La recrudescence des arnaques par SMS (smishing) appelle un durcissement des dispositifs de sécurité. Les opérateurs mobiles, agrégateurs et associations professionnelles (AF2M) rappellent qu’un « nombre important de cas de fraude » a nécessité l’adoption de nouvelles règles contractuelles. L’identifiant d’émetteur (SenderID ou OADC – Originator Address Code) des messages est désormais très surveillé pour empêcher l’usurpation d’identité. Ces dispositions, qui sont en vigueur depuis le 10 mars 2025, visent à protéger les abonnés contre des arnaques coûteuses, souvent dirigées contre des marques ou institutions connues.
Qu’est-ce que le smishing et quels enjeux ?
Le smishing (SMS-phishing) est une escroquerie où l’attaquant envoie un SMS frauduleux en usurpant l’identité d’une entité légitime. Le message invite la victime à cliquer sur un lien ou à fournir des données personnelles ou bancaires, sous prétexte d’une situation alarmante (virement suspect, livraison de colis, facture en souffrance, etc.). Dans 95 % des cas, ce SMS frauduleux contient un lien redirigeant vers un faux site web usurpant une marque connue afin de subtiliser les données bancaires. Les enjeux sont importants : en plus du vol de données et des pertes financières, ces attaques détériorent la confiance des utilisateurs et des partenaires dans les services de téléphonie mobile. C’est pourquoi le renforcement des contrôles sur le SenderID s’inscrit dans une stratégie plus large de lutte contre le phishing par SMS.
Nouvelles exigences sur les SenderID
Pour les SMS professionnels (“Push SMS”), l’émetteur peut être un code court numérique (5 chiffres débutant par 36xxx ou 38xxx) ou un SenderID alphanumérique (OADC) d’au plus 11 caractères. La nouvelle charte Business Messaging AF2M impose que cet identifiant personnalisé ne comporte que des lettres (et éventuellement des chiffres) et soit limité à 11 caractères. Autrement dit, tout SenderID constitué uniquement de chiffres (hors numéros courts officiels) est interdit. De même, aucun caractère spécial ni espace n’est autorisé dans l’émetteur du SMS.
En outre, l’AF2M a listé des termes génériques qui ne doivent plus être utilisés comme SenderID. Les identifiants tels que ALERTE, RDV, PAIEMENT, BANQUE, COLIS, LIVRAISON, etc., sont désormais proscrits. Ces mots génériques, qui ne renvoient à aucune marque précise, sont interdits dans le champ expéditeur.
Par ailleurs, la charte AF2M définit deux catégories de SenderID sensibles : « Strictement Interdit » (SI) et « Interdit Sauf Autorisation » (ISA). Un OADC marqué SI (par exemple des noms d’institutions publiques ou de banques comme CPAM, Ameli, Banque) est formellement proscrit : tout SMS émis avec un tel OADC sera systématiquement bloqué par les opérateurs. Un OADC classé ISA (par exemple des marques commerciales comme Netflix, Amazon, Apple, EDF, etc.) ne peut être utilisé qu’avec l’autorisation explicite de la marque concernée et après déclaration auprès de l’AF2M. Sans ce consentement préalable, ces SenderID restent interdits.
Conséquences en cas de non-conformité
Le non-respect de ces règles entraîne des mesures strictes :
- Blocage du SMS : Tout message avec un SenderID non conforme (notamment un OADC « SI ») peut se voir systématiquement refuser la délivrance par l’opérateur.
- Remplacement automatique : Les plateformes d’envoi peuvent écraser l’identifiant non valide en le remplaçant par un code par défaut ou un numéro court, assurant ainsi la livraison du SMS sous un autre expéditeur.
- Amendes et pénalités : L’envoi de messages frauduleux ou d’SenderID interdit peut entraîner des amendes infligées par l’opérateur. Par exemple, l’opérateur facture généralement une sanction financière pour chaque envoi non conforme, répercutée sur l’expéditeur du message.
- Sanctions contractuelles : La violation répétée de ces engagements peut conduire à des pénalités contractuelles, voire à la suspension ou résiliation des contrats de service.
Recommandations pour se mettre en conformité
- Vérifier le format des SenderID : s’assurer que chaque identifiant d’expéditeur est au plus de 11 caractères, exclusivement alphanumérique, sans caractère spécial.
- Éviter le numérique pur : ne pas utiliser de SenderID composé uniquement de chiffres (sauf les codes courts officiels validés).
- Écarter les termes génériques : ne pas utiliser de mots courants comme Alerte, Paiement, Livraison, etc., dans le champ expéditeur.
- Respecter la procédure AF2M : pour tout SenderID de marque (statut ISA), obtenir l’autorisation écrite du propriétaire et déclarer ce code dans la charte Business Messaging AF2M. Vérifier régulièrement la liste des OADC sensibles ou interdits publiée par l’AF2M.
- Utiliser une plateforme labellisée : privilégier un agrégateur SMS ou un fournisseur qui implémente les contrôles AF2M en amont, filtrant automatiquement les expéditeurs non conformes et bloquant les liens suspects.
- Former ses équipes : sensibiliser les responsables marketing et IT aux nouvelles règles afin qu’ils contrôlent systématiquement les listes d’expéditeurs avant tout envoi.
Checklist rapide
- SenderID alphanumérique, ≤ 11 caractères
- Aucun caractère spécial ni espace
- Pas de SenderID composé uniquement de chiffres (hors code court)
- Pas de mot générique (alerte, banque, livraison, etc.)
- Autorisation AF2M obtenue pour tout OADC “Interdit Sauf Autorisation”
- Liste AF2M des OADC à jour et contrôlée via votre agrégateur
Conclusion : agir sans tarder
La mise en œuvre de ces nouvelles obligations est impérative pour assurer la délivrabilité des SMS et se prémunir contre les risques de fraude. En pratique, cela implique de revoir sans délai vos listes d’expéditeurs et de vous assurer que chaque SenderID utilisé est conforme aux spécifications AF2M. Depuis la transition du 10 mars 2025, il est fortement conseillé d’agir immédiatement pour mettre à jour vos outils d’envoi et vos processus internes. Adoptez dès maintenant ces recommandations pour protéger vos clients, éviter blocages de service et sanctions contractuelles.
Pour approfondir vos connaissances et découvrir les erreurs courantes à éviter en SMS marketing, consultez notre article : 10 erreurs à éviter en SMS marketing.
Sources : directives de l’AF2M sur la protection des OADC sensibles.