« Bonjour vous êtes chez vous ? » : l’arnaque SMS au colis qui piège

Un message arrive sur votre téléphone : « Bonjour, vous êtes chez vous ? Nous avons un colis à livrer. » Court, banal, presque rassurant. Sauf que derrière ce SMS se cachent des escrocs qui n’ont aucun colis à vous remettre — et qui cherchent à soutirer vos données bancaires ou personnelles.

Cette fraude touche des milliers de Français chaque année. Elle exploite une mécanique simple : vous êtes habitué à recevoir des notifications de livraison, alors vous baissez la garde. Le SMS « bonjour vous êtes chez vous » joue exactement sur ce réflexe. Voici pourquoi vous ne devez pas répondre, et surtout pas cliquer.

Comment fonctionne cette arnaque au colis

Un SMS conçu pour paraître légitime

Les escrocs ne font plus dans le grossier. Le SMS arrive avec un numéro qui ressemble à un numéro de service client, parfois même avec un nom d’expéditeur type « La Poste », « Chronopost » ou « Colissimo ». Le texte est court, sans faute visible, et la question — « vous êtes chez vous ? » — semble tellement anodine qu’on répond par réflexe.

C’est précisément l’objectif. Une fois que vous avez répondu « oui », deux scénarios se déclenchent :

  • Le livreur fictif vous envoie un lien pour « confirmer votre adresse » ou « payer des frais de douane » — ce lien mène vers un faux site de paiement.
  • L’échange continue par SMS, et les escrocs récupèrent progressivement vos informations : nom, adresse, puis données bancaires.

Le faux lien de livraison, l’arme principale

Dans la majorité des cas signalés en France, le SMS contient ou génère un lien vers un site copié à l’identique d’un vrai transporteur. La page demande un règlement de 1,99 € ou 2,50 € pour débloquer la livraison du colis. Montant dérisoire — c’est voulu. Mais en saisissant vos coordonnées bancaires sur ce faux formulaire, vous offrez aux escrocs un accès direct à votre compte.

Certaines victimes ont vu des prélèvements récurrents apparaître, car les sites pirates enregistrent les données pour des abonnements non sollicités. D’autres ont subi des tentatives de fraude bancaire directe dans les 48 heures suivant la saisie.

Les signaux qui trahissent un faux SMS

Reconnaître l’arnaque n’est pas toujours évident au premier coup d’œil. Quelques indices permettent pourtant de vérifier rapidement la nature du message.

  • Vous n’attendez aucun colis : c’est le signal le plus fiable. Un vrai livreur ne vous contacte que si vous avez commandé quelque chose.
  • Le numéro expéditeur est un numéro mobile classique (06, 07) plutôt qu’un numéro court professionnel.
  • Le lien inclus dans le SMS utilise un nom de domaine approximatif : « laposte-livraison.net », « colissimo-fr.info » — jamais l’URL officielle.
  • On vous demande de payer des frais pour recevoir un colis déjà « en route » — les vrais transporteurs ne font jamais ça par SMS.
  • Le message ne mentionne aucun numéro de suivi précis, aucune référence de commande.

Vérifier l’adresse du lien avant de cliquer prend trois secondes. Ces trois secondes peuvent éviter des semaines de démarches bancaires.

Que faire si vous avez reçu ce SMS ?

Ne répondez pas, ne cliquez pas

La règle est absolue : aucune réponse, aucun lien ouvert. Répondre — même pour dire « non » ou « arrêtez » — confirme aux escrocs que votre numéro est actif. Résultat : vous recevrez davantage de SMS frauduleux, revendus à d’autres groupes de fraude.

Signalez le message via 33700, le numéro gratuit dédié au signalement des SMS indésirables en France. Vous pouvez aussi le transmettre directement sur la plateforme signal.spam.fr. Ces signalements permettent aux opérateurs de bloquer les numéros sources.

Si vous avez déjà cliqué ou payé

Là, il faut agir vite. Voici les étapes dans l’ordre :

  1. Appelez votre banque immédiatement pour signaler une tentative de fraude et faire opposition sur votre carte si des données bancaires ont été saisies.
  2. Changez vos mots de passe si vous avez utilisé les mêmes identifiants sur le faux site.
  3. Déposez une plainte en ligne sur cybermalveillance.gouv.fr — la plateforme officielle française d’assistance aux victimes de fraude numérique.
  4. Conservez le SMS et les captures d’écran du site : ils serviront de preuves.

Les remboursements bancaires sont possibles si la fraude est signalée rapidement — en général sous 72 heures. Passé ce délai, les démarches deviennent nettement plus longues.

Pourquoi cette arnaque se multiplie en France

Le commerce en ligne a explosé : 2,3 milliards de colis livrés en France en 2023 selon la Fevad. Mécaniquement, la probabilité qu’un destinataire attende effectivement un colis au moment où il reçoit ce type de SMS augmente. Les escrocs le savent, et adaptent leurs campagnes aux périodes de forte activité : fêtes de fin d’année, soldes, rentrée.

Désormais, ces arnaques sont industrialisées. Des plateformes de phishing-as-a-service vendent clé en main des kits complets : faux SMS, faux sites copiés sur les transporteurs, collecte automatique des données. Le coût d’entrée pour monter une campagne frauduleuse est infime — quelques dizaines d’euros — pour un retour potentiel considérable sur des milliers de SMS envoyés simultanément.

La confiance que les Français accordent aux notifications de livraison est devenue une vulnérabilité. La meilleure parade reste la même depuis le début : ne jamais suivre un lien reçu par SMS sans avoir vérifié son origine sur le site officiel du transporteur, directement dans votre navigateur.

Questions fréquentes

Peut-on identifier l’expéditeur d’un faux SMS de livraison ?

Pas toujours. Les escrocs utilisent des techniques de spoofing qui permettent d’afficher un nom d’expéditeur (« La Poste », « Chronopost ») à la place d’un numéro. Le nom affiché n’est donc pas une garantie de confiance. Pour vérifier, rendez-vous directement sur le site officiel du transporteur avec votre numéro de suivi — ne cliquez jamais sur le lien fourni dans le SMS.

Ce type d’arnaque peut-il aussi passer par email ou appel téléphonique ?

Oui. Les mêmes escrocs utilisent les trois canaux : SMS, email (phishing classique) et parfois un appel téléphonique où un faux livreur demande confirmation de présence avant d’envoyer un lien par SMS. Le vecteur SMS reste le plus répandu car il génère un taux d’ouverture supérieur à 90 %, bien au-dessus des emails.

Comment signaler un SMS « bonjour vous êtes chez vous » en France ?

Transférez le SMS au 33700 (gratuit, disponible chez tous les opérateurs français). Vous pouvez aussi signaler le numéro sur signal.spam.fr ou déposer un signalement sur cybermalveillance.gouv.fr. Si vous avez subi un préjudice financier, une plainte auprès de la police ou de la gendarmerie est recommandée en complément.

Ma banque peut-elle rembourser les sommes prélevées après une arnaque au colis ?

En principe, oui — si la fraude est signalée rapidement. La réglementation européenne sur les services de paiement (DSP2) oblige les banques à rembourser les transactions non autorisées, sauf négligence grave caractérisée du titulaire. Contactez votre conseiller dans les 24 à 72 heures suivant la découverte de la fraude, et conservez toutes les preuves (SMS, captures d’écran).

Quelle différence entre smishing et phishing classique ?

Le phishing désigne les arnaques par email qui redirigent vers un faux site. Le smishing (SMS + phishing) reprend le même principe via SMS. L’arnaque « bonjour vous êtes chez vous » est du smishing pur : un SMS avec un faux lien ou un échange pour soutirer des données bancaires. Le smishing est jugé plus efficace car les SMS sont lus quasi instantanément, sans filtre anti-spam aussi développé que pour les emails.