En 2026, les arnaques sur smartphone sont devenues plus ciblées : les fraudeurs copient le style des banques, des services de livraison et même des services publics, en misant sur la rapidité, la peur et nos automatismes. La bonne nouvelle, c’est que les appareils Android et iOS intègrent déjà des outils de sécurité solides et que, avec quelques réglages pratiques, vous pouvez réduire fortement le risque de perdre de l’argent ou de compromettre vos comptes. Ce guide se concentre sur trois menaces très concrètes : l’usurpation de l’identifiant d’appelant, la fraude via QR codes et les applications contrefaites, ainsi que les paramètres précis qui ont le plus d’impact.
Usurpation d’identifiant d’appelant et SMS frauduleux : à quoi cela ressemble en 2026
L’usurpation d’identifiant d’appelant consiste à recevoir un appel qui semble provenir d’un numéro de confiance, par exemple celui de votre banque ou d’un service de livraison. L’objectif est de contourner votre prudence : vous voyez un nom ou un numéro familier et vous supposez qu’il est authentique. En 2026, les attaquants combinent souvent ces appels avec des SMS de suivi qui « confirment » l’histoire, comme une fausse alerte de fraude ou un prétendu avis de livraison manquée.
Un schéma fréquent repose sur la pression et l’urgence. On peut vous dire qu’un « virement suspect » est en cours à l’instant et que vous devez « vérifier » vos informations ou valider une « annulation » via un lien. Une autre technique très répandue est le « number match » : l’escroc appelle depuis un numéro bancaire usurpé et vous demande ensuite de lire un code à usage unique que votre banque vient d’envoyer. Or ce code sert généralement à se connecter à votre compte, pas à stopper une fraude.
La règle la plus fiable est simple : le nom affiché ou le numéro visible à l’écran n’est pas une preuve. Traitez comme suspect tout appel ou SMS qui vous pousse à agir rapidement, surtout s’il demande des codes, des informations de carte, des mots de passe ou un accès à distance à votre téléphone. En cas de doute, raccrochez et contactez l’organisation via le numéro officiel au dos de votre carte bancaire, l’application officielle ou le site officiel.
Protections pratiques contre les appels usurpés et le smishing
Commencez par filtrer les appels et les SMS. Sur iPhone, activez « Silence des appelants inconnus » (Réglages → Téléphone) afin de réduire les interruptions provenant de numéros absents de vos contacts, et utilisez « Filtrer les expéditeurs inconnus » (Réglages → Messages) pour isoler les messages suspects. Sur Android, activez la protection anti-spam dans les applications Téléphone et Messages (le chemin varie selon le fabricant, mais se trouve généralement dans les paramètres de l’application, sous « Spam et identification de l’appelant » ou « Protection anti-spam »). Ces filtres ne sont pas parfaits, mais ils éliminent une grande partie des tentatives les plus évidentes.
Ensuite, concentrez-vous sur ce dont les fraudeurs ont besoin. La plupart des attaques par téléphone visent à obtenir un code à usage unique, un mot de passe ou un accès à votre appareil. Ne partagez jamais de codes 2FA par téléphone, même si l’appelant prétend être un « employé de banque ». Les banques et les services de livraison n’ont pas besoin de vos codes. Si vous recevez un code de sécurité que vous n’avez pas demandé, considérez-le comme un signal qu’une personne tente de se connecter à votre compte.
Enfin, renforcez la récupération de compte et la sécurité de la SIM. Utilisez un code PIN de carte SIM robuste (votre opérateur peut vous guider) et sécurisez votre adresse e-mail, souvent utilisée pour réinitialiser des mots de passe. Si votre opérateur propose des protections supplémentaires (verrouillage du transfert de numéro, phrase secrète de compte, etc.), activez-les. Ces mesures réduisent le risque d’attaques par échange de SIM, fréquemment associées aux appels usurpés et aux SMS frauduleux.
Arnaques par QR code : comment les criminels exploitent ces codes « pratiques »
Les QR codes sont partout : cafés, horodateurs, trottinettes en libre-service, affiches, notes de livraison et même accès à des bâtiments. Cette banalisation est précisément ce que les criminels exploitent. Une arnaque par QR code fonctionne souvent en remplaçant un code légitime par un code malveillant, ou en collant un autocollant frauduleux sur le vrai QR code. Une fois scanné, il peut vous envoyer vers une page de paiement contrefaite, une page de connexion factice ou un téléchargement qui installe un logiciel malveillant.
En 2026, la fraude par QR code est fréquemment liée à de petits paiements du quotidien. Les horodateurs sont une cible courante : le faux QR code mène à une page qui imite un service local et demande les données de carte bancaire. Un autre scénario classique est le QR code sur une carte de « livraison manquée » ou sur une affiche indiquant que vous devez « vérifier votre adresse » ou « payer un petit montant » pour reprogrammer une livraison. Le montant est volontairement faible, car les victimes sont moins vigilantes.
Le risque ne vient pas du QR code lui-même, mais du lien qu’il ouvre. Un QR code peut contenir n’importe quelle URL, y compris des adresses presque correctes mais avec des lettres supplémentaires, des sous-domaines trompeurs ou des tirets destinés à induire en erreur. Certaines attaques ouvrent aussi une page demandant votre identifiant Apple, votre compte Google ou une connexion bancaire afin de voler vos identifiants.
Bonnes pratiques de scan et réglages utiles
Prévisualisez toujours le lien avant de l’ouvrir. Sur iOS comme sur Android, le scanner QR affiche généralement l’adresse cible. Lisez-la lentement. Vérifiez les fautes, les extensions inhabituelles ou tout élément qui ne correspond pas à l’organisation officielle. Pour payer un stationnement ou commander dans un café, il est souvent plus sûr d’utiliser l’application officielle ou de saisir l’adresse manuellement plutôt que de scanner un autocollant.
Utilisez un navigateur doté d’une protection anti-hameçonnage et maintenez-le à jour. Les navigateurs modernes détectent de nombreux sites frauduleux connus, mais seulement si leurs protections sont actualisées. Si votre navigateur propose « Navigation sécurisée » ou une option équivalente, gardez-la activée. Évitez également d’installer des applications de scan QR aléatoires : l’appareil photo et les outils intégrés sont généralement suffisants et plus sûrs que des applications tierces aux permissions excessives.
Méfiez-vous des QR codes qui déclenchent un téléchargement ou vous demandent d’installer une application immédiatement. Un QR code pour un menu ne devrait pas demander l’accès à vos contacts ni proposer l’installation d’un « lecteur ». Si un QR code mène à une page de connexion Apple, Google, bancaire ou de livraison, arrêtez et vérifiez via l’application officielle ou le site officiel enregistré dans vos favoris.
Fausses applications et permissions dangereuses : comment les repérer et les bloquer
Les applications contrefaites restent l’une des menaces mobiles les plus coûteuses, car elles peuvent voler des mots de passe, intercepter des SMS, récupérer des données de paiement ou afficher des écrans de connexion très crédibles. En 2026, les criminels imitent souvent des banques, des portefeuilles crypto, des outils de suivi de livraison, des applications de « paiement de frais de douane » et des utilitaires populaires comme les scanners de documents. Beaucoup de ces fausses applications se diffusent via des publicités, des publications sur les réseaux sociaux ou des messages menant directement à une page de téléchargement.
Même lorsqu’une application est présente dans un magasin d’applications, il faut vérifier son authenticité. Les fausses applications peuvent porter des noms proches de marques réelles, avec un logo quasi identique. Elles comptent sur un utilisateur pressé qui clique sur « Installer » sans vérifier le nom de l’éditeur. L’alerte la plus fréquente est un décalage entre ce que l’application prétend faire et les permissions qu’elle réclame.
Les permissions sont le véritable tableau de commande de votre téléphone. Une lampe torche n’a pas besoin d’accéder aux SMS. Une application de suivi de colis n’a pas besoin des services d’accessibilité. Un supposé outil de sécurité bancaire ne devrait jamais demander l’autorisation de lire votre écran ou de contrôler votre appareil. Quand un escroc obtient l’accès aux services d’accessibilité, il peut souvent observer ce que vous saisissez et interagir avec d’autres applications, y compris vos applications bancaires.
Réglages de sécurité : sources inconnues, gestionnaires de mots de passe et 2FA
Bloquez l’installation depuis des sources inconnues, sauf si vous avez une raison très précise de l’autoriser. Sur Android, gardez « Installer des applications inconnues » désactivé pour les navigateurs et les applications de messagerie, car c’est le chemin le plus utilisé par les fraudeurs. Si vous devez installer manuellement quelque chose, vérifiez l’origine avec soin, puis désactivez à nouveau l’autorisation. Sur iPhone, le système est plus restrictif par défaut, et c’est un avantage en matière de sécurité.
Utilisez un gestionnaire de mots de passe et privilégiez des méthodes 2FA plus solides lorsque c’est possible. Un gestionnaire aide de deux façons : il génère des mots de passe uniques et réduit le risque de saisir vos identifiants sur une fausse page, car il ne remplira généralement pas automatiquement un mauvais domaine. Pour la 2FA, privilégiez les applications d’authentification ou les passkeys. Les codes SMS restent utiles, mais ils sont plus faciles à intercepter et sont fréquemment ciblés via des attaques liées à la SIM.
Vérifiez les permissions des applications au moins une fois par mois, surtout pour celles que vous utilisez rarement. Sur iOS, consultez Réglages → Confidentialité et sécurité pour les catégories d’autorisations. Sur Android, consultez Paramètres → Confidentialité → Gestionnaire d’autorisations (les intitulés varient selon la version). Retirez les permissions qui ne correspondent pas à la fonction de l’application. Vérifiez également les réglages d’accessibilité et supprimez toute application que vous ne considérez pas totalement fiable, car c’est l’un des chemins les plus abusés pour la fraude mobile.
