Antoine DuboisUne nouvelle arnaque secoue la Suisse : le SMS Blaster, un appareil dissimulé dans le coffre d'une voiture qui force les smartphones à proximité à recevoir de faux SMS de phishing. Selon une enquête de l'émission Kassensturz de la SRF diffusée le 28 avril 2026, les escrocs ont dérobé près de 2 millions de francs à 154 victimes dans le seul canton de Genève, et 260 000 francs à environ 40 personnes dans le canton de Vaud. Huit cantons sont désormais touchés : Genève, Vaud, Zurich, Lucerne, Zoug, Tessin, Bâle-Ville et Bâle-Campagne.
Comment fonctionne le SMS Blaster
L'appareil, de la taille d'un sac à dos, se fait passer pour une antenne mobile légitime. Il émet un signal puissant qui force tous les smartphones situés dans un rayon de 500 à 1 000 mètres à s'y connecter, à l'insu de leurs propriétaires. Une fois connectés, les téléphones reçoivent automatiquement des SMS frauduleux, sans que les escrocs aient besoin de connaître les numéros visés.
Le SMS Blaster exploite une vulnérabilité du réseau 2G, encore activé par défaut sur de nombreux modèles Android. Le nom de l'expéditeur peut être librement choisi (technique du spoofing), permettant aux fraudeurs d'imiter La Poste, les CFF, DHL, l'administration fiscale ou des banques cantonales. Les messages contiennent des liens vers de faux sites de paiement où les victimes saisissent leurs données bancaires.
Une opération internationale démantelée à Bâle
Selon les autorités cantonales, un ressortissant chinois a été arrêté dans la région bâloise dans le cadre de l'enquête. Les premières investigations indiquent qu'il faisait partie d'un réseau plus large, opérant probablement depuis l'étranger avec des relais sur place. La police cantonale de Bâle-Campagne, via sa division Cybercrime, coordonne les enquêtes avec les ministères publics genevois et vaudois, ainsi qu'avec les opérateurs Swisscom, Sunrise et Salt.
L'Office fédéral de la cybersécurité (NCSC) a publié plusieurs alertes depuis l'automne 2025, classant le SMS Blaster parmi les menaces prioritaires. Sur son site officiel, l'autorité fédérale recommande de désactiver la 2G sur les smartphones Android, de ne jamais cliquer sur des liens suspects et de vérifier toute demande de paiement par un canal direct (téléphone, application bancaire officielle).
Pourquoi cette arnaque est particulièrement difficile à contrer
Contrairement au phishing classique par SMS, qui passe par les opérateurs et peut être filtré, le SMS Blaster contourne entièrement le réseau de l'opérateur. Les filtres anti-spam mis en place par Swisscom, Sunrise et Salt ne peuvent rien : les messages ne transitent jamais par leurs infrastructures. C'est l'antenne pirate qui parle directement au téléphone, comme si elle était l'opérateur officiel.
Les modèles Android plus anciens sont les plus vulnérables, mais les iPhones ne sont pas totalement à l'abri : la connexion forcée en 2G fonctionne sur tous les terminaux compatibles, soit la quasi-totalité du parc en circulation. La SRF rapporte que les escrocs ont opéré principalement dans des zones urbaines à forte densité, notamment des parkings de centres commerciaux et des quartiers d'affaires, pour maximiser le nombre de victimes potentielles à chaque session.
Les pertes documentées et l'impact sur les victimes
Le bilan financier provisoire est lourd. À Genève, 154 personnes ont perdu près de 2 millions de francs, un montant moyen d'environ 13 000 francs par victime. Dans le canton de Vaud, les 260 000 francs dérobés se répartissent sur 40 victimes, soit environ 6 500 francs en moyenne. Selon Kassensturz, les sommes les plus importantes ont été soutirées via de fausses pages de banques cantonales reproduisant fidèlement l'interface réelle.
Les remboursements par les banques restent incertains. Les conditions générales considèrent souvent que la saisie volontaire des identifiants par le client constitue une négligence grave, dégageant la banque de sa responsabilité. Plusieurs victimes ont engagé des actions en justice, et le Préposé fédéral à la protection des données suit la situation.
Comment se protéger : les gestes à adopter
Plusieurs mesures concrètes réduisent l'exposition au SMS Blaster. La première : désactiver la 2G sur Android (Paramètres > Réseau mobile > Mode réseau préféré > 4G/5G uniquement). Sur iPhone, le mode Lockdown bloque ce type d'attaque. Ensuite, ne jamais cliquer sur un lien reçu par SMS, même si l'expéditeur semble légitime ; ouvrir directement l'application officielle ou taper l'URL manuellement. Enfin, signaler tout SMS suspect à reports.ncsc.admin.ch et à son opérateur.
Les entreprises sont également exposées. Une PME dont les collaborateurs cliquent sur un lien malveillant peut voir ses comptes professionnels compromis, avec des conséquences immédiates sur la trésorerie. Pour les structures qui gèrent des données sensibles ou des paiements, un audit de cybersécurité par un expert qualifié devient indispensable. Un spécialiste en sécurité informatique, accessible via Expert Zoom, peut auditer les terminaux mobiles, configurer un MDM (Mobile Device Management) pour bloquer la 2G de manière centralisée, et former les équipes aux techniques de phishing modernes.
Quand consulter un expert en cybersécurité
Si vous avez cliqué sur un lien suspect ou saisi vos données sur une page douteuse, agissez immédiatement : appelez votre banque pour bloquer la carte, modifiez vos mots de passe depuis un appareil sain, et lancez une analyse antivirus complète. Pour les indépendants et les PME, faire appel à un expert en sécurité informatique permet d'évaluer les dégâts, de récupérer les comptes compromis et de mettre en place des mesures préventives durables. Le cas du SMS Blaster montre que les techniques d'attaque évoluent plus vite que les filtres automatiques : la formation humaine et l'audit régulier restent les défenses les plus efficaces.
