arnaques

Faux SMS impôts, Ameli, CPF : la nouvelle vague de smishing

+70 pourcent d'hameçonnage en 2025. Les SMS frauduleux du moment usurpant impôts, Ameli, CPF et comment les signaler au 33700.

Par Étienne Aubry · · 9 min de lecture
Illustration : faux SMS impôts, Ameli, CPF — la vague de smishing 2026

Faux SMS impôts, Ameli, CPF : la nouvelle vague de smishing

Après la vague des faux SMS de transporteurs, une nouvelle génération d’arnaques par SMS explose en France : usurpation des services publics. Le SMS de la DGFiP qui annonce un remboursement d’impôts, le SMS d’Ameli qui parle d’une carte Vitale à mettre à jour, le SMS du Compte Personnel de Formation qui vous propose une « activation rapide » de vos heures. Chacun joue sur un ressort différent — mais le mécanisme est toujours le même : vous faire cliquer sur un faux site pour capter vos données bancaires ou vos identifiants officiels.

Avec +70 % d’hameçonnage tous canaux en 2025 selon Cybermalveillance.gouv.fr, ces SMS sont devenus le premier vecteur d’attaque ciblant les particuliers en France. Cet article décode les principales variantes, donne les bons réflexes, et explique quoi faire après un clic.

Les 5 SMS frauduleux les plus fréquents en 2026

1. Le faux remboursement d’impôts

« DGFiP : un remboursement de 437,12 € vous est dû. Régularisez vos coordonnées bancaires sous 24 h : impots-remboursement-gouv.fr/regul »

Variante particulièrement efficace en mai-juin (période des avis d’imposition) et en septembre. Le faux site reproduit l’apparence d’impots.gouv.fr et capture votre identifiant fiscal, votre numéro de carte bancaire, et parfois votre code 3D Secure.

Pour comparer : les vraies notifications de remboursement de la DGFiP arrivent par courrier postal ou via le compte impots.gouv.fr (jamais par SMS, jamais par mail avec lien à cliquer).

2. Le faux SMS Ameli

« Assurance Maladie : votre carte Vitale arrive à expiration. Pour éviter toute interruption, mettez-la à jour : ameli-actualisation.fr »

Joue sur la peur de perdre les remboursements de santé. Le faux site demande numéro de Sécurité sociale + coordonnées bancaires. Une fois capturés, ces éléments peuvent être utilisés pour ouvrir des comptes frauduleux, voire usurper l’identité de santé.

Pour comparer : Ameli n’envoie JAMAIS de SMS demandant la mise à jour de la carte Vitale (la vraie procédure passe par la pharmacie). Les SMS officiels Ameli concernent uniquement les rendez-vous médicaux ou les notifications de remboursement déjà effectués.

3. Le faux SMS CPF

« Vos droits CPF de 2 380 € expirent le 30/06. Activez-les : moncomptecpf-actu.fr »

L’arnaque CPF est si massive que le gouvernement a interdit le démarchage CPF par SMS et par téléphone depuis 2022. Tout SMS CPF est, par définition légale, une arnaque.

Pour comparer : le seul moyen légitime d’accéder à vos droits CPF est de se connecter sur moncompteformation.gouv.fr en tapant l’URL manuellement.

4. Le faux SMS ANTS / permis / carte grise

« ANTS : votre dossier de demande de permis nécessite un complément. Téléchargez votre attestation : ants-attestation.fr »

Variante moins fréquente mais en forte croissance. Capture vos identifiants ANTS pour ouvrir ensuite des cartes grises frauduleuses à votre nom.

Pour comparer : l’ANTS communique exclusivement via la messagerie sécurisée de votre compte ANTS, jamais par SMS avec lien.

5. Le faux SMS de votre banque

« SG : tentative de connexion suspecte sur votre compte. Confirmez votre identité : societe-generale-securite.fr »

Le smishing bancaire est moins fréquent que le faux conseiller téléphonique (voir notre analyse complète du faux conseiller bancaire), mais il existe. Mêmes mécaniques : capture des identifiants bancaires + 3D Secure.

Reconnaître à coup sûr un faux SMS officiel

Quatre règles à mémoriser :

1. Les vraies URL des services publics se terminent par .gouv.fr. Le vrai site des impôts est impots.gouv.fr, le vrai Ameli est ameli.fr, le vrai CPF est moncompteformation.gouv.fr. Toute variante (impots-gouv.fr, ameli-actu.com, cpf-regul.info) est une arnaque.

2. Les services publics ne demandent JAMAIS de coordonnées bancaires par SMS. Quand une vraie démarche le nécessite, elle passe par votre espace personnel sécurisé, avec authentification FranceConnect.

3. Les services publics ne créent JAMAIS d’urgence à 24 ou 48 heures. Si une régularisation est demandée, le délai est toujours plusieurs semaines, par courrier.

4. En cas de doute, tapez vous-même l’URL officielle. Ne suivez jamais le lien du SMS. Si un vrai message vous attend, vous le verrez sur votre compte officiel.

Vous avez reçu un faux SMS : que faire

Trois gestes simples :

1. Ne cliquez pas sur le lien. Évident mais à rappeler.

2. Signalez au 33700. Service officiel français de signalement des spams SMS. Transférez le message frauduleux au 33700 — gratuit, géré par l’AFMM. Vous recevrez en retour un message demandant le numéro de l’expéditeur frauduleux (qu’il vous suffit aussi de transférer).

3. Bloquez le numéro. Sur iOS comme sur Android, bloquer un numéro est trivial. Cela empêche les futures tentatives de ce numéro précis, mais pas des autres numéros qui suivront (les escrocs roulent les numéros).

Vous avez cliqué : la procédure

Trois cas, comme pour tout phishing :

Vous n’avez rien saisi : vous êtes tranquille. Le simple clic n’infecte presque jamais un smartphone. Videz le cache de navigation, restez attentif aux SMS suivants.

Vous avez saisi un identifiant officiel (FranceConnect, impots.gouv.fr, ameli.fr, ANTS) : changez immédiatement le mot de passe sur le vrai site officiel. Activez la double authentification si elle existe (impots.gouv.fr la propose depuis 2023). Surveillez les e-mails de notification de modification ou de demande de remboursement sur les semaines suivantes.

Vous avez saisi vos coordonnées bancaires : mode d’urgence. Opposition CB immédiate, dépôt de plainte, signalement Perceval (perceval.signalement.gouv.fr) et 17Cyber. Voyez aussi notre guide pour porter plainte au Mans. Sur la base de la DSP2, la banque rembourse généralement les fraudes par smishing dans la majorité des cas, sous réserve que vous démontriez la diligence (signalement rapide).

Et si l’arnaque a déjà débouché sur une usurpation d’identité ?

Cas plus rare mais redoutable : avec votre identifiant fiscal ou votre numéro de Sécurité sociale, l’escroc peut tenter d’ouvrir un compte bancaire à votre nom, demander un crédit, créer un compte CPF dévalorisé, ou se faire envoyer une nouvelle carte Vitale.

Si vous suspectez une usurpation d’identité :

  • Surveillez les courriers que vous recevez : ouverture de compte non sollicitée, contrats de crédit, cartes Vitale non demandées.
  • Inscrivez-vous sur le FICP (Fichier des Incidents de remboursement des Crédits aux Particuliers) via la Banque de France pour bloquer les ouvertures de crédit à votre nom.
  • Signalez à la CNIL via cnil.fr pour les usurpations d’identité numérique.
  • Déposez plainte au commissariat pour usurpation d’identité (article 226-4-1 du Code pénal, puni jusqu’à un an de prison et 15 000 € d’amende).

Pourquoi ces SMS arrivent sur VOTRE numéro

La cible n’est pas vous personnellement. Votre numéro figure simplement dans une base de millions de numéros français, achetée ou volée auprès d’un site fuité (Free, marketplace, opérateur). Voyez notre tutoriel Have I Been Pwned pour vérifier vos expositions.

Les escrocs envoient les SMS par campagnes de centaines de milliers : il leur suffit qu’un pourcentage minime (souvent moins de 0,5 %) clique et saisisse ses données pour rentabiliser largement l’opération.

C’est aussi pour cela que les SMS arrivent souvent en vagues groupées (3 SMS le même jour, puis une accalmie de plusieurs semaines). Les escrocs achètent un lot de numéros, lancent une campagne, puis disparaissent.

Comment se protéger durablement

Quatre habitudes à installer :

1. La règle d’or : ne jamais cliquer sur un lien dans un SMS. Si un sujet vous intéresse, tapez vous-même l’URL officielle.

2. Activer la double authentification sur les comptes administratifs. impots.gouv.fr, Ameli, FranceConnect proposent désormais la 2FA. Voyez notre guide pour activer la 2FA partout.

3. Signaler systématiquement au 33700. Ça prend 20 secondes et c’est ce qui permet d’alimenter les statistiques nationales et la lutte anti-spam.

4. Sensibiliser le foyer. Particulièrement les seniors et les personnes peu à l’aise avec le numérique. Voyez aussi notre guide cybersécurité senior en 10 gestes.

En résumé

Faux SMS impôts, Ameli, CPF, ANTS : urgence créée, faux site qui imite le vrai, capture des coordonnées bancaires ou des identifiants officiels. Réflexe : ne jamais cliquer, signaler au 33700, taper soi-même l’URL officielle. Après un clic avec saisie : opposition CB ou changement de mot de passe, plainte, signalement Perceval et 17Cyber. Préventivement : 2FA sur tous les comptes administratifs, ne jamais cliquer sur un lien SMS, vigilance après une fuite de données connue.

Si vous êtes au Mans ou en Sarthe et que vous voulez un accompagnement (audit smartphone, dossier banque, plainte, vérification post-fuite), je propose un forfait curatif à 199 € (99,50 € après crédit d’impôt service à la personne). Détail sur la page intervention d’urgence. Premier contact gratuit au 07 51 13 37 69.

Vous voulez aller plus loin ?

Forfait intervention post-piratage

Forfait clair pour reprendre le contrôle après un compte piraté, une arnaque téléphonique ou une fraude bancaire. Pas de surprise tarifaire.

Réserver une intervention

199 € — 99,50 € après déduction fiscale