service gratuit comme VirusTotal pour scanner l’URL.
• L’authentification à double facteur (2FA) : C’est votre ceinture de sécurité. Activez-la partout (Banque, Amazon, CPF, Google). Même si un pirate vole votre mot de passe via un faux site, il ne pourra rien faire sans le code temporaire généré par votre téléphone.

Que faire si j’ai cliqué ou payé ? (Gestion de crise)

Ça arrive, même aux meilleurs. La fatigue, le stress… Si vous avez mordu à l’hameçon, ne paniquez pas, agissez froidement et vite :

1. Faites opposition immédiatement : Appelez votre banque. Si vous avez rentré vos numéros de carte, elle est compromise.
2. Sécurisez vos accès : Si vous avez entré un mot de passe, changez-le immédiatement partout où vous l’utilisez.
3. Signalez : Transférez le SMS frauduleux au 33700 (c’est gratuit et cela aide à bloquer les numéros). Signalez le site web sur la plateforme PHAROS.
4. Portez plainte en ligne : Pour les e-escroqueries, plus besoin d’aller au commissariat. Utilisez la plateforme officielle THESEE.

FAQ : Vos questions fréquentes

L’ANTAI peut-elle envoyer des SMS ?

Non, jamais pour réclamer un paiement. L’ANTAI envoie parfois des SMS de rappel pour un rendez-vous ou une information, mais jamais avec un lien de paiement direct. En cas de doute, allez toujours manuellement sur amendes.gouv.fr.

Comment savoir si un SMS de Chronopost est vrai ?

Regardez l’expéditeur. Un vrai message viendra souvent d’un nom affiché comme “CHRONOPOST” ou d’un numéro court. S’il vient d’un 06/07, c’est un faux. Surtout, vérifiez le numéro de suivi sur le site officiel.

Est-ce dangereux de cliquer sur le lien sans rien remplir ?

C’est risqué. Même sans remplir le formulaire, cliquer confirme aux escrocs que votre numéro de téléphone est actif (ce qui vous vaudra plus de spam) et peut, dans certains cas plus rares, tenter d’installer un logiciel malveillant sur votre téléphone Android.

La vigilance est la meilleure des protections antivirus. Partagez cet article autour de vous : chaque personne informée est une cible en moins pour ces réseaux criminels.