ncsc.admin.ch NCSC/OFCS 26.08.2025 - La semaine dernière, l’Office fédéral de la cybersécurité (OFCS) a enregistré une augmentation significative du nombre de signalements de phishing utilisant de fausses notifications de colis. Dans ce type d’attaque par SMS, les fraudeurs se font passer pour la Poste Suisse ou DPD afin d’obtenir des données sensibles des citoyennes et citoyens. Les utilisatrices et utilisateurs de produits Apple sont particulièrement touchés. Dans notre revue hebdomadaire, vous apprendrez comment reconnaître ces messages et vous en protéger.

Actuellement, l’OFCS reçoit de nombreux signalements concernant des SMS de phishing prétendant provenir de la Poste Suisse et de DPD. La vague d’attaques actuelle utilise de manière ciblée des protocoles de messagerie modernes tels que « iMessage » d’Apple et « Rich Communication Services » (RCS) d’Android. Contrairement aux SMS traditionnels, ces messages sont chiffrés de bout en bout. Ce chiffrement, qui est en réalité une fonctionnalité de sécurité destinée à protéger la vie privée, est exploité de manière stratégique par les cybercriminels. Il empêche les opérateurs de téléphonie mobile de scanner le contenu des messages à la recherche de liens malveillants et de les bloquer. Les escrocs contournent ainsi une ligne de défense importante et s’assurent que leurs messages atteignent très probablement les terminaux des victimes potentielles.

« iMessage » et messages groupés avec titre
Un aspect particulièrement perfide de cette méthode réside dans la manière dont les messages sont présentés. Les escrocs utilisent une fonctionnalité du RCS qui permet de donner un nom personnalisé aux messages groupés. Les victimes reçoivent ainsi une notification qui leur donne l’impression d’avoir été ajoutées à un groupe officiel tel que « Informations de livraison postale ». Cela semble beaucoup plus légitime qu’un simple message provenant d’un numéro étranger inconnu et réduit le seuil d’inhibition des destinataires.

Les malfaiteurs ont également recours à une astuce pour contourner les mesures de sécurité intégrées aux smartphones. Les systèmes d’exploitation modernes désactivent les liens contenus dans les messages provenant d’expéditeurs inconnus afin d’empêcher les utilisateurs d’accéder accidentellement à des sites de phishing. Les fraudeurs demandent donc aux victimes de répondre « Y » au message. Cette action est interprétée par le système d’exploitation comme une preuve de confiance, après quoi le lien malveillant, auparavant inactif, est activé et peut être cliqué. Les escrocs incitent ainsi leurs victimes à réduire activement la sécurité de leur propre appareil.

Toute la campagne est conçue pour manipuler psychologiquement les gens. En imitant des enseignes connues comme « La Poste Suisse », elle exploite le principe d’autorité. Tu trouveras plus d’infos sur ce principe dans la rétrospective hebdomadaire 31/2025. Parallèlement, les messages créent une pression énorme en utilisant des formulations telles que « la livraison n’a pas pu être effectuée » et en fixant des délais très courts pour une prétendue nouvelle livraison. Cette urgence vise à empêcher toute réflexion rationnelle et à inciter les destinataires à agir de manière impulsive. En cliquant sur le lien, l’utilisateur est redirigé vers une fausse page du site web officiel du service de livraison de colis, conçue de manière professionnelle. Sous prétexte de frais de réexpédition minimes, le site demande alors les données de la carte de crédit et d’autres informations personnelles.