Comment distinguer un appel ou SMS frauduleux d'un vrai ?

Réponse rapide

Si un appel ou un message crée de l'urgence, demande un code ou un mot de passe, sollicite un virement ou des cartes cadeau, ou menace d'arrestation, d'amendes ou de fermeture de compte, traitez-le comme une fraude quel que soit l'expéditeur — et rappelez la vraie institution sur un numéro que vous trouvez vous-même, jamais sur le numéro que l'appelant vous a donné.

Ce que ce n'est PAS

Un appel frauduleux n'est PAS toujours évident — les fraudeurs modernes usurpent le vrai numéro de votre banque, des impôts ou de votre opérateur, donc l'affichage du numéro officiel ne prouve rien. Et ce n'est PAS que les seniors qui se font avoir ; en 2026, le groupe de victimes qui grossit le plus vite est celui des 20-30 ans, principalement par SMS, WhatsApp et applis de rencontre.

Pour aller plus loin

Les appels et SMS frauduleux sont le visage quotidien du phishing. La mécanique est la même — un inconnu qui se fait passer pour quelqu’un de confiance, qui utilise l’urgence et l’autorité pour vous pousser à agir — mais le canal est votre téléphone, que la plupart des gens considèrent encore comme plus digne de confiance que l’e-mail. C’est précisément ce biais que les attaquants exploitent.

Les cinq familles qui concentrent presque toutes les pertes :

  1. Le faux conseiller anti-fraude. « Nous avons détecté une activité suspecte sur votre compte. Nous devons immédiatement transférer votre argent vers un compte sûr. » Aucune vraie banque ne dit ça. Le « compte sûr » est celui de l’escroc.
  2. L’appel à fausse autorité. « C’est les impôts / la police / la Sécurité sociale. Vous avez un solde impayé et un mandat a été émis. Payez maintenant par carte cadeau ou virement. » Les vraies autorités n’exigent jamais un paiement instantané par téléphone, par cartes cadeau, par virement ou en crypto.
  3. Le SMS de livraison/paiement. « Votre colis n’a pas pu être livré. Payez 1,99 € ici. » Le montant est un leurre ; l’objectif est votre carte bancaire. Chronopost, La Poste, DHL, Amazon, sont régulièrement usurpés.
  4. Le message « bonjour maman / bonjour papa ». Un nouveau numéro sur WhatsApp ou par SMS prétend être votre enfant qui a perdu son téléphone et a besoin d’argent en urgence. Toujours appeler en vocal sur le vrai numéro d’abord.
  5. L’arnaque sentimentale / à l’investissement. Une longue conversation sur une appli de rencontre ou un réseau social bascule lentement vers une plateforme crypto ou trading « très rentable » entièrement fausse. Souvent coordonnée par des groupes criminels organisés (le phénomène dit « pig-butchering ») ; les pertes mondiales se chiffrent en dizaines de milliards.

Le schéma qu’elles partagent toutes :

  • Autorité — un nom de confiance (banque, État, famille, grande entreprise).
  • Urgence — « tout de suite », « avant la fin de la journée », « ou votre compte sera fermé », « ou vous serez arrêté ».
  • Une demande qui casse une procédure normale — virement vers un compte inconnu, code à lire à voix haute, achat de cartes cadeau, appli à installer, lien de « prise en main à distance ».

La règle pratique, à chaque fois :

Raccrochez. Cherchez vous-même le vrai numéro. Rappelez.

Cette seule habitude bloque presque toutes les arnaques téléphoniques. L’affichage du numéro peut être falsifié. Les voix peuvent être clonées par IA à partir de quelques secondes d’audio (c’est désormais réel — méfiez-vous des appels « parent kidnappé » qui utilisent une voix clonée). Ce que les escrocs ne peuvent pas faire, c’est intercepter un appel que vous initiez vous-même vers un numéro trouvé dans une source connue — le dos de la carte, l’appli bancaire, le site officiel.

Défenses additionnelles :

  • Ne lisez jamais un code SMS. Aucune institution légitime ne vous demandera jamais de « confirmer » en lisant à voix haute le code à six chiffres que vous venez de recevoir. Ce code est un code 2FA, et l’escroc essaie de se connecter à votre compte à cet instant.
  • Ne partagez jamais votre écran par « assistance à distance » avec un appelant que vous n’avez pas sollicité. « Microsoft » / « Apple » / « le service informatique de votre banque » n’appellent pas à froid pour réparer votre ordinateur.
  • Mettez en place un mot-code familial — un mot que seule votre vraie famille connaît, que vous pouvez demander pendant tout appel à connotation d’urgence. Un escroc avec une voix clonée ne le connaîtra pas.
  • Ralentissez. Toute arnaque réussie repose sur le fait que vous agissiez avant de réfléchir. Les cinq minutes que vous prenez pour rappeler sont la défense.

Si vous avez été touché : prévenez votre banque dans les minutes qui suivent (c’est la différence entre récupérer l’argent ou non), signalez via Pharos et déposez plainte (le service Perceval sert spécifiquement aux fraudes bancaires sans usage de la carte), et partez du principe que les données personnelles divulguées serviront à des arnaques de relance pendant des mois — voir fuite de données.

On nous pose aussi

Comment le numéro affiché peut-il être celui de ma vraie banque si c'est une fraude ? +

Cela s'appelle l'« usurpation de numéro » (spoofing). Le champ d'identification de l'appelant sur le réseau téléphonique est rempli par l'appelant, pas vérifié par l'opérateur ; les services de voix sur IP laissent n'importe qui choisir le numéro qui apparaîtra sur votre écran. Les opérateurs déploient des standards anti-spoofing (MAN en France, STIR/SHAKEN aux US) mais la couverture est partielle. Règle pratique : l'affichage du numéro est indicatif, pas une preuve. Toujours rappeler sur un numéro que vous trouvez vous-même.

Ma « banque » m'a appelé pour une activité suspecte. Que faire ? +

Raccrochez. Puis appelez votre banque sur le numéro inscrit au dos de votre carte ou dans votre appli — jamais sur le numéro qui vient d'appeler. Les vrais services de lutte anti-fraude ne se vexent pas si vous rappelez ; au contraire. Si l'appel vous demandait de confirmer un virement, de transférer vers un « compte sûr », de lire un code SMS ou de communiquer un mot de passe, c'était une fraude — ces quatre éléments sont les indices.

C'est quoi l'arnaque du « compte sûr » (compte coffre) ? +

Quelqu'un vous appelle en se faisant passer pour le service anti-fraude de votre banque. On vous dit que votre compte est attaqué et qu'il faut transférer d'urgence votre argent vers un « compte sûr » qu'on vous communique. Le « compte sûr » est le leur. Aucune vraie banque ne vous demandera jamais de déplacer votre argent hors de votre propre compte au téléphone. Si vous entendez cette phrase exacte, c'est une fraude — à chaque fois.

Et l'arnaque WhatsApp « bonjour maman / bonjour papa » ? +

Massive en 2023-2025 et toujours active. Vous recevez un message WhatsApp : « Bonjour maman, j'ai perdu mon téléphone, voici mon nouveau numéro — peux-tu m'envoyer 500 € rapidement ? » ou variante. Le numéro est inconnu, le style ressemble à celui de votre enfant, la demande est urgente. Appelez toujours votre enfant en vocal sur son numéro habituel avant d'envoyer quoi que ce soit. S'il a vraiment perdu son téléphone, il peut attendre 10 minutes ; si c'est un escroc, ces 10 minutes sauvent l'argent.

Et les appels « impôts impayés » ou « mandat d'arrêt » ? +

Les administrations fiscales et la police n'appellent pas pour exiger un paiement immédiat par téléphone, par cartes cadeau, par virement ou en cryptomonnaie. Elles ne menacent pas d'arrestation par téléphone. Elles ne demandent pas de mots de passe ni de codes. Tout appel qui mêle « autorité officielle » et « payez maintenant ou bien » est une arnaque — raccrochez, retrouvez vous-même le vrai numéro de l'administration si vous voulez vérifier, et rappelez.

Aussi expliqué

C'est quoi le phishing, et comment le reconnaître ?

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.

C'est quoi la double authentification (2FA), et quelle version utiliser ?

La double authentification ajoute une seconde étape après votre mot de passe — un code venant d'une appli, une notification sur votre téléphone, ou une passkey — pour qu'un mot de passe volé ne suffise plus à se connecter ; en 2026 la meilleure option pour la plupart des gens est la passkey, puis une appli d'authentification, et le SMS uniquement en dernier recours.

C'est quoi une fuite de données, et que faire si mes informations sont dedans ?

Une fuite de données, c'est quand une organisation qui détient vos informations personnelles en perd le contrôle — votre e-mail, mot de passe, numéro de téléphone, adresse, parfois votre carte bancaire ou pièce d'identité se retrouvent dans un fichier que les attaquants téléchargent et réutilisent ; la réponse pratique est de changer le mot de passe du compte concerné, le changer partout où il était réutilisé, et activer la double authentification.
← Retour au glossaire grand public