
Smishing : pourquoi vos clients ne font plus confiance aux SMS

Temps de lecture : 15 min
Le SMS est devenu un canal essentiel de la relation client. Confirmation de commande, suivi de livraison, rappel de rendez-vous, code d’authentification, alerte de sécurité ou offre promotionnelle : les marques l’utilisent pour transmettre rapidement une information qui sera généralement consultée sur un téléphone mobile.
Cette proximité constitue également sa principale faiblesse. Parce qu’un SMS paraît direct, personnel et parfois urgent, il offre aux fraudeurs un environnement particulièrement favorable. Le smishing, contraction de SMS et de phishing, détourne les codes des communications légitimes pour voler des informations, prendre le contrôle d’un compte ou provoquer un paiement frauduleux.
Au-delà de la cybersécurité, le phénomène représente un véritable enjeu martech. Il affecte la confiance accordée aux messages, la réputation des expéditeurs, les performances des campagnes et, plus largement, la qualité de la relation entre une marque et ses clients.
Qu’est-ce que le smishing ?
Le smishing est une technique d’hameçonnage diffusée par SMS ou par l’intermédiaire d’une messagerie mobile. Un fraudeur se fait passer pour une organisation connue afin d’inciter le destinataire à réaliser une action dangereuse.
Le message peut chercher à obtenir :
- des identifiants de connexion ;
- un mot de passe ;
- un numéro de carte bancaire ;
- un code d’authentification à usage unique ;
- des informations personnelles ;
- un paiement ;
- l’installation d’une application malveillante.
Cybermalveillance.gouv.fr définit le smishing comme l’envoi d’un message court sous une fausse identité et un faux prétexte, destiné à pousser la victime à communiquer des informations personnelles, bancaires ou des identifiants de connexion. (cybermalveillance.gouv.fr)
Le smishing appartient donc à la famille du phishing. Ce qui le distingue n’est pas nécessairement la méthode de fraude employée, mais le canal utilisé pour établir le premier contact avec la victime.
Une attaque fondée sur l’ingénierie sociale
Le smishing exploite rarement une vulnérabilité technique du téléphone. Son efficacité repose principalement sur l’ingénierie sociale, c’est-à-dire sur la manipulation du comportement humain.
Le fraudeur cherche à créer une situation dans laquelle le destinataire agit avant de réfléchir. Le message lui donne l’impression qu’un événement important vient de se produire et qu’une réponse immédiate est nécessaire.
Les scénarios les plus courants concernent notamment :
- un colis qui ne pourrait pas être livré ;
- un paiement inhabituel ou refusé ;
- un compte qui serait sur le point d’être suspendu ;
- une carte bancaire prétendument bloquée ;
- un péage, une facture ou une amende impayée ;
- un remboursement à réclamer ;
- un renouvellement d’abonnement ;
- une offre d’emploi ;
- un cadeau ou une récompense à récupérer.

Ces prétextes évoluent en fonction de l’actualité, des habitudes de consommation et des périodes commerciales. Une campagne peut ainsi être adaptée aux soldes, aux fêtes de fin d’année, à une période de déclaration fiscale ou à une campagne de livraison massive.
En France, Cybermalveillance.gouv.fr a également observé des SMS volontairement anodins, comme « Bonjour, vous êtes chez vous ? ». L’objectif est d’obtenir une première réponse afin d’engager la conversation ou de contourner certains mécanismes qui désactivent les liens provenant de numéros inconnus.
Le déroulement typique d’une attaque
Une attaque de smishing commence généralement par un message qui semble provenir d’une entreprise, d’une administration, d’une banque ou d’un service connu.
Le SMS contient ensuite une demande d’action. Il peut inviter le destinataire à cliquer sur un lien, répondre au message, appeler un numéro ou installer une application.
Lorsqu’un lien est utilisé, il dirige souvent vers un site qui imite l’identité visuelle de l’organisation usurpée. Logo, couleurs, typographie, formulaire de connexion et mentions rassurantes sont reproduits afin de rendre la fraude crédible.
Le faux site peut demander successivement plusieurs informations :
- l’identité et les coordonnées du client ;
- ses identifiants de connexion ;
- ses informations bancaires ;
- un code reçu par SMS ;
- la validation d’une prétendue opération de sécurité.
Cette progression permet au fraudeur de récupérer suffisamment de données pour accéder à un compte, effectuer une transaction ou préparer une seconde phase de l’attaque.
Le SMS peut également être suivi d’un appel téléphonique. Un faux conseiller prétend alors intervenir pour sécuriser le compte de la victime. Le smishing se combine dans ce cas avec le vishing, ou hameçonnage vocal.
Pourquoi le SMS inspire-t-il encore confiance ?
Le courrier électronique est depuis longtemps associé au spam et au phishing. Les internautes ont appris à se méfier des pièces jointes, des expéditeurs inconnus et des messages promettant des gains improbables.
Le SMS conserve une perception différente. Il est souvent associé à une communication plus personnelle, à un événement réel ou à une action récente. Il bénéficie également d’une forte visibilité : le message apparaît directement sur l’écran verrouillé et peut déclencher une notification immédiate.
Plusieurs caractéristiques renforcent son efficacité pour les fraudeurs.
Une lecture rapide
Le message est généralement lu en quelques secondes, dans un contexte de mobilité ou d’attention partagée. Le destinataire peut être dans les transports, au travail ou en train d’effectuer une autre tâche.
Il vérifie alors moins attentivement l’adresse du site, le numéro de l’expéditeur ou la cohérence de la demande.
Un écran de petite taille
L’écran mobile ne permet pas toujours d’afficher l’intégralité d’une URL. Les différences entre un domaine officiel et un domaine trompeur deviennent plus difficiles à repérer.
Un fraudeur peut, par exemple, utiliser un nom de domaine contenant le nom de la marque, accompagné de mots rassurants comme secure, client, validation ou support.
Une identification imparfaite de l’expéditeur
Un SMS classique affiche principalement un numéro ou un identifiant alphanumérique. Pour l’utilisateur, il peut être difficile de savoir si cet identifiant correspond réellement à une entreprise autorisée.
La GSMA souligne que cette identification limitée rend la distinction entre une communication officielle et un message frauduleux difficile pour les clients. (GSMA)
Une culture de l’immédiateté
Les messages transactionnels ont habitué les consommateurs à agir rapidement : valider une connexion, confirmer un rendez-vous, suivre une livraison ou utiliser un code temporaire.
Les fraudeurs reprennent cette logique afin de transformer une habitude utile en réflexe exploitable.
Les ressorts psychologiques du smishing
Le smishing fonctionne parce qu’il met en scène une émotion suffisamment forte pour interrompre le raisonnement normal du destinataire.
- L’urgence lui fait croire qu’il ne dispose que de quelques minutes pour agir.
- La peur est utilisée pour évoquer une fraude bancaire, un blocage de compte, une sanction ou une dette.
- L’autorité repose sur l’usurpation d’une banque, d’une administration, d’un opérateur ou d’un employeur.
- La curiosité peut être stimulée par un message incomplet : une photo reçue, un paiement inconnu ou une demande formulée sans contexte.
- La récompense prend la forme d’un cadeau, d’un remboursement, d’un emploi ou d’une promotion.
- Enfin, la familiarité est obtenue en reproduisant le vocabulaire et les habitudes de communication d’une marque connue.
L’objectif est toujours le même : réduire le temps disponible entre la lecture du message et l’action du destinataire.

Une menace dont les conséquences sont bien réelles
Les pertes liées aux escroqueries par SMS sont difficiles à mesurer, car toutes les victimes ne les signalent pas. Les données disponibles montrent néanmoins que leur impact économique peut être considérable.
Aux États-Unis, la Federal Trade Commission a enregistré 470 millions de dollars de pertes déclarées en 2024 pour des escroqueries ayant commencé par un SMS. Ce montant était plus de cinq fois supérieur à celui déclaré en 2020, alors même que le nombre de signalements avait diminué. (Federal Trade Commission)
Les faux messages bancaires, les problèmes fictifs de livraison, les offres d’emploi frauduleuses et les demandes de paiement de péage figurent parmi les scénarios régulièrement observés. (Federal Trade Commission)
La perte financière immédiate n’est cependant qu’une conséquence possible. Une attaque peut également entraîner :
- le piratage d’un compte client ;
- une usurpation d’identité ;
- le vol d’une base de contacts ;
- la compromission d’une messagerie ;
- l’installation d’un logiciel malveillant ;
- le détournement d’un numéro de téléphone ;
- la réutilisation des informations dans d’autres fraudes.
Les données récupérées lors d’une première attaque peuvent être enrichies et revendues. Une victime ayant simplement communiqué son nom, son numéro de téléphone et sa banque peut ensuite recevoir un message beaucoup plus personnalisé.
Pourquoi le smishing est-il un sujet martech ?
Le smishing se situe à la frontière de la cybersécurité, du marketing mobile, de la gouvernance des données et de l’expérience client.
Une entreprise peut parfaitement sécuriser son infrastructure tout en subissant les effets d’une campagne frauduleuse menée en son nom. Le fraudeur n’a pas nécessairement besoin de pirater la marque : il lui suffit d’en imiter l’identité.
Cette usurpation produit plusieurs effets.
Une dégradation de la confiance
Lorsqu’un consommateur reçoit régulièrement de faux messages attribués à une banque, un transporteur ou une plateforme, il devient naturellement plus méfiant.
Cette prudence peut ensuite s’étendre aux véritables communications de la marque. Même un SMS légitime peut être ignoré, supprimé ou signalé.
Une baisse des performances marketing
La méfiance peut réduire le taux de clic et le taux de conversion des campagnes. Elle peut également limiter l’efficacité des messages transactionnels, notamment lorsque le client refuse de suivre un lien pourtant nécessaire.
Le smishing crée ainsi une dette de confiance : les entreprises doivent consacrer davantage d’efforts à prouver l’authenticité de leurs propres communications.
Une augmentation des sollicitations du service client
Les clients confrontés à un message suspect peuvent contacter le support pour vérifier son origine. Une campagne de fraude importante peut donc entraîner une hausse soudaine des appels, des e-mails et des conversations avec les conseillers.
Les équipes doivent être capables d’identifier rapidement la campagne, de répondre de manière cohérente et d’expliquer la procédure à suivre.
Un risque pour la réputation de la marque
La victime ne distingue pas toujours la responsabilité du fraudeur de celle de l’entreprise imitée. Elle peut considérer que la marque n’a pas suffisamment protégé son identité, ses données ou ses canaux de communication.
La réputation peut donc être affectée même lorsque l’entreprise n’a subi aucune intrusion directe.
Les liens courts au cœur du problème de confiance
Les liens raccourcis présentent un intérêt évident dans un SMS : ils limitent le nombre de caractères, simplifient la mise en page et permettent souvent de mesurer les clics.
Ils ont cependant un défaut majeur : ils masquent la destination réelle du lien.
Un raccourcisseur public et générique ne permet pas au destinataire de savoir immédiatement si le site appartient à la marque. Or cette incertitude reproduit l’une des caractéristiques les plus courantes du smishing.
Cela ne signifie pas que tous les liens courts doivent être interdits. Une marque peut utiliser un domaine court personnalisé, clairement rattaché à son identité et réservé à ses campagnes. Le bénéfice est double : la mesure reste possible, tandis que le destinataire dispose d’un signal de reconnaissance supplémentaire.
Le domaine doit néanmoins être cohérent, stable et utilisé de manière régulière. Multiplier les domaines de suivi, les redirections ou les prestataires rend la communication plus difficile à vérifier.
Encart — Les bonnes pratiques pour des campagnes SMS dignes de confiance
Marketing SMS et confiance
Les bonnes pratiques pour des campagnes SMS rassurantes
Un SMS performant doit permettre au destinataire d’identifier immédiatement qui lui écrit, pourquoi il reçoit le message et comment en vérifier l’authenticité.
Identifier clairement la marque
Faites apparaître le nom de l’organisation dès le début du SMS. Ne comptez pas uniquement sur le nom d’expéditeur affiché par le téléphone.
Rappeler le contexte
Expliquez pourquoi le message est envoyé : commande, rendez-vous, inscription ou demande initiée par le client. Évitez les alertes vagues et anxiogènes.
Utiliser un domaine reconnaissable
Privilégiez le domaine officiel de la marque ou un domaine court personnalisé. Les raccourcisseurs publics masquent la destination et peuvent inspirer de la méfiance.
Ne jamais demander de données sensibles
Aucun SMS ne devrait demander un mot de passe, un cryptogramme, un numéro de carte complet ou la communication d’un code d’authentification à un conseiller.
Proposer une vérification indépendante
Pour une opération sensible, invitez le client à ouvrir directement l’application officielle ou à se connecter à son espace habituel.
Conserver une cohérence éditoriale
Stabilisez le ton, la signature, les domaines et la structure des messages. Cette régularité aide les clients à reconnaître les communications légitimes.
Prévoir un canal de signalement
Indiquez dans votre centre d’aide comment vérifier un SMS et où transmettre un message suspect utilisant le nom de votre marque.
Tester la confiance autant que le clic
Une variante générant légèrement moins de clics peut être préférable si elle protège mieux la confiance et la relation client à long terme.
La règle des trois questions : le client doit pouvoir déterminer immédiatement qui lui écrit, pourquoi il reçoit le message et comment il peut en vérifier l’authenticité sans prendre de risque.
RCS et expéditeurs vérifiés : une partie de la réponse
Le RCS, ou Rich Communication Services, permet aux entreprises d’enrichir les conversations mobiles avec des images, des boutons, une identité visuelle et, dans certains environnements, un expéditeur vérifié.
Cette vérification peut faciliter l’identification des communications officielles. La GSMA présente d’ailleurs la vérification de l’expéditeur comme l’un des mécanismes permettant de prouver l’identité d’une marque dans les messages professionnels RCS.
Le RCS ne supprime toutefois pas tous les risques. Une interface plus riche peut également devenir très persuasive lorsqu’elle est détournée. La sécurité doit donc reposer sur plusieurs couches : vérification de l’expéditeur, contrôle des domaines, surveillance des campagnes, pédagogie des clients et procédures de réaction.
Intelligence artificielle : une menace et un moyen de défense
L’intelligence artificielle générative permet aux fraudeurs de rédiger rapidement des messages crédibles, sans faute apparente et adaptés à différentes langues.
Elle facilite également la création de nombreuses variantes d’une même campagne. Les messages peuvent être modifiés afin de contourner les filtres basés sur des mots-clés ou des modèles connus.
Lorsqu’elle est associée à des données compromises, l’IA peut contribuer à personnaliser les attaques : nom de la personne, employeur, banque supposée, fournisseur ou événement récent.
Dans le même temps, les opérateurs et les éditeurs de sécurité utilisent l’intelligence artificielle pour analyser les volumes d’envoi, les comportements des expéditeurs et les liens présents dans les messages. Certaines solutions comparent notamment les URL reçues avec des bases de domaines malveillants afin d’avertir les utilisateurs.
La lutte contre le smishing devient ainsi une confrontation entre industrialisation de la fraude et automatisation de la détection.
Comment reconnaître un SMS potentiellement frauduleux ?
Aucun indice pris isolément ne permet de conclure avec certitude qu’un message est frauduleux. En revanche, la combinaison de plusieurs signaux doit inciter à la prudence.
Un message est particulièrement suspect lorsqu’il :
- annonce une situation inattendue ;
- exige une réaction immédiate ;
- menace d’une sanction ;
- demande des informations confidentielles ;
- utilise un lien dont le domaine est difficile à identifier ;
- invite à installer une application en dehors d’une boutique officielle ;
- demande de communiquer un code à un conseiller ;
- contient une opération que le destinataire n’a jamais initiée.
L’absence de faute d’orthographe ne garantit pas l’authenticité du message. Les campagnes actuelles peuvent être correctement rédigées et reproduire précisément le ton d’une organisation.
De même, le nom affiché comme expéditeur ne doit pas être considéré comme une preuve absolue.
Comment réagir à un SMS suspect ?
Le destinataire ne doit ni cliquer sur le lien ni répondre au message. Il ne doit pas non plus appeler le numéro indiqué dans le SMS.
Pour effectuer une vérification, il est préférable d’utiliser l’application officielle, de saisir soi-même l’adresse connue du site ou de contacter l’organisation à partir de coordonnées obtenues indépendamment.
En France, les SMS et MMS suspects peuvent être transférés ou signalés au 33700, un service gratuit consacré à la lutte contre les messages indésirables et frauduleux.
Une capture d’écran du message, du numéro d’expéditeur et du site de destination peut être conservée comme élément de preuve.
Que faire après avoir cliqué ?
Un clic ne signifie pas automatiquement que le téléphone ou le compte est compromis. Les mesures à prendre dépendent de l’action réalisée.
Lorsque des identifiants ont été saisis, le mot de passe concerné doit être changé immédiatement depuis un appareil sûr. Les autres comptes utilisant le même mot de passe doivent également être protégés.
Lorsque des données bancaires ont été communiquées, la banque doit être contactée sans délai au moyen de ses coordonnées officielles. Une opposition et une surveillance renforcée des opérations peuvent être nécessaires.
Lorsqu’un code de sécurité a été transmis, le compte associé doit être considéré comme potentiellement compromis.
Si une application a été installée, elle doit être supprimée et le terminal contrôlé. Dans un environnement professionnel, l’incident doit être signalé immédiatement à l’équipe informatique ou de sécurité, même si aucune conséquence n’est encore visible.
Vers une gouvernance de la confiance mobile
La lutte contre le smishing ne peut pas reposer uniquement sur la vigilance des utilisateurs. Elle nécessite une coopération entre opérateurs télécoms, plateformes de messagerie, annonceurs, prestataires martech, institutions financières et pouvoirs publics.
Les opérateurs développent des mécanismes de détection du spam, d’analyse des liens et de lutte contre l’usurpation des identifiants d’expéditeur. La GSMA rappelle cependant que la prévention des escroqueries exige une responsabilité partagée dans l’ensemble de l’écosystème numérique.
Les marques ont elles aussi un rôle à jouer. En standardisant leurs domaines, en limitant les liens opaques, en expliquant leurs pratiques et en facilitant le signalement, elles rendent les tentatives d’imitation plus visibles.
En conclusion
Le smishing détourne un canal conçu pour simplifier et accélérer la communication. En imitant les messages transactionnels, les alertes de sécurité et les campagnes commerciales, les fraudeurs exploitent les habitudes que les marques ont elles-mêmes contribué à installer.
Pour les professionnels du marketing et de la relation client, l’enjeu dépasse donc la détection des fraudes. Il s’agit de préserver la capacité du SMS à rester un canal utile et crédible.
Une campagne performante ne devrait pas seulement chercher à obtenir un clic. Elle devrait permettre au destinataire d’identifier clairement l’expéditeur, de comprendre le contexte du message et de vérifier son authenticité sans prendre de risque.
La confiance est désormais un indicateur de performance du marketing mobile. Une pression commerciale excessive, un lien opaque ou une urgence artificielle peuvent améliorer momentanément un taux de clic, tout en fragilisant durablement la relation client.
Dans un environnement marqué par le smishing, la meilleure pratique consiste finalement à ne jamais demander au client de choisir entre prudence et conversion.
Quelques références
- « Le “Smishing” ou hameçonnage par SMS » — Cybermalveillance.gouv.fr, GIP ACYMA — juin 2023.
- « L’hameçonnage en 2025 : une menace prédominante pour tous les publics » — Cybermalveillance.gouv.fr, GIP ACYMA — juin 2026.
- « Que faire en cas de phishing ou hameçonnage ? » — Cybermalveillance.gouv.fr, GIP ACYMA — version consultée en juillet 2026.
- « New FTC Data Show Top Text Message Scams of 2024 » — Federal Trade Commission — avril 2025.
- « Implementing Phishing-Resistant MFA » — Cybersecurity and Infrastructure Security Agency — version consultée en juillet 2026. (cisa.gov)
- « RCS Sender Verification Report » — GSMA — mars 2019.
- « KDDI: SMS Phishing Countermeasures » — GSMA — septembre 2025.
- « Scams: Public Policy » — GSMA — mars 2026.
















