June 2026

Le smishing : la nouvelle menace pour les RSSI

Attaque de smishing

Tout le monde sait reconnaître une tentative de phishing par e-mail : les fautes d’orthographe, le « Madame, Monsieur, » le « Veuillez transférer 100 000 € aujourd’hui sur (un compte offshore)… » On a tous appris à repérer ces signes révélateurs. Mais sommes-nous aussi vigilants lorsqu’il s’agit de repérer une attaque de smishing ?

Le manque de sensibilisation aux tentatives de phishing par SMS rend les entreprises plus vulnérables aux attaques. Les hackers sont bien conscients de cette lacune, et ils l’exploitent avec des techniques de plus en plus sophistiquées.

Dans cet article, on vous explique exactement ce qu’est le smishing, comment ça fonctionne, et ce que les responsables sécurité, les DAF et les PDG peuvent faire pour s’en protéger.

Qu’est-ce qu’une attaque de smishing ?

Le smishing, c’est la combinaison du SMS et du phishing. Les cybercriminels envoient des SMS frauduleux pour inciter les destinataires à cliquer sur des liens malveillants, à divulguer leurs identifiants, à télécharger des logiciels malveillants ou à autoriser de faux virements bancaires.

La grande différence avec le phishing par e-mail, c’est qu’il n’y a ni filtre anti-spam ni passerelle de sécurité à contourner : le message arrive directement dans l’application de messagerie. La même que celle qu’on utilise pour écrire à sa famille, à ses amis ou à ses collègues.

Avec des habitudes de travail toujours plus axées sur le mobile, les salariés valident désormais des factures, accèdent aux portails RH et réinitialisent leurs mots de passe depuis leur téléphone. Les attaquants le savent, et savent aussi que les gens prennent des décisions plus rapides par SMS que par e-mail. Par exemple, le taux d’ouverture des SMS avoisine les 98 %, contre environ 20 % pour les e-mails non sollicités.

Le smishing n’est pas un phénomène nouveau, mais il est de plus en plus répandu, notamment depuis que les outils d’IA aident les hackers à rédiger des messages de plus en plus convaincants. Le nombre de cas de smishing a triplé ces dernières années, et représente désormais 35 % de toutes les attaques de phishing. C’est précisément cette différence de confiance que le smishing exploite, et les entreprises doivent investir dans la sensibilisation à la sécurité pour éviter toute attaque visant leurs systèmes financiers.

Comment se déroule une attaque de smishing

Imaginez : il est 7 h 45, un lundi matin. Maxime, fraîchement arrivé dans une start-up tech en pleine croissance, regarder son téléphone au réveil. Le premier message qu’il lit dit : « Bonjour, c’est Sophie du service informatique. Suite à une faille de sécurité grave, nous sommes contraints de procéder à une réinitialisation des mots de passe aujourd’hui avant 9 h. Veuillez cliquer ici pour vérifier votre compte. »

Maxime n’a pas encore pris son café, son jugement est donc altéré. Mais ça paraît urgent, et la page ressemble exactement au portail de l’entreprise. Alors, il clique sur le lien et entre ses identifiants…

Malheureusement, le temps que la vraie équipe informatique arrive au bureau, un hacker a déjà un accès complet au système de l’entreprise : données sensibles des clients, documents financiers, etc.

C’est cet élément que les dirigeants doivent comprendre : le smishing exploite nos vulnérabilités d’humains. Le phishing par SMS cible les collaborateurs à des moments où ils sont vulnérables, sur leurs appareils personnels, en jouant sur le sentiment d’urgence extrême. Il exploite la confiance et le manque de sensibilisation aux dangers que représente un SMS.

Simulation de phishing
5 Conseils pour une simulation de phishing réussie

Attaques de smishing : anatomie d’un piège moderne

Examinons en détail le fonctionnement des attaques de smishing, en commençant par les principes de base.

Les quatre déclencheurs psychologiques

Pour être efficace, le smishing s’appuie sur quatre facteurs qui court-circuitent la réflexion rationnelle :

L’urgence : « Votre compte sera suspendu dans 2 heures. » La pression du temps empêche toute prise de décision réfléchie.

L’autorité : Les messages qui se font passer pour le service informatique, les RH ou la direction suscitent une confiance implicite. Les collaborateurs sont conditionnés à répondre aux demandes émanant de leur hiérarchie.

La peur : « Une connexion inhabituelle a été détectée sur votre compte. » La crainte des conséquences l’emporte sur la prudence.

L’intérêt personnel : « Votre note de frais est prête à être traitée. » La promesse d’un évènement positif baisse la garde tout aussi efficacement qu’une menace.

Obfuscation des liens sur mobile : impossible de vérifier l’URL avant de cliquer

Sur un ordinateur, il suffit de passer la souris sur un lien pour afficher l’URL de destination. Sur mobile, ce n’est pas toujours aussi simple. Les URL raccourcies, bit.ly, t.co, et les redirections vers des sites d’entreprise empêchent de vérifier un lien avant d’appuyer dessus. Le temps qu’on réalise que quelque chose cloche, il est souvent trop tard.

Du smishing au vishing : les arnaques au rappel

Certaines attaques n’utilisent le SMS que comme premier contact. Une fois qu’un premier message a permis d’établir un lien de confiance ou de créer un sentiment d’urgence, un appel téléphonique de suivi permet d’obtenir des informations plus sensibles. Dans les "arnaques au rappel", les victimes sont invitées à appeler un numéro indiqué dans le SMS, qui les met en relation avec les attaquants eux-mêmes, qui se font généralement passer pour un faux service d’assistance. La combinaison du SMS et de la voix rend la supercherie bien plus convaincante, car les victimes ont l’impression d’avoir le contrôle de la situation.

Les appareils personnels échappent à votre système de sécurité

Quand une attaque arrive sur un appareil personnel, votre système de sécurité est complètement aveugle. Il n’y a ni alerte de gestion des appareils mobiles (MDM), ni agent de terminal, ni visibilité côté entreprise. Les téléphones personnels des collaborateurs sont totalement en dehors du périmètre de détection de l’entreprise, et c’est précisément là que le message vient d’atterrir.

La finance et la direction sont les premières cibles du smishing

Les opérations financières se font de plus en plus par SMS : validation de paiement, confirmation de virement et communication avec les fournisseurs. Les cybercriminels en profitent. Un SMS bien conçu, ciblant un DAF ou un comptable qui s’occupe des factures fournisseurs, n’a pas besoin d’être très sophistiqué. Il doit juste ressembler à un message de routine, envoyé par un canal sur lequel le destinataire n’est pas vigilant.

La compromission des e-mails professionnels (BEC) cible depuis longtemps les services financiers par e-mail. Aujourd’hui, le smishing applique la même stratégie sur un canal moins bien protégé et suscitant davantage de confiance. À l’heure où les entreprises renforcent leurs mesures de sécurité pour les e-mails, les escrocs ont choisi de s’attaquer à la cible la moins bien protégée : les SMS.

En savoir plus : Si les entreprises sont si engagées en faveur de la cybersécurité, où sont tous les RSSI ?

Les arnaques par SMS les plus courantes

Les attaques de smishing peuvent prendre de nombreuses formes — voici les plus courantes.

La fraude au PDG par SMS

« Salut, je suis en conseil d’administration pendant 2 heures ! Tu peux t’occuper d’un virement urgent ? On en reparle tout à l’heure. » Cette technique de smishing ne nécessite ni logiciel malveillant ni compétences techniques particulières : il faut juste le nom d’un dirigeant et un sentiment d’urgence.

Le faux service informatique pour réinitialiser la MFA

Les collaborateurs reçoivent de faux messages de réinitialisation MFA aux heures de forte affluence : typiquement le lundi matin, juste après avoir annoncé une mise à jour du système. C’est à ce moment-là que votre personnel est le plus susceptible de coopérer sans poser de questions.

RH et service paie : détournement des salaires

Des hackers se font passer pour un membre du service RH pour modifier les coordonnées bancaires utilisées pour le virement des salaires. Ils n’utilisent aucun logiciel malveillant et, techniquement, aucun identifiant n’est « volé » : le collaborateur communique lui-même les informations, convaincu de mettre à jour ses propres données de paie. Il obtempère sans hésiter, tout comme Maxime avant d’avoir pris son café du matin.

Usurpation des fournisseurs pour attaquer la supply chain

Un SMS se faisant passer pour un fournisseur connu et contenant un lien de paiement est particulièrement efficace, car les destinataires ne s’attendent pas à recevoir un faux lien par SMS. Surtout si le format correspond aux échanges habituels. Le message du fournisseur semble routinier et c’est justement le but.

Exemples d’attaques de smishing : Coinbase & Twilio

Ces scénarios ne sortent pas de nulle part. En 2024, une campagne d’ingénierie sociale ciblant des salariés de Coinbase a utilisé de faux SMS du service informatique pour infiltrer les systèmes internes. En 2022, la brèche de données chez Twilio a commencé par l’envoi d’un SMS à des salariés, qui se faisait passer pour le service informatique. Dans les deux cas, les attaquants ont obtenu des identifiants leur donnant accès à des données sensibles de leurs clients.

Pourquoi le smishing échappe-t-il aux dispositifs de sécurité ?

Les outils de sécurité e-mail ne s’appliquent pas aux SMS : les SEG, DMARC et le sandboxing sont des contrôles propres à la messagerie électronique. Les SMS ne passent par aucun de ces mécanismes. Votre pile de sécurité peut être la plus performante du marché, elle ne vous donnera aucune visibilité sur ce qui est envoyé sur les téléphones de vos collaborateurs.

Les formations à la sécurité ne parlent pas de SMS : la plupart des programmes de simulation de phishing apprennent à repérer les e-mails malveillants. Les équipes sont rarement formées à appliquer le même niveau de vigilance face aux SMS, car, jusque-là, la plupart des programmes ne simulaient pas les attaques de smishing.

Les appareils mobiles ne sont pas assez surveillés : beaucoup d’entreprises ont mis en place des solutions EDR performantes sur les ordinateurs portables et les postes de travail. La visibilité sur les appareils mobiles, en particulier sur les appareils personnels utilisés à des fins professionnelles, est bien plus limitée et moins répandue.

Les gens ont confiance dans le SMS : au fil des années, les gens ont appris à se méfier des e-mails. Le SMS, lui, garde un côté personnel et immédiat. Le scepticisme et la vigilance affichés à l’égard des tentatives de phishing par e-mail ne se sont pas encore étendus aux appareils mobiles.

Le MFA ne vous protège pas entièrement : certaines campagnes de smishing sont spécifiquement conçues pour récupérer des codes d’accès à usage unique en temps réel à l’aide d’attaques par proxy inverse. Le MFA améliore considérablement la sécurité, mais ce n’est pas une protection totale contre un attaquant déterminé qui opère à la vitesse d’une tentative d’ingénierie sociale en direct.

En savoir plus : 5 bonnes pratiques pour sensibiliser votre équipe à la cybersécurité

Prévenir les attaques de smishing en 5 étapes

  1. Élargir la sensibilisation à la sécurité avec des simulations de smishing. Vos équipes doivent développer sur mobile le même degré de méfiance qu’ils ont acquis pour les e-mails. Cela passe par la pratique, avec des simulations réalistes qui permettent d’acquérir les bons réflexes avant qu’un attaquant ne les déclenche pour de vrai.
  2. Définir et communiquer des règles claire concernant les SMS. Définissez explicitement ce que votre service informatique, les RH et la direction demanderont — ou ne demanderont jamais — par SMS. Si vos collaborateurs savent que « le service IT ne demandera jamais votre mot de passe par SMS », ils ont une référence pour pouvoir identifier des messages suspects.
  3. Choisir une méthode MFA résistante au phishing lorsque cela est possible. Les passkeys et les clés de sécurité physiques sont bien plus difficiles à contourner que les codes OTP par SMS ou les codes TOTP. Lorsque vous pouvez éliminer complètement l’authentification par SMS, faites-le.
  4. Limiter les risques liés à l’utilisation d’appareils personnels. Politique de gestion des appareils mobiles (MDM), politique d’utilisation acceptable ou formation des équipes… Vous avez besoin d’une stratégie spécifique pour les appareils personnels hors de votre champ de vision. Faire l’impasse sur ce problème n’élimine pas le risque, mais vous empêchera de le maîtriser.
  5. Instaurer des réflexes de signalement, et pas seulement de détection. Toute personne qui reçoit un SMS suspect doit savoir à qui le transférer, et être à l’aise pour le faire, sans craindre de se sentir ridicule. Une culture d’entreprise dans laquelle les personnes signalent les incidents évités de justesse est plus utile qu’une culture du silence.

Conclusion : n’ignorez plus les attaques de smishing

Les attaques de smishing sont passées d’une technique d’escroquerie marginale à une menace quotidienne. Pour les RSSI et les responsables sécurité, elles représentent un angle mort de plus en plus important, car les collaborateurs travaillent de plus en plus sur leurs mobiles. Or la plupart des solutions de sécurité continuent d’éluder la question, plutôt que d’en faire une priorité.

En réalité, les programmes de sensibilisation n’ont pas encore rattrapé leur retard. Pour combler ce fossé, les entreprises doivent abandonner l’idée que la formation à la sécurité se limite aux e-mails, et commencer à traiter les appareils mobiles comme la cible prioritaire qu’ils sont devenus.

Les simulations de smishing réalisées par Riot vous aident à mettre en place ces mesures de protection de façon systématique, pour toute votre équipe. Vous voulez protéger votre activité ? Réservez dès maintenant une démo gratuite avec l’un de nos experts.