Aperçu
Un SMS annonce qu’un colis est bloqué, qu’une livraison a échoué ou qu’un petit paiement est nécessaire pour reprogrammer un passage. Avant de cliquer, le bon réflexe consiste à vérifier le suivi depuis le site officiel du transporteur ou l’espace client du marchand, jamais depuis le lien reçu. Le risque n’est pas le SMS en lui-même, mais ce qu’il pousse à faire : payer, saisir sa carte bancaire, transmettre des identifiants ou installer une fausse application. La réaction à adopter dépend donc d’un point simple : avez-vous seulement reçu le message, cliqué sur le lien, renseigné vos données ou constaté un débit ?
Une arnaque qui imite les gestes ordinaires de la livraison
Les faux SMS de colis exploitent une situation devenue très courante : attendre une commande, suivre une livraison, modifier un créneau ou récupérer un colis en point relais. Le message peut prétendre venir d’un transporteur connu, d’un service postal ou d’un livreur. Il annonce souvent un colis bloqué, une adresse incomplète, une relivraison à confirmer, des frais de douane ou un paiement minime à effectuer.
Cybermalveillance.gouv.fr classe ces messages parmi les tentatives d’hameçonnage à la livraison de colis et rappelle que les faux messages de livraison font partie des thèmes massivement utilisés dans les campagnes d’hameçonnage. Le principe est de pousser la victime vers un faux site qui usurpe l’identité d’une marque ou d’un transporteur afin de récupérer des informations personnelles, des identifiants ou des coordonnées bancaires. Le même mécanisme peut aussi servir à faire installer un programme malveillant ou à préparer une autre escroquerie.
Le piège fonctionne parce que la somme réclamée paraît faible. Un SMS peut par exemple indiquer qu’un colis est bloqué et demander 1,95 euro de frais de relivraison. Ce montant réduit donne l’impression d’un paiement sans conséquence. En réalité, l’objectif peut être de récupérer les données de la carte bancaire ou de déclencher ensuite d’autres tentatives de fraude.
Les signes qui doivent faire douter avant de cliquer
Un faux SMS de colis cherche presque toujours à provoquer une réaction rapide. Il peut annoncer un délai très court, un retour imminent du colis, une livraison impossible ou des frais à régler immédiatement. Cette pression est un premier signal d’alerte.
Autre signe fréquent : le lien ne ressemble pas clairement à l’adresse officielle du transporteur. Une adresse raccourcie, une URL avec des fautes, des mots ajoutés autour du nom d’une marque ou un domaine inhabituel doivent conduire à s’arrêter. Les fraudeurs peuvent usurper des noms connus comme La Poste, Colissimo, Chronopost, Mondial Relay, DPD ou UPS, sans que l’entreprise réelle soit à l’origine du message.
Il faut aussi se méfier si le message demande de saisir une carte bancaire pour une somme très faible, de rappeler un numéro, d’envoyer un SMS vers un numéro court, ou de télécharger une application. Le 33700 cite notamment les faux colis en attente parmi les sollicitations utilisées pour inciter à cliquer sur un lien, appeler un numéro spécial ou envoyer un SMS surtaxé.
En pratique : vérifier sans utiliser le lien reçu
La règle la plus sûre est simple : ne vérifiez jamais un colis depuis le lien contenu dans un SMS suspect. Ouvrez vous-même le site officiel du transporteur, utilisez son application officielle déjà installée, ou connectez-vous à l’espace client du marchand chez qui vous avez commandé.
Exemple concret : vous recevez un SMS indiquant que votre colis est bloqué et qu’il faut payer 1,95 euro de frais de relivraison. Avant toute action, vérifiez le numéro de suivi depuis le site officiel du transporteur ou depuis votre compte client marchand. Si le message vous renvoie vers une adresse étrange ou vous demande de renseigner votre carte bancaire depuis un lien reçu par SMS, il faut le considérer comme suspect.
Il faut garder une nuance importante : certains frais peuvent exister dans des situations particulières, par exemple dans le cadre d’une importation ou d’une exportation. Chronopost précise que des frais de douane ou une facture commerciale peuvent être demandés dans certains cas, mais que cela renvoie vers son site officiel. Le même transporteur indique aussi qu’il ne demande pas, par défaut, de carte d’identité ni de frais de livraison pour des livraisons en France.
Attention enfin aux fausses applications. Un SMS frauduleux peut vous demander d’installer une application de suivi, un fichier APK, une mise à jour ou un outil présenté comme nécessaire pour débloquer la livraison. Il ne faut jamais installer de fichier ou d’application depuis un lien reçu par SMS. Les applications utiles doivent être téléchargées uniquement depuis les boutiques officielles ou depuis les canaux indiqués sur le site officiel de l’entreprise concernée. Cybermalveillance indique que le smishing peut aussi viser l’infection du téléphone avec une application malveillante destinée à dérober des données ou à prendre le contrôle de l’appareil.
Vous avez reçu, cliqué ou payé : que faire selon le risque ?
| Situation | Risque | Ce qu’il faut faire | Signalement utile |
|---|---|---|---|
| SMS reçu, aucun clic | Faible | Ne pas répondre, ne pas cliquer, transférer le SMS au 33700, puis supprimer | 33700 |
| Lien cliqué, aucune donnée saisie | Moyen | Fermer la page, ne rien renseigner, ne rien télécharger, surveiller l’appareil | 33700, Cybermalveillance |
| Fichier ou application installé | Élevé | Désinstaller si possible, vérifier les applications installées, lancer une analyse de sécurité, changer les mots de passe depuis un autre appareil sûr | Cybermalveillance |
| Données personnelles saisies | Moyen à élevé | Changer les mots de passe concernés, surveiller les e-mails, appels et nouveaux SMS suspects, conserver les preuves | Cybermalveillance, Signal Spam si e-mail |
| Coordonnées bancaires transmises | Élevé | Contacter immédiatement sa banque, demander le blocage ou l’opposition adaptée, surveiller les opérations | Banque |
| Débit constaté | Élevé | Faire opposition, contester l’opération, conserver les preuves, signaler la fraude ou déposer plainte si nécessaire | Banque, Perceval, police ou gendarmerie |
Un simple clic sans saisie de données ni téléchargement n’a donc pas le même niveau de gravité qu’une carte bancaire renseignée ou qu’une application installée. En revanche, dès qu’une donnée bancaire a été transmise, la priorité n’est plus de vérifier le colis : il faut contacter sa banque sans attendre.
Où signaler quoi ?
Tous les signalements ne servent pas au même usage. Pour un SMS suspect, le canal à utiliser est le 33700. Pour un e-mail frauduleux, Signal Spam est plus adapté, car la plateforme permet de signaler les spams reçus dans une messagerie et de transmettre ces signalements aux acteurs capables d’agir. Pour une adresse de faux site, Phishing Initiative permet de signaler une page d’hameçonnage afin qu’elle soit analysée et, si elle est confirmée frauduleuse, transmise aux partenaires techniques pour blocage dans des navigateurs participants.
| Cas rencontré | Canal le plus utile | À retenir |
|---|---|---|
| SMS de colis suspect | 33700 | À utiliser même si vous n’avez pas cliqué |
| E-mail de livraison suspect | Signal Spam | Utile pour les messages reçus dans une boîte mail |
| Faux site de livraison | Phishing Initiative | Sert à signaler l’adresse du site frauduleux |
| Message usurpant un transporteur | Transporteur concerné | Chronopost demande par exemple de signaler un SMS suspect à abuse@chronopost.fr puis au 33700 |
| Carte bancaire renseignée | Banque | Priorité absolue : blocage, opposition ou surveillance renforcée |
| Débit frauduleux constaté | Banque puis Perceval selon le cas | Perceval concerne certaines fraudes à la carte bancaire sur internet |
| Besoin d’être orienté | Info Escroqueries | Numéro vert 0 805 805 817, du lundi au vendredi de 9 h à 18 h 30 |
Chronopost détaille une procédure spécifique : copier-coller le contenu du SMS suspect à abuse@chronopost.fr, envoyer le numéro de l’expéditeur au 33700, puis envoyer au 33700 le contenu du message frauduleux. Pour un e-mail suspect, le transporteur demande de le transférer à abuse@chronopost.fr.
Perceval n’est pas un outil pour signaler un simple SMS
Perceval ne sert pas à déclarer un SMS suspect reçu sur son téléphone. Cette démarche concerne certaines fraudes à la carte bancaire sur internet. Elle est utile lorsque vous constatez des achats en ligne que vous n’avez pas faits, que vous avez reçu un code de confirmation pour un achat non réalisé ou que votre banque vous a alerté sur une tentative d’utilisation frauduleuse de votre carte.
En pratique, si vous avez seulement reçu un faux SMS, signalez-le au 33700. Si vous avez saisi votre carte bancaire, contactez d’abord votre banque. Si un débit frauduleux apparaît, vous pourrez ensuite utiliser Perceval dans les cas prévus, en conservant les preuves et le numéro d’opposition. Cybermalveillance rappelle aussi que le signalement Perceval ne remplace pas nécessairement un dépôt de plainte.
Si la carte bancaire a été transmise, il faut agir vite
Quand une carte bancaire a été renseignée sur un faux site, l’urgence est bancaire. Service-Public indique qu’en cas de fraude à la carte bancaire, il faut faire opposition au plus vite, signaler la fraude ou déposer plainte selon la situation, puis contacter sa banque. Il ne faut donc pas attendre de voir si un débit apparaît lorsque les données de la carte ont été données à un faux site.
Il faut ensuite surveiller les opérations, conserver les captures d’écran, le SMS reçu, l’adresse du faux site et les éventuels échanges. Service-Public précise aussi qu’un paiement frauduleux ne peut pas être remboursé s’il date de plus de 13 mois, avec un délai réduit à 70 jours dans certains cas hors Espace économique européen.
Autre point de vigilance : après un vol de coordonnées bancaires, la victime peut être recontactée par de faux conseillers bancaires. Cybermalveillance alerte sur ces fraudes qui peuvent intervenir dans les heures ou les jours suivant l’hameçonnage. Aucun conseiller légitime ne doit vous demander de valider des opérations, de transmettre des codes ou de remettre votre carte à un coursier.
Avant de payer, la bonne décision tient en trois questions
Avant tout paiement demandé par SMS, trois vérifications suffisent souvent à éviter le piège. Est-ce que j’attends réellement un colis ? Le suivi apparaît-il dans mon espace officiel marchand ou transporteur ? Le message me demande-t-il de payer, de saisir ma carte ou d’installer une application depuis un lien reçu par SMS ?
Si la réponse à la dernière question est oui, il faut s’arrêter. Une vraie livraison se vérifie depuis un canal officiel. Si vous n’avez rien saisi, le risque reste limité. Si vous avez installé un fichier, renseigné des identifiants ou transmis votre carte bancaire, il faut agir par ordre de priorité : sécuriser l’appareil, changer les accès concernés, contacter la banque, conserver les preuves et signaler par le canal adapté. C’est cette distinction qui évite deux erreurs fréquentes : paniquer après un simple SMS reçu, ou sous-estimer l’urgence après avoir donné sa carte.
Soyez le premier à commenter