arnaques

Arnaque à la livraison de colis Chronopost / La Poste : ne payez pas les 2 euros

Le SMS de frais de livraison à 2 euros : comment ils volent ensuite votre carte. Procédure complète et recours.

Par Étienne Aubry · · 8 min de lecture
Illustration : arnaque au faux SMS Chronopost / La Poste

Arnaque à la livraison de colis Chronopost / La Poste : ne payez pas les 2 euros

C’est probablement l’arnaque la plus fréquente sur smartphone en France : un SMS apparemment anodin de Chronopost, La Poste, DHL, Colis Privé ou UPS qui annonce un colis en attente, retenu en douane, ou nécessitant le paiement de quelques euros pour être livré. Le lien renvoie vers un faux site de transporteur où l’on vous demande vos coordonnées bancaires pour régler ces 2 euros. Quelques jours plus tard : vous découvrez des prélèvements de plusieurs centaines d’euros.

L’hameçonnage tous canaux a bondi de +70 % en 2025 selon Cybermalveillance.gouv.fr, et le smishing de transporteur en est probablement le moteur principal. Cet article décortique l’arnaque, donne les bons réflexes en réception, et explique quoi faire si vous avez déjà saisi vos données.

Pourquoi ça marche aussi bien

Trois ressorts qui rendent cette arnaque redoutablement efficace :

Le contexte plausible. Avec l’explosion du e-commerce, presque tout le monde attend un colis à un moment ou un autre. La probabilité que vous receviez le SMS au moment où vous attendez réellement quelque chose est élevée — surtout en période de fêtes ou de soldes.

Le montant dérisoire. « 2 euros », « 1,99 euro », « 2,90 euros » : ce sont des sommes que personne ne contesterait. Le cerveau évalue mal le risque sur une si petite somme. Sauf que les 2 euros ne sont qu’un prétexte — ce qui intéresse l’escroc, c’est de capturer votre numéro de carte complet.

Le réflexe mobile. Sur smartphone, on clique souvent en pilotage automatique. La vérification de l’URL est plus difficile que sur ordinateur (l’URL est tronquée, le clavier mobile est moins propice à inspecter les détails). C’est précisément pour ça que le smishing a explosé.

Reconnaître le faux SMS

Sept signaux qui, ensemble, signent à coup sûr l’arnaque :

1. Numéro d’expéditeur étrange. Un vrai transporteur envoie depuis un nom court (« CHRONOPOST », « LAPOSTE ») ou un numéro court (5 chiffres). Un numéro mobile classique français en 06 ou 07, ou un numéro étranger, est suspect.

2. URL bizarre. Le vrai Chronopost utilise chronopost.fr. Méfiez-vous de toute variante : chronopost-livraison.com, chrono-post.info, chronopost.delivery, chronopost-eu.net. Les vrais transporteurs n’utilisent JAMAIS de domaines en .top, .xyz, .info, .delivery, .delivery.

3. Demande de paiement de quelques euros. Les vrais transporteurs ne demandent JAMAIS de petits frais par SMS. Soit vous payez à la livraison, soit vous ne payez pas du tout. Une « régularisation » en ligne pour 1,99 € est toujours une arnaque.

4. Urgence créée. « Votre colis sera retourné à l’expéditeur sous 48 heures si vous ne réglez pas ». Aucun vrai transporteur ne fonctionne ainsi.

5. Numéro de colis inconnu. Souvent un numéro de colis est mentionné dans le SMS. Si vous n’attendez rien, c’est évidemment suspect. Si vous attendez un colis : vérifiez le numéro sur le site officiel du vrai transporteur (tapé manuellement dans le navigateur), pas via le lien du SMS.

6. Demande d’informations bancaires complètes. Sur la page du faux site, on vous demande votre nom, votre adresse, votre numéro de carte complet, sa date d’expiration, son cryptogramme, parfois votre code 3D Secure. Aucun vrai paiement transporteur ne se fait ainsi.

7. Demande d’installer une application. Variante plus sophistiquée : on vous propose de télécharger l’« app de suivi du colis ». C’est une application malveillante qui prendra le contrôle de votre smartphone. Ne l’installez jamais.

Vous avez reçu le SMS : que faire

Trois gestes simples :

1. Ne cliquez pas sur le lien. Si vous attendez vraiment un colis, allez directement sur le site officiel du transporteur (tapez chronopost.fr ou laposte.fr vous-même dans votre navigateur) et entrez votre numéro de suivi.

2. Signalez au 33700. C’est le service officiel français de signalement des spams SMS. Transférez le message frauduleux au 33700. Service gratuit, géré par l’Association française du multimédia mobile.

3. Supprimez le SMS. Pas urgent, mais ça évite de cliquer dessus par mégarde plus tard.

Vous avez cliqué mais rien saisi : pas de panique

Le simple clic sur le lien n’infecte presque jamais votre smartphone. La page s’affiche, mais tant que vous n’avez RIEN saisi (pas de nom, pas de carte, pas de code, pas d’application téléchargée), vous êtes tranquille.

Quelques précautions par sécurité :

  • Videz le cache et les cookies de cette session de navigation.
  • Vérifiez que vous n’avez pas accidentellement téléchargé une application : Paramètres → Applications → vérifier la liste des apps récemment installées.
  • Restez attentif aux SMS suivants : votre numéro vient d’être marqué comme « actif » par les escrocs, vous allez recevoir d’autres tentatives.

Vous avez saisi vos coordonnées bancaires : la procédure

C’est là que la course de vitesse commence. Plus vous réagissez tôt, plus les chances de limiter les dégâts sont élevées.

Dans les 5 premières minutes : appelez votre banque au numéro inscrit au dos de votre carte. Demandez :

  • L’opposition immédiate sur la carte (la vraie, pas la carte virtuelle).
  • Le blocage de toute opération en cours.
  • L’examen de toutes les opérations des 24 dernières heures.

Dans les 30 minutes suivantes : changez le mot de passe de votre compte bancaire en ligne. Si vous utilisez le même mot de passe sur d’autres services (mauvaise habitude — voyez notre guide du bon mot de passe en 2026), changez-le partout.

Dans les 24 heures : déposez plainte au commissariat OU faites un signalement via Perceval (perceval.signalement.gouv.fr — service officiel français spécifique aux fraudes à la carte bancaire). Signalez aussi sur 17cyber.gouv.fr. Voyez notre guide pour porter plainte au Mans si vous êtes en Sarthe.

Sous 13 mois (délai légal) : contestez par écrit les opérations frauduleuses auprès de votre banque, en demandant le remboursement au titre de la DSP2 (article L133-18 du Code monétaire et financier). En général, la banque rembourse les opérations contestées dans la quasi-totalité des cas de smishing classique, où la « négligence grave » est difficile à démontrer.

Et si une application a été installée ?

Si vous avez accepté de télécharger l’« app de suivi du colis » sur Android, ou si vous avez cliqué sur un profil de configuration sur iOS, considérez votre smartphone comme compromis :

Sur Android : désinstallez immédiatement toute application récente non reconnue. Allez dans Paramètres → Applications → vérifiez les autorisations excessives. Lancez un scan avec Play Protect (intégré au Play Store). Si le doute persiste, une réinitialisation d’usine est la solution sûre.

Sur iOS : retirez tout profil de configuration suspect (Réglages → Général → VPN et gestion d’appareils). Si une application a été installée hors App Store (rare mais possible avec certaines arnaques sophistiquées), désinstallez-la. Voyez notre guide pour sécuriser son iPhone en 8 réglages.

Si l’application a fonctionné quelques heures avant que vous ne la désinstalliez, considérez que vos comptes mail et bancaire peuvent avoir été touchés : changement de mots de passe depuis un AUTRE appareil, vérification des sessions actives, et activation de la 2FA partout si pas déjà fait — voyez notre guide pour activer la 2FA partout.

Comment éviter la prochaine fois

Trois règles à mémoriser et à transmettre à votre entourage :

1. Ne jamais cliquer sur un lien dans un SMS. Toujours. Si le sujet vous intéresse, tapez vous-même l’URL officielle dans votre navigateur. Cette règle à elle seule coupe 95 % des arnaques par smishing.

2. Aucun vrai transporteur ne demande de petits paiements par SMS. Mémoriser cette règle est définitif.

3. Activer les notifications instantanées sur sa carte bancaire. Toutes les banques le proposent gratuitement. À chaque opération, vous recevez un push immédiat. Vous repérez une fraude dans les secondes qui suivent, pas le 5 du mois suivant.

En résumé

Smishing de transporteur : SMS d’un faux Chronopost / La Poste / DHL réclamant 2 € de frais. Ne cliquez jamais sur le lien, signalez au 33700, allez sur le site officiel pour vérifier si vous attendez un colis. Si vous avez saisi votre carte : opposition immédiate, dépôt de plainte, signalement Perceval et 17Cyber, contestation écrite à la banque. Si une app a été installée : nettoyage smartphone ou réinitialisation. Préventivement : ne cliquer jamais sur un lien SMS, savoir qu’aucun transporteur ne réclame 2 € par SMS.

Si vous êtes au Mans ou en Sarthe et que vous voulez un accompagnement (audit smartphone, dossier banque, plainte), je propose un forfait curatif à 199 € (99,50 € après crédit d’impôt service à la personne). Détail sur la page intervention d’urgence. Premier contact gratuit au 07 51 13 37 69.

Vous voulez aller plus loin ?

Forfait intervention post-piratage

Forfait clair pour reprendre le contrôle après un compte piraté, une arnaque téléphonique ou une fraude bancaire. Pas de surprise tarifaire.

Réserver une intervention

199 € — 99,50 € après déduction fiscale