En résumé : le phishing par SMS — le « smishing » — a dépassé le phishing par e-mail comme principal vecteur de vol d'identifiants pour les utilisateurs mobiles vers 2024, et s'est encore accéléré en 2025–2026. Les raisons sont structurelles : les téléphones ne disposent pas d'un équivalent de Safe Browsing pour les SMS, les aperçus d'URL sont quasi absents, les raccourcisseurs de liens paraissent légitimes, et les gens appuient sur leur téléphone avec bien moins de prudence qu'ils ne cliquent sur un navigateur de bureau. Trois campagnes dominent actuellement le volume. Voici exactement comment chacune fonctionne.
Campagne 1 — Smishing USPS sur les colis « non livrables »
Active depuis 2023. Volume selon les rapports FTC/USPS : environ 5 millions de destinataires américains par mois au pic. Attribuée par le FBI et des chercheurs en sécurité (Resecurity, Trend Micro) au cluster « Smishing Triad » de langue chinoise.
L'appât
Un SMS arrive, généralement le matin ou en début d'après-midi, prétendant que le colis du destinataire comporte une « adresse incomplète » et sera retourné s'il ne confirme pas ses coordonnées dans les 24 heures. Le message contient un lien qui ressemble à USPS (variantes telles que usps-track[.]top, uspstracking-info[.]com, us-postss[.]cn) mais est enregistré sur des domaines jetables créés quelques heures ou quelques jours plus tôt. La plupart des gens attendent un colis — d'Amazon, d'un commerçant en ligne, d'un ami — et le timing fait mouche.
Ce qui se passe si vous cliquez
Une copie pixel-perfect du site USPS vous demande votre adresse (pour « re-livrer »), puis escalade vers des « frais de re-livraison » de 1,99 $ à 3,50 $ nécessitant les coordonnées de votre carte de crédit. Le formulaire de carte bancaire est le vrai objectif : numéro complet, CVV, date d'expiration, adresse de facturation, numéro de mobile pour « confirmation SMS de livraison ». La carte est ensuite utilisée ou revendue dans les heures qui suivent. Les informations collectées — nom complet, adresse, téléphone, 4 derniers chiffres de la carte — servent également à alimenter des attaques ultérieures (faux appels bancaires, tentatives de prise de contrôle de compte).
Pourquoi ça marche
- La plupart des gens ont un colis en transit à tout moment — la probabilité que le destinataire croie au scénario est élevée.
- USPS n'envoie pas normalement de SMS — mais la majorité des utilisateurs l'ignorent, et la marque est universellement reconnue.
- Le « petit frais » (1,99 $) paraît trop dérisoire pour s'en préoccuper ; les gens paient et passent à autre chose.
- Les domaines changent tous les quelques jours, si bien que les défenses reposant uniquement sur des listes de blocage sont toujours en retard sur la campagne.
Ce qui les détecte
Le schéma de domaine est très prévisible : variantes USPS avec tirets, extensions .top / .cn / .info, enregistrées auprès de bureaux d'enregistrement de langue chinoise, hébergées derrière Cloudflare ou des proxys à rotation d'AS, certificats émis par Let's Encrypt ou ZeroSSL dans les dernières 48 heures. Un classificateur ML entraîné sur ces caractéristiques détecte les nouveaux domaines dès la première fois qu'un utilisateur les atteint — bien avant qu'ils n'apparaissent dans PhishTank ou les grandes listes de blocage commerciales. Le classificateur est tout l'intérêt de la détection des menaces au niveau réseau.
Campagne 2 — Smishing de péage impayé (E-ZPass, SunPass, FasTrak)
Fortement en hausse en 2024 à mesure que les États sont passés au péage entièrement électronique. Le FBI IC3 a publié un avis public en avril 2024. Cible désormais les 50 États (et les utilisateurs canadiens) avec des variantes de marque propres à chaque État.
L'appât
« [DOT d'État ou autorité de péage] : Vous avez un solde de péage impayé de 4,27 $. Payez avant le [date] pour éviter des pénalités de retard. Payez ici : ezpass-payments[.]com. » Le montant est faible. Le nom de marque correspond à l'État (« E-ZPass » dans le Nord-Est, « FasTrak » en Californie, « SunPass » en Floride, « TxTag » au Texas, « I-Pass » dans l'Illinois). Le lien ressemble au vrai site de péage à première vue. Les résidents des États au péage exclusivement électronique — la majorité du pays désormais — ont vraisemblablement emprunté une route à péage récemment.
Ce qui se passe si vous cliquez
Une copie du portail de paiement de l'autorité de péage de l'État concerné, personnalisée par État. Le formulaire demande nom complet, adresse, téléphone, numéro d'immatriculation (pour « rechercher l'infraction »), puis renvoie vers un écran de paiement réclamant les informations de carte bancaire pour le solde dérisoire. Comme pour USPS, les données de carte sont le vrai objectif, mais cette campagne capture aussi les données de plaque d'immatriculation — utiles pour des arnaques ultérieures (usurpation de la DMV, fraude à l'immatriculation du véhicule, montage de fraude à l'assurance).
Pourquoi ça marche
- Les autorités de péage envoient parfois des messages aux conducteurs par SMS ou courrier — le scénario est plausible.
- La plupart des utilisateurs ne savent pas exactement ce qu'ils doivent en péages et supposent que les petits montants sont réels.
- La menace de « pénalités de retard » ou de « blocage DMV » pousse au paiement sans vérification.
- L'imitation de marque propre à chaque État signifie que les résidents de chaque région voient le nom qui leur est familier.
Ce qui les détecte
Les domaines d'arnaque au péage suivent une signature précise : nom de marque + payments/pay/billing dans le nom d'hôte, extensions .com / .net / .top, âge d'enregistrement de 24 à 72 heures, certificats issus d'un même petit groupe de CA gratuites, clusters d'ASN communs (Cloudflare, Namecheap, hébergeurs connus pour leur politique permissive en matière d'abus). Même avec la rotation, un classificateur ML notant l'âge d'enregistrement et la similarité nom d'hôte-marque détecte l'ensemble de la famille de campagnes — y compris les domaines observés pour la première fois sur votre propre appareil.
Campagne 3 — SMS de confirmation de remboursement (Apple, Amazon, Netflix, Walmart)
Active tout au long de 2024–2026, avec des pics saisonniers autour des remboursements fiscaux (fév.–avr. aux États-Unis) et du Black Friday / Cyber Monday.
L'appât
« Apple ID : Un débit de 239,99 $ pour [stockage iCloud / Apple Music annuel / etc.] a été approuvé aujourd'hui. Si vous n'avez pas autorisé cette opération, annulez ici : [lien]. » Parfois Amazon (« Un débit de 499,94 $ pour [produit]… »). Le scénario est un prélèvement que le destinataire n'a pas effectué — la menace est financière. La curiosité et l'inquiétude provoquent le clic. Certaines variantes sont inversées : « Votre remboursement de 237,45 $ est prêt. Confirmez votre compte bancaire pour le recevoir. » Même mécanisme, cadrage opposé.
Ce qui se passe si vous cliquez
Une copie quasi parfaite de la page de connexion au compte de la marque. Les identifiants récoltés ici sont plus dangereux que les numéros de carte des campagnes 1 et 2 : un identifiant Apple ID ou Amazon ouvre la porte à une prise de contrôle du compte — historique d'achats complet, moyens de paiement enregistrés, soldes de cartes-cadeaux, achats App Store, possibilité de lire des e-mails sensibles, et accès à d'autres services utilisant le même e-mail pour la récupération SSO. De nombreuses variantes escaladent encore : après la capture d'identifiants, un faux chat d'assistance ou un rappel « d'Apple » guide la victime pour qu'elle lise les codes 2FA par SMS à voix haute, contournant ainsi la protection à deux facteurs.
Pourquoi ça marche
- Les vrais SMS de facturation Apple/Amazon existent, ce qui rend le scénario plausible.
- Le montant en dollars est spécifiquement calibré pour être suffisamment élevé pour alarmer, mais pas invraisemblablement grand.
- La prise de contrôle de compte est plus précieuse pour l'attaquant qu'un seul numéro de carte bancaire — une capture d'identifiants « réussie » alimente des semaines de fraudes ultérieures.
- Les cibles qui interagissent avec la page d'identifiants se convertissent manifestement — les opérations d'arnaque au remboursement concentrent leur énergie de suivi là-dessus, y compris l'escalade vers l'appel d'assistance.
Ce qui les détecte
Les domaines d'arnaque au remboursement ont tendance à ressembler à apple-billing-verify[.]top, amazon-refund-claim[.]net, netflix-payment-update[.]com — de courte durée de vie, usurpant des marques, enregistrés auprès de bureaux d'enregistrement connus pour être permissifs vis-à-vis des abus. Le signal du classificateur est essentiellement le même que pour les autres campagnes : similarité nom d'hôte-marque (score de distance de Levenshtein par rapport à « apple.com », « amazon.com », « netflix.com »), âge d'enregistrement, fournisseur de certificat, infrastructure d'hébergement. Détecte la campagne dès la première observation, quelle que soit la variante de marque utilisée.
Schémas communs aux trois campagnes
Les trois campagnes partagent des caractéristiques structurelles qui les rendent détectables en tant que classe :
- Domaines récemment enregistrés — généralement de moins d'une semaine, souvent moins de 24 heures.
- Imitation de nom d'hôte d'une marque reconnue — mesurable par un score de distance de chaîne par rapport à une liste de marques connues.
- Certificats gratuits de Let's Encrypt ou ZeroSSL — les sites légitimes les utilisent aussi, mais la combinaison « nouveau domaine + certificat gratuit + nom d'hôte imitant une marque » est très prédictive.
- Hébergement chez un petit groupe de fournisseurs tolérants aux abus — frontal Cloudflare, avec des serveurs d'origine dans des juridictions connues pour leur lenteur à traiter les signalements.
- Modèles de pages correspondant à des kits de phishing connus — les éléments d'interface propres à chaque domaine sont réutilisés d'une campagne à l'autre.
- Structure d'URL — longs chemins avec des tokens d'apparence aléatoire, utilisation fréquente de redirections par chaîne de requête.
Ce qui ne les détecte pas
- iOS Safe Browsing ne fonctionne que dans Safari. Le lien de phishing tapé depuis l'application Messages s'ouvre dans une vue web qui ne bénéficie pas de la même protection.
- Le filtrage SMS au niveau de l'opérateur bloque une partie du volume mais se met à jour rarement — les campagnes ajustent le numéro d'expédition et le filtre est en permanence en retard.
- « Ne cliquez tout simplement pas sur les liens suspects » — conseil judicieux qui échoue face à la minorité de SMS où l'utilisateur attend justement un colis, un remboursement ou une facture de péage. Le volume est la stratégie.
- Les listes de blocage pures (PhishTank, OpenPhish, etc.) — elles sont réactives. Le temps qu'un domaine soit signalé et ajouté, il est actif depuis des heures voire des jours ; les opérateurs de campagnes font tourner leurs domaines avant que les listes ne les rattrapent.
Ce qui les détecte vraiment
La détection des menaces au niveau réseau, qui exécute un classificateur ML sur le domaine de destination au moment de la résolution DNS. Le classificateur n'a pas besoin que l'URL spécifique ait été signalée quelque part — il note les caractéristiques structurelles ci-dessus (âge d'enregistrement, similarité avec une marque, fournisseur de certificat, ASN d'hébergement, forme d'URL) et refuse de résoudre les domaines dépassant le seuil de risque. C'est toute l'architecture de la couche de protection contre les menaces de Casper (expliquée en détail ici), et c'est la seule chose qui comble réellement l'écart face à ces trois campagnes.
Un avantage plus subtil : le classificateur de Casper remonte les faux positifs (un utilisateur a signalé qu'un blocage était erroné) pour le réentraînement. Les trois campagnes ci-dessus sont désormais bien classifiées, mais leurs opérateurs continuent de faire tourner leurs tactiques — nouveaux TLD, nouveaux bureaux d'enregistrement, nouvelles infrastructures d'hébergement. Un modèle en apprentissage continu s'adapte plus vite que n'importe quelle liste de blocage statique.
Conclusion
Le smishing gagne du terrain en ce moment parce que les SMS sont le canal que les utilisateurs mobiles soupçonnent le moins, les protections intégrées à l'OS ne couvrent qu'un seul navigateur, et les campagnes dominantes font tourner leurs domaines plus vite que les listes de blocage réactives ne se mettent à jour. Le point de levier se situe au niveau DNS — chaque lien cliqué génère une requête DNS avant que le navigateur ne l'ouvre, et cette requête est l'endroit le plus propre pour intervenir. Si vous ne retenez qu'une seule chose de cet article : ne tapez jamais sur un lien de paiement reçu par SMS. Ouvrez vous-même l'application. Les quelques secondes que cela vous coûte constituent votre seule et meilleure défense.