« Maman, ne réponds surtout pas à ce message » : ma fille a repéré dans un SMS un détail que je n’aurais jamais vu

Un SMS arrive sur votre téléphone. L'expéditeur affiche le nom de votre banque. Le message est rédigé sans faute, le ton est celui d'un conseiller sérieux, et l'urgence est clairement posée : un paiement suspect de 347 euros vient d'être détecté sur votre compte, vous avez 45 minutes pour le signaler. Votre fille, qui regardait l'écran par-dessus votre épaule, dit simplement : "Maman, ne réponds surtout pas à ça." Vous n'avez rien vu. Elle, si.

Ne manquez plus aucune de nos publications :

Ce scénario se répète des milliers de fois chaque jour en France. Parmi tous les scénarios de smishing, celui du faux conseiller bancaire se distingue par l'ampleur des pertes financières qu'il provoque : la Banque de France chiffre le préjudice à environ 380 millions d'euros pour l'année 2024, soit un tiers de la fraude aux moyens de paiement. Le montant moyen par virement frauduleux avoisine 3 000 euros par victime. Ce ne sont pas des chiffres abstraits.

Ce que votre fille a vu, et que vous ne pouviez pas voir

Les faux SMS bancaires se sont transformés en quelques mois. En 2026, les arnaqueurs ne se contentent plus de messages bourrés de fautes ou de liens suspects : ils exploitent l'intelligence artificielle, imitent votre banque à la virgule près et parviennent à contourner la plupart des signaux d'alerte classiques. La génération qui a grandi avec le numérique repère instinctivement ces indices-là. Pas parce qu'elle est plus intelligente. Parce qu'elle a appris à reconnaître les patterns, comme on reconnaît un faux billet par le toucher.

Le premier indice qui alerte un œil entraîné : un appel ou un SMS provenant d'un numéro mobile (06 ou 07) prétendument lié à une administration officielle. Votre banque ne vous contacte jamais depuis un mobile. Jamais. L'indice révélateur peut aussi se trouver dans l'URL elle-même : l'adresse du site frauduleux se termine par "-gouv-fr.com", un domaine commercial sans lien avec l'État. Tous les sites officiels de l'administration française utilisent exclusivement le domaine .gouv.fr, réservé aux services publics.

Mais le signe le plus trompeur, et le plus récent, est ailleurs. L'intelligence artificielle permet aux arnaqueurs de rédiger des messages sans fautes, adaptés au profil de la cible. Les données issues des fuites récentes, nom, prénom, IBAN, numéro de plaque d'immatriculation, numéro client — renforcent la crédibilité de l'approche. Quand un SMS vous appelle par votre prénom, cite votre agence bancaire et mentionne un montant plausible, le doute s'installe. C'est précisément ce moment de doute que les escrocs ont appris à fabriquer.

La mécanique du piège, étape par étape

Vous recevez un SMS du "service des fraudes" vous indiquant qu'un paiement par carte bancaire est en cours, qu'il vous faut contacter un numéro non surtaxé de toute urgence et que sans nouvelle de votre part dans les 45 minutes le paiement sera validé. La minuterie est le cœur du dispositif. Sous pression temporelle, le cerveau cherche à agir vite, pas à vérifier.

En général, l'escroc appelle ensuite la victime ou l'incite à le contacter et se présente comme conseiller ou agent du service anti-fraude de sa banque. Il dispose souvent de nombreuses informations la concernant pour crédibiliser son arnaque : identité, adresse, coordonnées de carte bancaire, voire numéro de compte. Le pseudo-agent vous informe alors qu'une fraude est en cours sur votre compte bancaire et vous invite à suivre ses indications pour la bloquer. Il vous envoie une demande d'authentification et vous demande de procéder afin de "sécuriser vos comptes". Cette demande d'authentification permet en réalité de procéder à un paiement : c'est là que se trouve l'arnaque.

La DGCCRF a précisément alerté sur cette technique d'usurpation de sa propre identité, que les escrocs ont poussée jusqu'à afficher le vrai numéro officiel de la DGCCRF sur l'écran de la victime. Les enquêteurs de la DGCCRF ne contactent jamais les consommateurs de cette manière. Ils n'ont pas lieu de vous demander un code SMS ou votre numéro de carte bancaire. La règle est absolue, sans exception.

Ce que peu de gens réalisent : communiquer un code reçu par SMS, qui valide en réalité un paiement frauduleux, ou valider une opération sur votre application bancaire suffit pour que, en quelques minutes, votre compte soit vidé. Le code de confirmation que vous pensez utiliser pour "bloquer" une transaction l'autorise en réalité.

Les signaux que vous pouvez maintenant repérer vous-même

En 2026, il ne suffit plus de "regarder si ça vient d'une adresse bizarre" car les adresses et les numéros peuvent être falsifiés. La vigilance doit porter sur le contenu du message lui-même et sur la nature de ce qui est demandé. Concrètement, voilà ce qui doit déclencher une alerte immédiate.

Premièrement, le ton. Une demande pressante d'informations bancaires ou personnelles sous prétexte d'une urgence est systématiquement le marqueur d'une tentative de fraude. Aucune administration, aucune banque ne vous impose un délai de 45 minutes pour "sécuriser" quoi que ce soit. Deuxièmement, la demande de code. "Pouvez-vous me confirmer le code que vous venez de recevoir par SMS ?" : ce code sert à valider une opération, pas à l'annuler. Votre banque ne vous le demandera jamais. Troisièmement, l'URL du lien. Si le lien contenu dans le message ne correspond pas exactement au domaine officiel de votre banque, ne cliquez pas. Raccrochez. Reposez le téléphone.

Le filtre anti-arnaques déployé en 2026 vise à bloquer automatiquement les sites frauduleux identifiés par les autorités. Ce dispositif s'appuie sur une liste noire régulièrement mise à jour, alimentée par les signalements des victimes et les enquêtes des services de police. Utile. Mais les cybercriminels créent chaque jour de nouveaux sites qui ne sont pas encore identifiés : ce filtre constitue donc une protection supplémentaire, mais ne remplace pas votre vigilance personnelle.

Quoi faire si vous avez déjà répondu

La rapidité est votre meilleure alliée. Si vous avez communiqué des informations ou validé des opérations, contactez votre banque sans attendre pour faire opposition à votre carte et bloquer les opérations en cours. Le serveur interbancaire d'opposition est disponible 24h/24 au 0 892 705 705. Ensuite, signalez le SMS frauduleux. Contactez la plateforme de lutte contre les SMS et appels indésirables au 33 700, appels ou SMS gratuits pour les clients Bouygues Telecom, Orange, SFR, NRJ Mobile, Crédit Mutuel Mobile, CIC Mobile, Cofidis Mobile et Auchan Telecom.

Gardez tout : historique d'appels, SMS reçus, notifications bancaires, relevés de compte. Ces éléments sont indispensables pour déposer plainte et, le cas échéant, obtenir un remboursement. Les banques ne peuvent plus invoquer facilement la "négligence grave" du client, la jurisprudence récente tend à les responsabiliser davantage lorsque la fraude a été rendue possible par des techniques d'usurpation sophistiquées.

Pour signaler un SMS d'escroquerie lié à une usurpation d'identité d'une institution publique, rendez-vous sur la plateforme THÉSÉE afin de déposer un signalement en ligne rapidement et gratuitement. Et si vous voulez aller plus loin dans la protection, une habitude simple change tout : appliquez la règle du "second canal", si vous recevez un SMS ou un appel vous demandant d'agir, raccrochez, et contactez directement l'organisme concerné via le numéro officiel disponible sur son site web. Pas le numéro affiché dans le message. Pas le numéro qui vient d'appeler. Le numéro officiel, tapé à la main. Cette seconde de friction volontaire vaut mieux que trois mille euros perdus en cinq minutes.

Sources : futura-sciences.com | economie.gouv.fr