Attention à ces arnaques au péage, de plus en plus sophistiquées

Depuis le printemps dernier, toutes les sociétés d’autoroutes sont victimes d’usurpations d’identité émanant d’escrocs qui ont pour but d’arnaquer les automobilistes. Leurs méthodes sont si sophistiquées qu’il est parfois difficile de démêler le vrai du faux. Explications.

Comme ses concurrents, Ulys est victime d'une campagne de «smishing» lié au paiement des péages en flux libre. © KETTY BEYONDAS/MAXPPP/ULYS

Par Xavier Martinage, Journaliste

Publié le 11 décembre 2025 à 10h07. Mis à jour le 12 décembre 2025 à 10h37.

Lecture : 2 min

Le «smishing» est devenu, depuis quelques mois, une arnaque redoutable. Forme de phishing par SMS, elle permet à un escroc de se faire passer pour une administration, une banque, un service de livraison ou tout autre organisme afin de vous soutirer des informations personnelles ou des données bancaires. Et il semble que cette arnaque se soit répandue sur la route. Comment ? En visant principalement les automobilistes empruntant les péages à flux libre. «Nous avons vu les premiers messages arriver au printemps et, depuis, toutes les sociétés d’autoroutes comme Vinci ont été touchées», explique au Parisien l’expert en cybersécurité de Cybermalveillance.gouv.fr, Christophe Sicard.

Concrètement, quelle forme cette arnaque revêt-elle ? Sur les autoroutes qui ont installé des péages à flux libre, les automobilistes n’étant pas abonnés au télépéage doivent régler leur passage dans un délai de 72 heures en ligne sur le site ou l’application de la société d’autoroute ou en espèces et par carte bancaire chez un commerçant agréé. Résultat, des petits malins ont trouvé le moyen de s’engouffrer dans la brèche en envoyant de faux SMS usurpant l’identité des sociétés d’autoroutes. «Cher(e) client(e), un solde impayé de 6,80 euros reste dû. Sans régularisation avant le 10/12/2025, votre service sera suspendu définitivement. Merci de suivre les instructions sur…», peut-on lire sur un SMS consulté par nos confrères.

La plaque d’immatriculation citée dans le SMS

Evidemment, les usagers sont redirigés vers un site internet sur lequel ils doivent payer. Ce site est frauduleux, mais reprend pourtant tous les codes de la société autoroutière en question. Vinci, la Sanef, Ulys… tous semblent visés. «Nous sommes victimes d’usurpation d’identité par des campagnes de phishing que nous ne pouvons pas anticiper», indique par exemple au Parisien Ulys, qui ajoute avoir déposé plainte. Comme dans tout type de phishing, plus ou moins grossier d’ailleurs, les escrocs souhaitent accéder à vos données personnelles, voire récupérer une petite somme d’argent et possiblement récupérer vos données bancaires.

Mais dernièrement, des automobilistes de l’A13 ont fait part d’une sophistication dans l’arnaque puisque dans les messages envoyés, les aigrefins indiquent le nom, le prénom, mais également la marque et la plaque d’immatriculation du véhicule. Comment est-ce possible ? Vraisemblablement grâce aux vastes fuites de données des derniers mois, laissant dans la nature de nombreuses informations personnelles.

Des fichiers recoupés et analysés grâce à l’IA

Interrogé par nos confrères, le directeur technique EMEA de la société de cybersécurité Tenable explique que les escrocs «procèdent comme le font les réseaux sociaux en agrégeant les données et ils appliquent des modèles d’IA pour classifier les données et générer des attaques personnalisées». Concernant les marques de voitures et les plaques d’immatriculation, il faut se tourner vers les cyberattaques dont ont été victimes dernièrement certaines entreprises spécialisées dans l'automobile. Raison de plus pour faire preuve de vigilance et privilégier les sites officiels des organismes en question si vous avez des paiements à réaliser.