Smishing bancaire : 12 000 victimes en 3 jours par SMS détourné
📰 Ce qui s'est passé
Octobre 2025, le CERT-FR alerte sur une vague massive de smishing bancaire utilisant le « SMS spoofing » : les escrocs falsifient l'expéditeur du SMS pour qu'il s'affiche dans le fil de conversation officiel de la banque (Crédit Agricole, BNP, Société Générale). Le SMS dit « opération suspecte sur votre compte, validez ou refusez : [lien] ». Le lien mène à une copie pixel-perfect de l'app bancaire. 12 000 personnes y sont passées en 3 jours, perte cumulée estimée à 18 M€.
💡 La leçon
Le SMS spoofing exploite une faille structurelle des télécoms français : aucune banque ne peut vraiment signer ses SMS. Conséquence : le canal SMS est compromis pour toute opération sensible. Toujours valider les opérations bancaires depuis l'app officielle (que tu ouvres toi-même), jamais depuis un lien — même si le SMS s'affiche dans la bonne conversation.
🎯 Votre mini-action de la semaine
Désactive AUJOURD'HUI l'option « SMS-OTP » de ta banque si possible et active la validation par notification dans l'app officielle. C'est plus sûr (signé cryptographiquement, lié à ton appareil) et c'est gratuit. Au pire, si tu dois garder le SMS, ne clique JAMAIS sur un lien — ouvre l'app toi-même.
Source : CERT-FR / ANSSI · 8 octobre 2025