Maison
Faux SMS de livraison et phishing colis : tout reconnaître (La Poste, Chronopost, DHL, Colissimo)

Faux SMS de livraison et phishing colis : tout reconnaître (La Poste, Chronopost, DHL, Colissimo)

Vous êtes au feu rouge, votre téléphone vibre. « La Poste : votre colis n’a pas pu être livré, régularisez 1,99 € avant 23h59 pour la réexpédition. » Le lien est joint, le ton est presque administratif, et la petite somme demandée semble dérisoire.

Trois minutes plus tard, votre carte bancaire est dans la nature et un faux conseiller bancaire vous appelle pour « sécuriser » vos opérations.

Ce scénario, des centaines de milliers de Français le vivent chaque mois.

Et en 2026, le piège a sérieusement changé de visage : photos de colis générées par IA avec votre nom dessus, voix synthétiques de livreurs, données personnelles volées qui rendent les SMS terriblement crédibles.

Mais une chose à savoir. Ces arnaques laissent toujours des traces. Encore faut-il savoir où regarder.

Ce guide reprend les vrais signaux par transporteur — La Poste, Colissimo, Chronopost, DHL — les scénarios qui reviennent en boucle, et la marche à suivre si vous avez déjà cliqué (ou pire, payé).

Faux SMS de livraison et phishing colis

Pourquoi 2026 a tout changé (et pourquoi votre flair d’avant ne suffit plus) ?

Pendant des années, repérer un faux SMS de livraison était presque facile.

Une faute par phrase, un lien en cdscolis-fr.xyz, un message envoyé depuis un numéro étranger… le truc sentait l’arnaque à dix mètres. Aujourd’hui, c’est une autre histoire.

D’abord, le volume. Cybermalveillance.gouv.fr a enregistré plus de 504 000 demandes d’assistance en 2025, avec 108 000 cas liés au phishing — soit une hausse de 70 %.

Un tiers des particuliers qui contactent la plateforme le font pour un hameçonnage, et la fausse livraison de colis arrive régulièrement en tête des prétextes.

Ensuite, l’IA générative. C’est sans doute la rupture majeure de l’année. Les escrocs ne se contentent plus d’un SMS texte.

Ils joignent désormais une photo ultra-réaliste d’un paquet avec votre nom et votre adresse imprimés sur l’étiquette.

Logo officiel, code-barres, QR code.

Selon TF1 Info en avril 2026, certaines campagnes utilisent même des messages vocaux entièrement synthétiques, indiscernables d’une vraie voix de livreur. Quand votre téléphone affiche un mémo audio « Bonjour, je suis passé il y a vingt minutes, votre colis ne rentrait pas dans la boîte… », votre cerveau dit oui avant que votre raison ne dise non.

De même, les fuites de données. C’est ce qui rend les SMS si troublants de précision.

La cyberattaque visant Chronopost en janvier 2025 a exposé environ 210 000 personnes, et plusieurs millions de profils ont fuité chez d’autres acteurs de la livraison.

Résultat : les escrocs croisent ces fichiers, et votre nom complet, votre adresse, parfois votre digicode, atterrissent dans le SMS frauduleux.

À retenir : si un SMS contient vos vraies infos, ce n’est plus un signe de légitimité. C’est juste le signe que vos données circulent quelque part.

Les 7 signaux qui doivent vous alerter, peu importe le transporteur

Avant d’entrer dans le détail par marque, voici les drapeaux rouges universels.

Si un seul est présent, méfiez-vous. Si deux le sont, c’est presque toujours une arnaque.

  • Le SMS vient d’un numéro mobile en 06 ou 07. Les vrais transporteurs envoient leurs notifications depuis un nom d’expéditeur (« La Poste », « Chronopost ») ou un numéro court à 5 chiffres. Pas depuis un mobile classique.
  • L’URL est bizarre, raccourcie, ou ressemble vaguement au site officiel. bit.ly, tinyurl, cutt.ly, ou des domaines comme chronopost-relivraison.fr, mondialrelay-fr.net, dhl-frais-douane.com. Le vrai Chronopost ne sera jamais sur autre chose que chronopost.fr. Les vraies URL Colissimo passent par laposte.fr. Le reste, c’est du décor.
  • On vous demande de payer une petite somme. 1,99 €, 2,50 €, 2,99 €. Ça paraît inoffensif, c’est précisément le but. Sauf cas très précis de droits de douane (j’y reviens), aucun transporteur ne vous fera payer la livraison via un lien SMS.
  •  Le message crée une urgence artificielle. « Expire dans 24h », « Dernière relance avant retour à l’expéditeur », « Action requise avant minuit ». L’urgence, c’est l’arme préférée des escrocs : elle court-circuite la réflexion.
  • Une photo de colis est jointe avec votre nom dessus. Nouveauté 2026, et c’est piégeux. Aucun transporteur n’envoie de photo personnalisée par SMS. Si on vous montre votre paquet, c’est que la photo a été générée à partir de vos données fuitées.
  • Vous n’attendez aucun colis. Évidence trop souvent ignorée. Quand on en attend cinq de Vinted, AliExpress et Amazon, on clique sans réfléchir. Faites le tri mental avant de cliquer.
  • Le ton sonne « trop poli » ou « trop pressé ». Des formules comme « Bonjour c’est le livreur, vous êtes chez vous ? » ou « j’ai un paquet pour [votre nom], je suis passé au [votre adresse] » essaient d’imiter une vraie conversation. Aucun livreur sérieux ne fait ça par SMS depuis un mobile.

Petit conseil terrain : avant de cliquer, faites un long appui sur le lien (sans relâcher).

L’aperçu de l’URL réelle apparaît. Neuf fois sur dix, ça suffit à démasquer l’arnaque.

La Poste et Colissimo : SMS livraison colis

La Poste et Colissimo : la règle du domaine et du 3631

La Poste est la marque la plus usurpée en France pour le phishing colis, simplement parce qu’elle livre tout le monde.

Heureusement, ses règles internes sont assez claires pour qui les connaît.

  • L’expéditeur d’un vrai SMS Colissimo, c’est « La Poste ». Pas un numéro mobile. Pas un nom inconnu. Si vous voyez s’afficher un 06 ou 07 comme expéditeur, vous pouvez quasiment supprimer le message les yeux fermés.
  • La Poste ne demande jamais de payer pour réceptionner un colis. Les seules exceptions sont les droits et taxes de douane (commande à l’étranger ou DROM-COM) et les défauts d’affranchissement. Et même dans ce cas, le mail vient toujours d’une adresse en @laposte.fr et le lien renvoie sur laposte.fr. Si on vous demande de régler des « frais de relivraison » ou des « frais de réexpédition », c’est une arnaque, point final.
  • Les numéros officiels sont gratuits. Le 3631 pour les particuliers, le 3634 pour les pros, depuis la France métropolitaine et les DOM. Si un SMS vous demande de rappeler un numéro en 08 surtaxé, vous savez à quoi vous en tenir.
  • Le réflexe de vérification. Au moindre doute, ne touchez pas au lien. Tapez laposte.fr dans votre navigateur et collez votre numéro de suivi dans l’outil officiel. Si le colis n’existe pas, ou si aucune action n’est demandée, le SMS était bidon.

Pour signaler : transférez le SMS à phishing@laposte.fr (ou par capture d’écran depuis le formulaire La Poste) et au 33700.

Chronopost : pourquoi le 38004 fait toute la différence

Chronopost, c’est le transporteur historique du e-commerce express, et c’est aussi l’un des plus imités. Là encore, l’entreprise a une signature claire.

  • Un vrai SMS Chronopost vient du 38004. C’est leur numéro court d’expéditeur. Tout SMS « Chronopost » envoyé depuis un mobile classique en 06 ou 07 est, selon le ministère de l’Intérieur, presque systématiquement frauduleux. Ce seul critère écarte 95 % des arnaques.
  • Chronopost ne réclame jamais de carte d’identité ni de frais de livraison pour un envoi domestique. Pour une livraison France métropolitaine standard, vous ne devez rien régler à un livreur qui passe. Les seules sommes légitimes concernent l’import/export avec des droits de douane, et dans ce cas, vous êtes redirigé vers chronopost.fr — jamais vers une URL étrange du genre chronopost-relivraison.fr ou chronopost.pickup-suivi.com (oui, ces domaines ont vraiment circulé).
  • Les emails officiels finissent en @chronopost.fr. Si vous recevez un mail de chronopost-livraison@gmail.com ou service-client@chronopost-fr.net, supprimez. Les liens cliquables d’un email Chronopost authentique commencent par https://www.chronopost.fr ou par http://n.pkup.fr, qui est leur outil de notification de livraison.
  • Le test de cohérence. Le SMS contient un numéro de suivi ? Allez sur chronopost.fr, collez le numéro. Soit ça fonctionne et vous voyez votre vrai colis (si vous en attendez un), soit le numéro n’existe pas et vous tenez la preuve de l’arnaque. Pour signaler : abuse@chronopost.fr (le contenu du SMS en copier-coller, pas en capture) et le 33700.

DHL : le piège récurrent des « frais de douane »

DHL : le piège récurrent des « frais de douane »

DHL, c’est le transporteur des envois internationaux par excellence.

Et c’est aussi pour ça que les escrocs adorent l’utiliser : la mention « droits de douane » paraît plausible quand on a commandé sur un site étranger.

  • Communication officielle uniquement depuis des domaines DHL. Les emails légitimes finissent par @dhl.com, @dpdhl.com, @dhl.de, @dhl.fr ou un domaine national équivalent. Aucun email DHL n’arrive depuis Gmail, Yahoo ou Outlook gratuit.
  • Méfiance absolue sur les URL raccourcies. Les SMS frauduleux DHL utilisent très souvent des liens en bit.ly, cutt.ly ou autres raccourcisseurs pour masquer la destination réelle. DHL ne fait pas ça. Jamais. Leurs liens vous emmènent directement sur dhl.com ou dhl.fr.
  • Le cas particulier des droits de douane. Oui, la société peut légitimement vous demander de régler des frais de douane ou de TVA pour un colis venu hors UE. Mais le processus inclut une mesure de sécurité : un mot de passe à usage unique vous est envoyé sur le contact enregistré du destinataire avant que le paiement ne soit traité. Si on vous demande votre carte bancaire sans cette étape, sur une page web aux couleurs de DHL mais hébergée ailleurs, vous êtes en train de vous faire avoir.
  • Le détail qui ne trompe pas. DHL appartient à Deutsche Post DHL, basé en Allemagne. Si vous recevez un appel téléphonique de « DHL » avec un indicatif en +235, +234 ou autre exotique hors Europe, raccrochez. Aucun conseiller DHL ne vous appellera depuis ces numéros. Pour signaler : phishing(@)dhl.com avec le SMS en copie d’écran et le numéro de l’expéditeur.

Les 5 scénarios qui reviennent en boucle

Au bout de quelques mois passés à observer ces campagnes, on s’aperçoit que les escrocs n’ont pas tant d’imagination.

Toujours les mêmes ressorts, légèrement reformulés.

  • Le colis trop gros pour la boîte aux lettres. Le grand classique. « Bonjour, je n’ai pas pu déposer votre colis, il ne rentrait pas dans la boîte. Choisissez un nouveau créneau ici : [lien] ». Marche d’autant mieux qu’il vous est probablement déjà arrivé d’avoir vraiment ce problème.
  • Les frais de douane à régler. Variante plus technique, qui cible souvent les acheteurs sur AliExpress, Temu ou Shein. « Votre colis est bloqué en douane. Réglez les frais (2,50 €) pour autoriser la livraison. » Le montant ridiculement bas est volontaire : on ne réfléchit pas pour 2,50 €.
  • La reprogrammation de livraison. « Votre livraison de demain doit être confirmée. Cliquez ici pour valider l’horaire. » Le piège : en 2026, beaucoup de plateformes proposent vraiment ça. La frontière est mince.
  • L’adresse incomplète ou le digicode manquant. Variante terriblement crédible quand l’escroc a votre vraie adresse (issue d’une fuite). « Je suis devant votre immeuble au [votre rue], il manque le digicode. Renvoyez-moi par ici : [lien]. »
  • La photo du colis « pour preuve ». L’arnaque-vedette de 2026. Le SMS arrive avec une image générée par IA : un livreur tient votre paquet, l’étiquette affiche votre nom, parfois même un faux QR code. Le réalisme est troublant. Souvenez-vous : aucun transporteur n’envoie ce type de photo personnalisée par SMS.

Le point commun à tous ces scénarios ? Une demande de clic, suivie d’une demande de paiement minime, suivie de votre carte bancaire dans la nature.

Vous avez cliqué, vous avez payé : ce qu’il faut faire dans l’heure

Soyons clairs : si vous lisez ce paragraphe avec le pouce qui tremble parce que vous venez de saisir vos coordonnées, respirez.

Ce n’est pas perdu, mais il faut bouger vite. Voici les quatre niveaux d’urgence selon ce que vous avez fait.

Niveau 1 — Vous avez juste reçu le SMS, sans cliquer

Bravo, vous êtes au sec. Transférez le message au 33700 (gratuit chez Orange, SFR, Bouygues), supprimez-le, bloquez le numéro. Inutile de paniquer.

Niveau 2 — Vous avez cliqué sur le lien mais rien saisi

Le risque réel reste limité dans la plupart des cas. La page peut tenter d’installer un cookie de tracking ou, plus rarement sur Android, proposer de télécharger un APK piégé. Quelques réflexes :

  • Fermez immédiatement l’onglet
  • Videz le cache de votre navigateur
  • Ne téléchargez aucune application proposée par cette page
  • Signalez l’URL sur phishing-initiative.fr pour qu’elle soit bloquée par les navigateurs
  • Surveillez votre téléphone les jours suivants : SMS sortants étranges, batterie qui se vide vite, pop-ups inhabituels

Niveau 3 — Vous avez saisi vos coordonnées bancaires

Là, on passe en mode opération éclair. L’ordre des actions compte.

  1. Faites opposition tout de suite. Appelez votre banque (numéro au dos de la carte ou sur l’appli). Si la banque est injoignable la nuit ou le week-end, le numéro interbancaire d’opposition fonctionne 24h/24 : 0 892 705 705 (numéro surtaxé).
  2. Changez vos mots de passe depuis un appareil sain — pas celui sur lequel vous avez cliqué. Commencez par votre messagerie principale et votre espace bancaire.
  3. Signalez sur perceval.gouv.fr (plateforme officielle pour les fraudes à la carte bancaire). Cela facilite ensuite le remboursement.
  4. Déposez plainte au commissariat ou à la gendarmerie, ou en ligne via le service Thésée. Conservez les captures d’écran du SMS, du faux site et de tout débit suspect.
  5. Signalez sur cybermalveillance.gouv.fr pour bénéficier d’une assistance gratuite.

Niveau 4 — Vous avez reçu un appel d’un faux conseiller bancaire après le SMS

C’est la suite logique de l’arnaque, et c’est là que les pertes deviennent vraiment lourdes.

Quelques heures après le clic, on vous appelle d’un numéro qui semble être celui de votre banque (les escrocs maîtrisent le spoofing). « Conseiller fraude » très professionnel, voix calme, vocabulaire bancaire impeccable.

Il vous demande de valider une opération « pour la bloquer », de communiquer un code reçu par SMS, ou de transférer vos fonds vers un « compte sécurisé ».

Règle d’or : raccrochez.

Toujours. Aucune banque sérieuse ne demandera jamais ça par téléphone. Rappelez votre conseiller habituel ou le numéro officiel de votre banque (au dos de votre carte) depuis un autre téléphone si possible.

Où signaler, et à qui ça sert vraiment

Beaucoup de gens hésitent à signaler en se disant « ça ne servira à rien ». Erreur.

Chaque signalement nourrit les bases de données qui permettent de bloquer les numéros, de fermer les sites, et parfois de remonter les filières. Voici qui fait quoi.

  • Le 33700 — pour les SMS frauduleux. Géré par les opérateurs télécoms en lien avec les pouvoirs publics, ce service permet de signaler un SMS suspect en le transférant simplement au 33700. Vous recevez ensuite une réponse vous demandant de renvoyer le numéro de l’expéditeur. C’est gratuit et ça prend trente secondes. Un numéro suffisamment signalé peut être coupé en quelques heures.
  • Phishing-Initiative (phishing-initiative.fr) — pour les URL frauduleuses. La plateforme transmet l’adresse aux navigateurs (Chrome, Firefox, Safari, Edge) qui l’ajoutent à leurs listes de blocage. Très efficace pour empêcher d’autres victimes de tomber dans le piège.
  • Cybermalveillance.gouv.fr — pour l’assistance victime. Conseils pratiques, mise en relation avec des professionnels près de chez vous, et depuis 2024 le service 17Cyber disponible 24/7 pour les cas d’urgence.
  • PHAROS (internet-signalement.gouv.fr) — pour signaler les contenus illicites en ligne, y compris les sites de phishing. Géré par le ministère de l’Intérieur.
  • Perceval — pour les fraudes à la carte bancaire spécifiquement. Indispensable si vous avez communiqué votre CB.
  • Le transporteur usurpé — toujours utile :
  • La Poste / Colissimo : phishing(@)laposte.fr
  • Chronopost : abuse(@)chronopost.fr
  • DHL : phishing(@)dhl.com

Un signalement complet auprès du transporteur, plus le 33700, plus Phishing-Initiative, c’est dix minutes de votre temps qui peuvent sauver une dizaine de personnes derrière vous.

FAQ

Faux SMS de livraison et phishing colis : tout reconnaître (La Poste, Chronopost, DHL, Colissimo)

Comment savoir si un SMS de La Poste est vraiment de La Poste ?

Trois critères principaux :

  • l’expéditeur affiche « La Poste » (et pas un numéro mobile),
  • le SMS ne réclame aucun paiement sauf droits de douane légitimes,
  • le lien éventuel renvoie sur laposte.fr. Si l’un de ces trois critères ne colle pas, c’est un faux.

Quel numéro utilise Chronopost pour ses SMS officiels ?

Chronopost envoie ses notifications depuis le numéro court 38004. Tout SMS « Chronopost » provenant d’un 06 ou 07 est très probablement frauduleux.

J’ai vu mon nom et mon adresse dans le SMS, ça veut dire qu’il est authentique ?

Non, et c’est même devenu un piège classique en 2026.

Les escrocs achètent des fichiers de données issus de fuites massives (Chronopost, Colis Privé, plateformes administratives…) et personnalisent leurs SMS avec ces informations.

Voir votre nom n’est plus un gage d’authenticité — c’est juste un signe que vos données circulent.

DHL peut-il vraiment me demander des frais de douane par SMS ?

Oui, dans le cadre d’un envoi hors UE. Mais le paiement passe toujours par le site officiel DHL avec un code de sécurité à usage unique envoyé sur votre contact enregistré.

S’il manque cette étape, ou si on vous demande votre carte sur une URL qui n’est pas en dhl.com ou dhl.fr, c’est une arnaque.

Le 33700 est-il payant ?

Non, le service est gratuit chez Orange, Bouygues Telecom et SFR.

Chez les autres opérateurs, il coûte le prix d’un SMS standard. Aucune surfacturation, aucun appel surtaxé.

J’ai cliqué sur le lien mais je n’ai rien rempli. Mon téléphone est-il infecté ?

Dans la grande majorité des cas, non.

Le but de ces faux sites est d’aspirer des données saisies par l’utilisateur, pas d’installer un virus.

Si la page vous a proposé de télécharger une application (.apk sur Android), surtout, n’installez rien.

Pour le reste, videz le cache de votre navigateur et tout devrait rentrer dans l’ordre.

Pourquoi recevoir une photo de mon colis n’est pas un bon signe ?

Les transporteurs n’envoient jamais de photo personnalisée par SMS.

Quand vous voyez en 2026 un SMS avec une image qui montre « votre » paquet, étiquette à votre nom et logo officiel, c’est presque certainement une image générée par IA à partir de vos données fuitées.

Le réalisme de ces photos est précisément ce qui les rend dangereuses.

Mon enfant / mon parent âgé est tombé dans le piège, que faire en priorité ?

La séquence reste la même : opposition bancaire d’abord (banque ou 0 892 705 705), changement de mots de passe ensuite, signalement Perceval et plainte derrière.

Et surtout : préparez-le à l’éventualité d’un faux appel « conseiller bancaire » dans les heures qui suivent. C’est souvent là que se font les plus gros dégâts financiers.

En attendant le prochain SMS suspect

Les arnaques au colis ne vont pas disparaître. Tant que les Français commanderont en ligne — et ils commandent de plus en plus —, les escrocs auront leur terrain de jeu.

Ce qui peut changer, en revanche, c’est notre temps de réaction collectif.

Trois réflexes valent tous les antivirus du monde.

Ne jamais cliquer sur un lien reçu par SMS sans avoir vérifié sur le site officiel, considérer toute demande de paiement minime comme suspecte par défaut, et signaler systématiquement au 33700 même quand on n’est pas tombé dans le piège.

C’est ennuyeux, ça prend trente secondes, mais multiplié par quelques millions de Français, ça finit par faire mal aux réseaux d’escrocs.

Si cet article vous a été utile, partagez-le à un proche qui en a probablement besoin.

Et si vous avez des doutes sur un SMS reçu, prenez le temps de le confronter aux signaux décrits plus haut avant de cliquer.

La règle de base, finalement, n’a pas changé depuis dix ans : en cas de doute, on ne clique pas, on tape soi-même l’adresse du transporteur dans son navigateur. Ça marche toujours.

 

Articles Similaires

Le site compte-enligne.com utilise des cookies afin de collecter des statistiques de visites et les partager avec ses partenaires de publicité et analyse afin de proposer des publicités ciblées. En poursuivant la navigation sur le site, vous en acceptez l’utilisation. En savoir plus

OK