Qu'est-ce que le smishing ?
Le smishing — contraction de « SMS » et « phishing » — est une technique d'hameçonnage qui utilise les messages texte comme vecteur d'attaque. Le principe est identique au phishing par email : un message frauduleux imite un expéditeur de confiance (banque, transporteur, administration, service IT) pour inciter la victime à cliquer sur un lien, rappeler un numéro ou transmettre des informations sensibles.
Mais le SMS possède des caractéristiques qui le rendent plus dangereux que l'email dans bien des cas. Et c'est ce qui en fait le nouvel angle mort de la cybersécurité en entreprise.
Pourquoi le smishing est en pleine explosion
Trois facteurs expliquent la croissance exponentielle du smishing :
Un taux d'ouverture de 98 %. Contre environ 20 % pour les emails. Un SMS est lu dans les 3 minutes qui suivent sa réception en moyenne. L'email de phishing peut dormir dans la boîte de réception pendant des heures ; le SMS est vu immédiatement.
Une confiance instinctive. Les utilisateurs associent le SMS à des communications personnelles et légitimes (banque, médecin, livraisons). Cette confiance implicite diminue la vigilance. Un lien dans un SMS est cliqué 8 fois plus souvent qu'un lien dans un email.
Des défenses techniques faibles. Les filtres anti-spam email sont matures et efficaces. Sur le canal SMS, les protections sont bien moins développées. Les opérateurs téléphoniques commencent à déployer des filtres, mais leur efficacité reste très inférieure à celle des solutions email.
Les scénarios de smishing les plus fréquents
Le faux colis
« Chronopost : votre colis est en attente. Frais de livraison à régler : 1,99 €. » Ce scénario exploite l'explosion du e-commerce. Le lien mène vers un faux site de paiement qui capture les coordonnées bancaires. En période de fêtes ou de soldes, l'efficacité de ce scénario est maximale.
La fausse banque
« BNP Paribas : activité suspecte détectée sur votre compte. Vérifiez immédiatement. » Le SMS joue sur la peur et l'urgence. Le faux site demande les identifiants bancaires et parfois le code de validation reçu par SMS — ironiquement, la victime transmet ainsi son propre code MFA à l'attaquant.
La fausse administration
« Ameli : vous avez un remboursement de 147,30 € en attente. Complétez votre dossier. » Ou encore : « Impôts : anomalie détectée sur votre déclaration. Régularisez avant le [date]. » Ces scénarios exploitent le respect de l'autorité administrative.
Le faux service IT (spécifique entreprise)
« Service informatique : votre session Microsoft 365 expire dans 2h. Renouvelez votre accès ici. » Ce scénario cible spécifiquement les collaborateurs en entreprise et peut mener à une compromission du compte professionnel — avec accès aux emails, aux fichiers SharePoint et aux données sensibles.
Le smishing en contexte professionnel : un risque sous-estimé
La plupart des programmes de sensibilisation se concentrent sur l'email. Le SMS professionnel est un angle mort pour trois raisons :
Le téléphone professionnel est aussi personnel. Beaucoup de collaborateurs utilisent le même smartphone pour le travail et la vie privée (BYOD). Un SMS de smishing reçu sur le téléphone personnel peut compromettre les accès professionnels si le collaborateur y a connecté sa messagerie d'entreprise.
L'analyse des liens est plus difficile sur mobile. Sur un ordinateur, on peut survoler un lien pour voir l'URL. Sur mobile, cette option est moins intuitive (appui long). Les URLs raccourcies (bit.ly, tinyurl) sont encore plus opaques sur un petit écran.
Le contexte de réception. Un SMS est souvent lu en déplacement, dans les transports, entre deux réunions — dans un état d'attention partielle qui favorise le clic impulsif.
Vos simulations couvrent-elles le canal SMS ?
Les campagnes ThinkTwice incluent des scénarios de smishing adaptés au contexte professionnel — pour tester un angle mort que la plupart des programmes ignorent.
Découvrir les simulations SMSComment protéger votre entreprise contre le smishing
Intégrer le SMS dans vos campagnes de sensibilisation
C'est la mesure la plus impactante. Si vos simulations de phishing ne couvrent que l'email, vous laissez un vecteur entier sans défense. Ajoutez des scénarios de smishing à votre programme : faux SMS IT, faux colis, fausse alerte de sécurité.
Enseigner le réflexe de vérification mobile
Apprenez à vos collaborateurs le geste de l'appui long sur un lien SMS pour voir l'URL avant de l'ouvrir. Et le réflexe de base : ne jamais cliquer sur un lien dans un SMS inattendu. En cas de doute, ouvrir directement l'application ou le site web officiel (pas via le lien du SMS).
Déployer une politique BYOD claire
Si vos collaborateurs accèdent aux données de l'entreprise depuis leur smartphone personnel, une politique BYOD (Bring Your Own Device) est indispensable : séparation des profils pro/perso, MDM (Mobile Device Management) pour les appareils accédant aux données sensibles, et sensibilisation spécifique au risque mobile.