Le phishing reste en 2026 le vecteur d’attaque numérique le plus utilisé en France, à l’origine d’environ 60% des cyberattaques selon les acteurs du secteur. La nouveauté ne tient plus au principe, mais à la sophistication : 1 attaque sur 3 ne passe plus par l’email, mais par SMS (smishing), messageries privées ou même appels vocaux générés par intelligence artificielle.
Les arnaques les plus courantes
Plusieurs scénarios reviennent en boucle. Le faux SMS de l’administration fiscale promet un remboursement ou menace d’une amende, avec un lien vers un site qui imite à la lettre impots.gouv.fr. Le faux SMS de livreur (La Poste, Chronopost, Colissimo) demande de régler des frais de douane modiques pour finir par siphonner les coordonnées bancaires.
L’arnaque au CPF (Compte Personnel de Formation) usurpe l’identité de la Caisse des Dépôts par appel ou SMS pour récupérer les identifiants Mon Compte Formation. L’arnaque au faux numéro débute par un message anodin (« tu as toujours ce numéro ? ») qui glisse progressivement vers une opportunité d’investissement crypto ou immobilier fictive.
Les signaux qui doivent alerter
Trois indices simples permettent de trier l’authentique du faux. Premier signal : le numéro d’envoi. Les vraies administrations utilisent des numéros courts à cinq chiffres (type 38000) ou des numéros fixes locaux (01, 02, 03, 04, 05). Un SMS officiel provenant d’un mobile en 06 ou 07 est une anomalie. Deuxième signal : l’URL du lien. Les fraudeurs achètent des domaines qui ressemblent visuellement aux vrais (typosquatting).
Le faux impots.gouv.fr peut se terminer par « -gouv-fr.com », « .net » ou « .info ». Le cadenas HTTPS ne garantit rien : n’importe qui peut obtenir un certificat de sécurité gratuit en quelques secondes. Troisième signal : la pression. Toute formulation qui demande une action urgente (dans 24 heures, sous peine de majoration, avant expiration des droits) est suspecte par construction. Une administration française n’a jamais besoin d’une réponse immédiate par SMS.
Les techniques amplifiées par l’IA
La nouveauté 2026 concerne les arnaques utilisant des deepfakes vocaux. Une voix synthétique parfaitement imitée d’un proche peut désormais demander un virement d’urgence « en cas de problème ». L’enregistrement de quelques secondes d’audio sur les réseaux sociaux suffit aux escrocs pour générer la copie. Un code mot de passe partagé en amont avec ses proches permet de vérifier l’authenticité d’un appel inhabituel.
Où signaler
Plusieurs canaux officiels existent. Le 33700 reçoit les SMS frauduleux par transfert gratuit, ce qui contribue à bloquer les numéros impliqués. La plateforme Signal Spam centralise les emails de phishing. PHAROS (Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements) du ministère de l’Intérieur traite les signalements de contenus illicites en ligne. Pour les escroqueries avec préjudice, le dépôt de plainte se fait désormais en ligne sans déplacement au commissariat.
Que faire en cas de doute
Une seule règle simple : ne jamais cliquer sur le lien reçu. Taper manuellement l’adresse du site dans la barre du navigateur (impots.gouv.fr, ameli.fr, laposte.fr). Pour les démarches administratives, passer par l’application officielle ou le compte personnel sécurisé. Cette précaution neutralise la grande majorité des tentatives de smishing en 2026. À lire aussi : les démarches authentiques liées au nouveau congé de naissance 2026, à ne pas confondre avec d’éventuelles tentatives d’usurpation.
