Fraude au SMS Pumping : qu'est-ce que c'est et comment s'en protéger ?
Si votre application utilise la vérification par téléphone, vous serez très probablement ciblé par la fraude au SMS Pumping. Voici tout ce que vous devez savoir à ce sujet.
Rowan Haddad
Content & SEO Manager
Si votre application utilise la vérification par téléphone, vous serez très probablement la cible d'une fraude par pompage de SMS (SMS pumping) à un moment donné. L'analyse effectuée par Prelude sur 205 millions de demandes d'authentification en 2025 a révélé que 11,83 % de l'ensemble du trafic de vérification était frauduleux, ce qui a permis d'éviter 3,26 millions de dollars de frais de SMS sur l'ensemble des données (Rapport 2025 de Prelude sur la fraude par pompage de SMS). À l'échelle du secteur, les pertes mondiales dues au pompage de SMS ont dépassé 1,2 milliard de dollars par an en 2025, la perte moyenne par incident majeur étant estimée à 380 000 dollars (DataIntelo, 2025).
Le pompage de SMS est l'un des nombreux types de fraude aux OTP qui exploitent les flux de vérification téléphonique. Les attaquants exploitent ces flux pour générer du trafic SMS vers des numéros surtaxés qu'ils contrôlent, obligeant les entreprises à absorber les coûts d'envoi. Pour une vue d'ensemble complète, consultez notre Guide complet sur la fraude aux OTP.
Dans ce guide, nous détaillerons ce qu'est la fraude par pompage de SMS, comment elle fonctionne et, surtout, comment protéger votre entreprise contre cette menace croissante.
Qu'est-ce que le pompage de SMS ?
Le pompage de SMS est un type d'arnaque dans lequel les fraudeurs génèrent de faux SMS vers des numéros surtaxés qu'ils contrôlent afin de gagner de l'argent. Soit ils incitent les utilisateurs à envoyer ces messages, soit ils exploitent des services numériques comme les OTP (mots de passe à usage unique) pour déclencher un trafic SMS automatisé.
Les fraudeurs collaborent souvent avec des opérateurs mobiles peu scrupuleux ou trouvent des moyens de détourner des routes SMS pour générer ce faux trafic. Étant donné que les entreprises paient pour chaque SMS envoyé et que les clients peuvent accumuler à leur insu des frais vers des numéros surtaxés, les dommages financiers peuvent être considérables.
Également connu sous le nom de fraude aux frais de SMS (SMS Toll Fraud) ou de trafic artificiellement gonflé (AIT), le pompage de SMS est une variante de la fraude au partage de revenus internationaux (IRSF). Le mécanisme sous-jacent est le même (exploiter les accords de partage de revenus télécoms), mais le pompage de SMS cible spécifiquement vos points de contact OTP et de vérification plutôt que l'infrastructure télécom traditionnelle.
Contrairement au piratage de compte ou aux attaques par bourrage d'identifiants, le but de l'attaquant n'est pas d'accéder aux comptes des utilisateurs ou de voler des données.
L'objectif est beaucoup plus simple : générer du trafic SMS facturable à grande échelle.
Comment fonctionne le pompage de SMS
Le pompage de SMS nécessite deux éléments : l'accès à un point de contact OTP à fort volume et un partenariat avec une route télécom qui rémunère le trafic généré.
Étape 1 - L'attaquant obtient un partage des revenus. Les fraudeurs s'associent d'abord avec des opérateurs peu scrupuleux ou accèdent à des numéros surtaxés. Ils promettent à ces opérateurs des volumes de SMS élevés et des revenus accrus, en utilisant des numéros surtaxés internationaux (IPRN) pour acheminer le trafic.
Étape 2 - Ils identifient un point cible. Les formulaires d'inscription, les pages de connexion, les flux de réinitialisation de mot de passe et les formulaires de réclamation d'offres promotionnelles deviennent des cibles. En gros, tout point de contact qui déclenche l'envoi d'un SMS lorsqu'un numéro de téléphone est soumis.
Étape 3 - Des robots inondent le point de contact. Les fraudeurs inondent le système de trafic SMS en faisant défiler des formats de numéros d'apparence réelle dans les tranches ciblées. Votre système envoie alors des messages OTP à ces numéros. Le fraudeur récupère une part des frais prélevés par message. Ces SMS sont acheminés vers des numéros surtaxés contrôlés par les fraudeurs, généralement à l'étranger, gonflant ainsi la facture des entreprises qui paient au message.
Étape 4 - Les dégâts sont invisibles jusqu'à l'arrivée de la facture. Lorsque la victime (une entreprise ou un particulier) reçoit la facture gonflée, l'opérateur partage les revenus avec les fraudeurs qui ont orchestré l'attaque. C'est ce qui rend le pompage de SMS particulièrement destructeur. Le trafic ne génère aucun échec de connexion, aucun événement d'accès suspect, ni aucune plainte d'utilisateur. Chaque message apparaît comme correctement distribué. Le premier signal d'alerte est généralement une anomalie de facturation, souvent des jours ou des semaines après l'attaque.
En résumé, les escrocs ainsi que leurs partenaires complices tirent profit de ce faux trafic SMS, tandis que la victime se retrouve à devoir payer la facture.
Pourquoi les systèmes OTP sont-ils particulièrement vulnérables ?
Le pompage de SMS fonctionne parce que les systèmes OTP intègrent par conception une vulnérabilité structurelle : le point de contact d'envoi doit être public, le coût est absorbé par la plateforme, et la réussite de l'opération ne nécessite pas la présence d'un utilisateur réel à l'autre bout.
En pratique, cela signifie qu'un formulaire d'inscription ou un flux de réinitialisation de mot de passe doit accepter les requêtes de n'importe qui. Contrairement aux API authentifiées qui nécessitent une session ou un jeton d'accès valide, les points de contact d'envoi d'OTP sont ouverts par nature. Il n'y a aucun identifiant à voler, ni aucune session à compromettre. N'importe quel robot peut les déclencher.
De plus, les flux de vérification ont tendance à être prévisibles. Les formulaires d'inscription, les flux de réinitialisation de mot de passe et les pages de connexion suivent des schémas constants : ils acceptent un numéro de téléphone, déclenchent un envoi et attendent la saisie d'un code, ce qui signifie que les robots peuvent facilement reproduire ce flux à grande échelle.
Les plateformes, de leur côté, absorbent les coûts quel que soit le résultat. Chaque message envoyé par votre système génère des frais, que ce soit un utilisateur réel qui l'ait demandé ou non, que le code soit finalisé ou non, et même si le numéro de téléphone n'existe pas. En d'autres termes, elles supportent l'intégralité du coût de chaque requête, qu'elle soit frauduleuse ou non.
De plus, la facturation télécom crée un modèle de revenus direct pour les attaquants. Le système mondial d'acheminement des SMS a été bâti sur des accords de règlement entre opérateurs. Les fraudeurs s'insèrent dans ce système en acquérant ou en s'associant à des tranches de numéros qui génèrent un reversement lors de la réception des messages. Chaque OTP que votre système envoie à ces numéros met de l'argent dans la poche de l'attaquant. Il n'existe aucun mécanisme équivalent dans la plupart des autres types de fraude ; le pompage de SMS est l'une des rares attaques où l'infrastructure du propre fournisseur de la victime finance directement l'attaquant.
Ce type de fraude peut causer des dégâts majeurs car de nombreuses applications manquent de fonctionnalités telles que l'analyse des appareils, l'analyse comportementale, l'évaluation des risques des opérateurs, la limitation adaptative du débit et les contrôles de vérification sensibles à la fraude. Cela crée un environnement où les attaquants peuvent générer un trafic OTP massif avec très peu de résistance.
La seule défense capable de contrer efficacement le pompage de SMS avant qu'il ne cause des dommages consiste à évaluer le numéro de destination avant l'envoi, ce que de nombreuses intégrations OTP ne font pas.
Exemples concrets
L'application fintech : Campagne promotionnelle qui tourne mal
Une application fintech lance une campagne de parrainage : un utilisateur invite un ami, et les deux comptes reçoivent un crédit de 80 $. Pour réclamer la récompense, l'utilisateur parrainé doit simplement s'inscrire et vérifier son numéro de téléphone.
Dans les 48 heures suivant le lancement de la campagne, le volume d'envois d'OTP est 40 fois supérieur au taux attendu. Des robots bombardent le point de contact d'inscription avec des milliers de numéros de téléphone par heure, tous acheminés vers des tranches surtaxées contrôlées par l'attaquant. Le mécanisme de parrainage n'a même pas d'importance ; les attaquants ne cherchent pas à obtenir le crédit de parrainage. Ce qu'ils veulent, ce sont les messages OTP eux-mêmes. La plupart des « nouveaux comptes » créés pendant l'attaque affichent une activité nulle et ne sont plus jamais réutilisés.
Parce que les messages semblent correctement distribués, l'attaque passe inaperçue jusqu'à ce que les alertes de facturation se déclenchent quelques jours plus tard. Le premier signal a été la facture.
L'entreprise : Des inscriptions fictives à grande échelle
DopeSocks, un service d'abonnement de vêtements haut de gamme sur abonnement, propose à ses clients 15 % de réduction sur leur premier abonnement s'ils saisissent leur numéro de téléphone sur son site web.
Une fois que le client a saisi son numéro de téléphone, l'entreprise lui envoie un SMS contenant le code de réduction. C'est une stratégie simple pour stimuler les inscriptions de clients intéressés.
Mais les fraudeurs y voient une opportunité. Ils utilisent des robots pour inonder le site de milliers de faux numéros de téléphone. Chaque numéro déclenche l'envoi d'un SMS acheminé vers un numéro surtaxé contrôlé par les escrocs.
DopeSocks se retrouve avec une facture de SMS colossale mais aucun client réel. Chaque SMS envoyé est allé vers des numéros frauduleux, profitant uniquement aux escrocs. DopeSocks comptabilise une facture de SMS exorbitante et zéro nouveau client. Tous les messages ont été envoyés vers des numéros frauduleux qui n'auraient jamais pu être convertis.
Lorsque ces messages sont envoyés, ils transitent de réseau en réseau avant d'atteindre leur destination. Cela signifie qu'il n'y a aucun moyen de détecter quel réseau est de connivence avec les auteurs de cette fraude aux SMS. Dans la plupart des cas, vous n'identifierez jamais le criminel qui a fraudé votre système.
La plateforme : 60 millions de dollars par an en faux trafic de double authentification (2FA)
Même les plateformes les plus grandes disposant d'importantes ressources d'ingénierie ne sont pas à l'abri. Elon Musk a publiquement signalé en 2023 que Twitter se voyait facturer environ 60 millions de dollars par an pour de faux SMS de double authentification générés par des réseaux de fraude télécom, ce qui illustre à quel point le pompage de SMS s'amplifie rapidement s'il n'est pas détecté à temps.
Comment la fraude par pompage de SMS nuit à votre entreprise
La fraude aux SMS est très répandue et peut impacter les entreprises de plusieurs manières :
Perte financière directe
C'est l'impact le plus immédiat. Le trafic SMS frauduleux entraîne des pertes financières massives. Étant donné que les entreprises paient pour chaque SMS envoyé, les escrocs exploitent ce fonctionnement pour gonfler les charges en acheminant les messages vers des numéros surtaxés qu'ils contrôlent.
Chaque envoi d'OTP frauduleux correspond à des frais bien réels. Votre plateforme paie par message d'envoi, et les attaquants en profiteront aussi longtemps qu'ils le pourront. Une seule campagne peut coûter des dizaines de milliers de dollars avant d'être détectée. Un assaut de grande envergure contre un point de contact non protégé peut coûter des centaines de milliers de dollars en 72 heures.
Contrairement à la plupart des fraudes, les pertes liées au pompage de SMS sont rarement récupérables. Au moment où la facture arrive, les messages ont déjà été envoyés et les frais ont été facturés.
C'est pourquoi il est essentiel d'avoir en place des outils robustes pour la prévention des abus sur les offres promotionnelles, tels qu'un contrôle en temps réel et un blocage automatique, afin de protéger à la fois vos utilisateurs et votre budget.
Abus de plateforme et prolifération de faux comptes
Le pompage de SMS intervient rarement de manière isolée.
La même infrastructure utilisée pour générer du trafic OTP frauduleux sert souvent à la création de faux comptes, au contournement des campagnes de parrainage, aux campagnes de spams, aux faux processus d'inscription ou d'onboarding, et à l'abus d'offres promotionnelles.
À mesure que les comptes frauduleux s'accumulent, les problèmes de modération, de conformité et de confiance se multiplient sur l'ensemble de la plateforme.
Pollution des indicateurs et fausses données
Le pompage de SMS génère des faux comptes à grande échelle. Vos statistiques d'inscription, d'utilisateurs actifs quotidiens (DAU), mensuels (MAU) et vos données de cohortes se retrouvent gonflées artificiellement par des profils qui n'existent pas.
Votre base d'utilisateurs est polluée par des profils fictifs. Vos taux de conversion s'effondrent tandis que vos coûts d'acquisition client explosent, ce qui complique la justification des dépenses marketing. Vos rapports et analyses perdent toute fiabilité, et des données erronées entraînent de mauvaises décisions stratégiques.
En résumé, le faux trafic empoisonne vos indicateurs de performance et empêche d'appréhender le véritable comportement de vos clients. Sans données précises, vos stratégies marketing et commerciales en pâtissent, et vous finissez par perdre du temps, de l'argent et des ressources à poursuivre des chimères.
Saturation des canaux
Une attaque de pompage de SMS à grande échelle submerge votre infrastructure d'envoi de messages, en l'engorgeant de faux trafic. Votre fournisseur de SMS est surchargé, ce qui entraîne des retards ou des interruptions totales de service.
Les utilisateurs réels essayant d'obtenir un code de connexion, une confirmation de paiement ou une réinitialisation de mot de passe voient leurs messages retardés ou complètement bloqués. Cela impacte particulièrement les périodes de pointe : lors du lancement de promotions, d'événements de vente à fort trafic, ou de moments critiques pour la sécurité comme la récupération de compte.
Il en résulte de la frustration chez vos utilisateurs, des paniers abandonnés et une perte de confiance dans votre marque.
Non-conformité et risques d'atteinte à la réputation
Le pompage de SMS s'accompagne souvent de la création de faux comptes, générés par des robots qui passent avec succès la vérification de numéro de téléphone et s'accumulent dans votre base de données. Dans le cadre des réglementations KYC (Know Your Customer) et LCB-FT (lutte contre le blanchiment d'argent et le financement du terrorisme), un flux de vérification qu'un compte synthétique peut facilement franchir expose l'entreprise à des sanctions de conformité. Sous le RGPD et d'autres cadres similaires, une plateforme incapable de prouver des contrôles actifs contre la fraude s'expose à un examen minutieux des régulateurs.
L'impact sur la réputation est plus difficile à chiffrer mais s'accumule au fil du temps. Les utilisateurs dont les connexions sont retardées ou interrompues pendant une attaque perdent confiance dans la plateforme, et le simple fait d'être associé à une activité frauduleuse, même en tant que victime, érode la crédibilité de la marque.
La fraude ne nuit pas seulement à votre rentabilité commerciale, elle anéantit la confiance. Que ce soit de la part de vos clients ou de vos collaborateurs, une fois que la confiance est rompue, il est extrêmement difficile de la rebâtir.
Coûts opérationnels supplémentaires
Gérer les retombées d'une fraude par pompage de SMS ne pèse pas uniquement sur vos ressources financières. Cela sollicitera également de manière excessive la productivité de vos collaborateurs, car le personnel de cybersécurité aura fort à faire pour résoudre les incidents de chaque victime touchée.
Ils doivent également enquêter sur chaque transaction frauduleuse, gérer les clients mécontents (à juste titre), mettre en place des mécanismes de sécurité plus robustes pour l'avenir et, dans la mesure du possible, engager des poursuites judiciaires contre les fraudeurs (si tant est qu'ils puissent être identifiés).
Comment détecter la fraude par pompage de SMS
Le trafic de pompage de SMS est conçu pour ressembler à de l'activité utilisateur légitime. Ces indices clés aident à distinguer le trafic OTP frauduleux des utilisateurs réels :
Pics anormaux de volume d'OTP
Si vos demandes d'OTP ou vos envois de SMS augmentent brutalement sans hausse correspondante de l'activité de vos utilisateurs légitimes ou sans le lancement d'une campagne marketing, il est fort probable que des fraudeurs soient à l'œuvre.
Trafic concentré sur des zones géographiques spécifiques
Si vous constatez un volume élevé de SMS envoyés vers des pays où votre entreprise n'opère pas ou ne possède pas de base de clients significative, cela peut indiquer que des fraudeurs exploitent vos services de SMS.
Numéros de téléphone séquentiels ou structurés
Si les numéros de téléphone demandant des OTP se ressemblent étrangement ou suivent des schémas séquentiels (par ex., +1234567801, +1234567802, +1234567803), cela n'a rien d'une coïncidence.
Les robots utilisent souvent des listes de numéros automatisées pour déclencher des envois d'OTP, l'identification de ces schémas est donc un indicateur évident de pompage de SMS.
Requêtes acheminées via des proxys résidentiels
Les proxys résidentiels sont devenus l'infrastructure d'attaque privilégiée en 2025, utilisés par les attaquants pour distribuer leur trafic et contourner les blocages par adresses IP (Rapport 2025 de Prelude sur la fraude par pompage de SMS).
Effondrement du ratio envoi-vérification
Un ratio d'envois d'OTP par rapport aux codes saisis supérieur à 2:1 constitue une alerte forte ; les fraudeurs n'ont pas besoin de valider le code, seul l'envoi du message leur importe.
Par conséquent, si vous remarquez une baisse de votre taux de conversion (sur l'ensemble de la plateforme ou dans un pays spécifique), c'est l'indice fort qu'un trafic frauduleux gonfle votre volume d'inscriptions sans apporter de valeur réelle.
Plaintes des clients pour cause de retards d'envoi
Les fraudeurs qui engorgent votre système d'envoi de SMS peuvent entraîner des retards pour les utilisateurs réels qui tentent d'obtenir leurs codes de vérification.
Si votre équipe de support client commence à recevoir des réclamations concernant des lenteurs dans la réception des codes d'accès, votre système est peut-être surchargé de requêtes fictives.
Nouvelles cohortes de comptes avec un engagement quasi nul
Si vous commencez à observer des pics d'inscription qui ne se traduisent par aucune activité ultérieure (connexions, achats, sessions), vous êtes très probablement la cible de fraudeurs.
Budget SMS s'épuisant plus vite que prévu
Votre ratio dépenses/activité est l'indicateur a posteriori le plus évident ; lorsqu'il se manifeste, les dégâts financiers ont déjà été causés.
Les six premiers signaux peuvent être détectés en temps réel. Le dernier est un indicateur tardif, ce qui démontre tout l'intérêt d'une détection en temps réel.
Comment prévenir les attaques de pompage de SMS
Une prévention efficace contre le pompage de SMS requiert à la fois un renforcement de votre infrastructure et une détection des fraudes en temps réel, avant même l'envoi du message.
1. Mettre en place des limites de débit adaptatives (rate limiting)
L'un des moyens les plus couramment employés pour stopper la fraude par pompage de SMS consiste à appliquer des limites de débit. Cela suppose de fixer un plafond pour le volume quotidien de messages ou des seuils de dépenses.
Par exemple, vous pouvez définir une règle spécifiant que votre dépense de SMS ne doit jamais dépasser 300 $ par jour pour les vérifications d'OTP et les authentifications par SMS. Cette sécurité vous évite d'être confronté à une facture astronomique à la fin du mois ou de l'année.
Toutefois, restez vigilant. Bien que la limitation de débit bloque l'activité frauduleuse, elle peut également générer des faux positifs et empêcher d'authentiques utilisateurs de finaliser leurs parcours, en particulier si votre application connaît une augmentation soudaine de son trafic réel. Une surveillance continue et un ajustement des limites en phase avec votre croissance sont essentiels pour concilier sécurité et expérience utilisateur.
2. Classification du numéro de téléphone avant l'envoi
Avant d'expédier un OTP, évaluez les signaux de risque associés au numéro de destination :
Type de numéro : les numéros VoIP, virtuels ou jetables sont nettement plus susceptibles d'être utilisés dans des campagnes de pompage que les numéros mobiles classiques gérés par de grands opérateurs. Marquez ou bloquez les envois vers ces types de numéros.
Risque géographique : les numéros rattachés à des indicatifs de pays à haut risque ou à des préfixes connus pour être associés à de la fraude surtaxée devraient déclencher un contrôle approfondi ou un blocage automatique.
Numéros récemment activés : les numéros ayant un historique d'activation très court constituent un signal d'alerte classique dans les campagnes de pompage automatisées.
3. Appliquer des restrictions géographiques
Si votre produit n'opère pas sur un marché particulier, il n'y a aucune raison légitime d'y envoyer des OTP. Restreindre géographiquement vos envois à vos seuls marchés actifs est l'un des mécanismes les plus rapides à mettre en œuvre et l'un des plus efficaces pour réduire l'exposition à la fraude par numéros surtaxés internationaux.
Soyez précis : des blocages de pays de manière trop globale pénaliseront vos utilisateurs légitimes. Exploitez vos données géographiques réelles d'utilisateurs pour configurer votre liste d'autorisation.
4. Surveiller les ratios envoi-vérification
L'un des indicateurs de fraude les plus manifestes se traduit par l'effondrement du taux de validation des OTP, car le trafic frauduleux ne génère que des envois, et aucun processus d'authentification réussi.
Surveiller ces ratios en temps réel permet d'identifier les attaques très tôt.
5. Tirer parti de la connaissance des routes de votre fournisseur
Associez-vous à un fournisseur d'OTP qui surveille et bloque activement les routes sujettes à la fraude. Un prestataire qui tire profit d'une marge par message n'a aucun intérêt structurel à bloquer le trafic. Privilégiez une tarification transparente sans marge déguisée sur chaque message et un engagement clair en matière de gestion de la fraude au niveau de l'acheminement.
6. Utiliser l'évaluation des risques en temps réel
Les listes de blocage statiques deviennent rapidement obsolètes. Par conséquent, les systèmes de détection doivent évoluer au même rythme que l'infrastructure des attaquants.
La prévention moderne contre la fraude exige donc :
Des modèles de risque adaptatifs
De l'analyse comportementale
Des signaux actualisés en permanence
Une prise de décision en temps réel
Comment Prelude détecte le pompage de SMS avant l'envoi de l'OTP
L'approche de Prelude concernant le pompage de SMS consiste à détecter la menace avant l'envoi, et non pas après avoir subi le préjudice financier.
La solution Watch API évalue chaque demande d'OTP avant que le message ne soit expédié. Concernant spécifiquement le pompage de SMS, elle met en évidence :
La classification du type de numéro : détection en temps réel des numéros VoIP, jetables et virtuels avant l'envoi du message
L'évaluation du risque géographique : analyse des préfixes et des indicatifs de pays au regard des schémas de fraude connus et des risques sur les routes surtaxées
La vélocité et la détection d'anomalies : identification des schémas de requêtes inhabituels ciblés sur vos points de contact, et pas seulement de façon généralisée
Les signaux liés aux proxys résidentiels et aux IP : les réseaux de robots transitent souvent par des tranches d'IP identifiables ; ces dernières sont évaluées dans le cadre de l'analyse des risques avant envoi
La solution Verify API s'appuie sur le machine learning pour analyser les numéros de téléphone, signaler les comportements suspects et stopper le faux trafic avant qu'il n'atteigne votre fournisseur de SMS. Dans le jeu de données 2025 de Prelude, la détection basée sur le machine learning a représenté près de 78 % de toutes les requêtes frauduleuses bloquées, révélant les limites des règles statiques face aux attaquants adaptatifs qui modifient leurs adresses IP, permutent leurs proxys résidentiels et imitent le rythme d'utilisation des utilisateurs réels.
Grâce au renseignement de sources ouvertes, à des partenariats stratégiques et à la R&D, nous actualisons en permanence notre liste d'exclusion de numéros frauduleux connus, vous évitant d'envoyer des SMS à des escrocs et vous garantissant de ne payer que pour vos utilisateurs réels.
En cas de détection d'une activité suspecte, nous bloquons instantanément l'interaction, vous évitant de mauvaises surprises sur vos factures de SMS et maintenant des taux de conversion élevés.
Pour chaque tentative de connexion ou d'authentification, le système associe vos données d'utilisateur à nos outils de diagnostic des risques pour repérer les comportements anormaux. Cela permet de bloquer les robots, le spam et les tentatives d'escroquerie avant qu'ils ne causent des dommages, le tout sans gêner vos utilisateurs légitimes.
Exemple d'une attaque bloquée
Voici l'exemple concret d’une attaque que Prelude a récemment endiguée pour le compte d'un client européen du secteur de la foodtech.
L'attaque provenait de numéros de téléphone enregistrés au Royaume-Uni, l'un des marchés sur lesquels ce client opère activement. Bien que la localisation ne paraisse pas suspecte à première vue, l'algorithme avancé de Prelude a identifié une anomalie : des dizaines de numéros au sein d'une même tranche de numéros affichaient des taux de conversion anormalement bas.
Grâce à cette détection précoce, Prelude a pu bloquer préventivement ces numéros avant que l'attaque ne prenne de l'ampleur. L'activité frauduleuse a persisté pendant quelques jours, mais dès que les fraudeurs ont constaté son échec, ils ont abandonné l'assaut.
Le volume de messages frauduleux bloqués équivalait presque à la totalité du trafic mensuel normal de ce client, lui évitant ainsi de perdre plusieurs milliers de dollars dans cette attaque.
Avec Prelude, vous bénéficiez d'une prévention proactive contre la fraude sans compromettre l'expérience de vos véritables utilisateurs.
Si vous êtes prêt à protéger votre entreprise contre la fraude par SMS, inscrivez-vous gratuitement et commencez à tester l'API de Prelude dès aujourd'hui.
Qu'est-ce que la fraude par pompage de SMS ?
La fraude par pompage de SMS, également appelée trafic artificiellement gonflé (AIT) ou fraude aux frais de SMS (toll fraud), se produit lorsque des attaquants inondent vos formulaires d'OTP de requêtes automatisées par des robots afin de générer un grand volume de messages vers des numéros surtaxés qu’ils contrôlent. Ils récupèrent ainsi une part des frais d'interconnexion payés par votre plateforme pour chaque message envoyé.
Quelle est la différence entre le pompage de SMS et l'IRSF ?
Le pompage de SMS est une variante de l’IRSF. L’IRSF est une catégorie plus large et désigne toute forme d’escroquerie exploitant le partage de revenus télécoms pour tirer profit des frais de réception des messages. Le pompage de SMS est la variante spécifique qui cible les formulaires d’OTP et de vérification pour générer ce trafic. Consultez la section Qu'est-ce que l'IRSF ? pour analyser en détail ce type d’attaque.
Comment savoir si je suis la cible d'un pompage de SMS ?
Les indicateurs précurseurs les plus évidents sont un effondrement du ratio envoi-vérification (énormément d'OTP envoyés, très peu de codes saisis), des pics de trafic concentrés sur des zones géographiques hors de votre cible commerciale, et l’apparition de structures de numéros successifs dans vos journaux d’OTP. Une augmentation inexpliquée de votre facture de SMS sans croissance corrélée de vos utilisateurs réels est la façon la plus courante dont les entreprises la découvrent, mais à ce stade, le préjudice financier est déjà subi.
Comment la solution Watch API de Prelude détecte-t-elle le pompage de SMS ?
La solution Watch API évalue les types de numéros de téléphone, les risques géographiques, le rythme d’envoi ainsi que les signaux d’IP/proxy pour chaque requête d'OTP avant l'envoi du message. Les demandes à haut risque sont bloquées de façon transparente ou soumises à un contrôle renforcé, ce qui stoppe les envois frauduleux avant que votre plateforme n'en supporte les frais, vous évitant de découvrir l'attaque uniquement à la réception de votre facture.
Puis-je simplement bloquer des pays entiers pour stopper le pompage de SMS ?
Le blocage géographique constitue une mesure utile, mais elle doit s'appliquer de façon chirurgicale plutôt que globale. Bloquer de grands territoires géographiques risque de pénaliser des utilisateurs légitimes et de freiner votre croissance.
La meilleure méthode consiste à limiter les envois à vos seuls marchés actifs réels en exploitant les données géographiques de vos clients, et d'associer cette mesure à une classification préalable des numéros et à une surveillance du rythme d'envoi pour poser une défense multicouche.
Si votre application utilise la vérification par téléphone, vous serez très probablement la cible d'une fraude par pompage de SMS (SMS pumping) à un moment donné. L'analyse effectuée par Prelude sur 205 millions de demandes d'authentification en 2025 a révélé que 11,83 % de l'ensemble du trafic de vérification était frauduleux, ce qui a permis d'éviter 3,26 millions de dollars de frais de SMS sur l'ensemble des données (Rapport 2025 de Prelude sur la fraude par pompage de SMS). À l'échelle du secteur, les pertes mondiales dues au pompage de SMS ont dépassé 1,2 milliard de dollars par an en 2025, la perte moyenne par incident majeur étant estimée à 380 000 dollars (DataIntelo, 2025).
Le pompage de SMS est l'un des nombreux types de fraude aux OTP qui exploitent les flux de vérification téléphonique. Les attaquants exploitent ces flux pour générer du trafic SMS vers des numéros surtaxés qu'ils contrôlent, obligeant les entreprises à absorber les coûts d'envoi. Pour une vue d'ensemble complète, consultez notre Guide complet sur la fraude aux OTP.
Dans ce guide, nous détaillerons ce qu'est la fraude par pompage de SMS, comment elle fonctionne et, surtout, comment protéger votre entreprise contre cette menace croissante.
Qu'est-ce que le pompage de SMS ?
Le pompage de SMS est un type d'arnaque dans lequel les fraudeurs génèrent de faux SMS vers des numéros surtaxés qu'ils contrôlent afin de gagner de l'argent. Soit ils incitent les utilisateurs à envoyer ces messages, soit ils exploitent des services numériques comme les OTP (mots de passe à usage unique) pour déclencher un trafic SMS automatisé.
Les fraudeurs collaborent souvent avec des opérateurs mobiles peu scrupuleux ou trouvent des moyens de détourner des routes SMS pour générer ce faux trafic. Étant donné que les entreprises paient pour chaque SMS envoyé et que les clients peuvent accumuler à leur insu des frais vers des numéros surtaxés, les dommages financiers peuvent être considérables.
Également connu sous le nom de fraude aux frais de SMS (SMS Toll Fraud) ou de trafic artificiellement gonflé (AIT), le pompage de SMS est une variante de la fraude au partage de revenus internationaux (IRSF). Le mécanisme sous-jacent est le même (exploiter les accords de partage de revenus télécoms), mais le pompage de SMS cible spécifiquement vos points de contact OTP et de vérification plutôt que l'infrastructure télécom traditionnelle.
Contrairement au piratage de compte ou aux attaques par bourrage d'identifiants, le but de l'attaquant n'est pas d'accéder aux comptes des utilisateurs ou de voler des données.
L'objectif est beaucoup plus simple : générer du trafic SMS facturable à grande échelle.
Comment fonctionne le pompage de SMS
Le pompage de SMS nécessite deux éléments : l'accès à un point de contact OTP à fort volume et un partenariat avec une route télécom qui rémunère le trafic généré.
Étape 1 - L'attaquant obtient un partage des revenus. Les fraudeurs s'associent d'abord avec des opérateurs peu scrupuleux ou accèdent à des numéros surtaxés. Ils promettent à ces opérateurs des volumes de SMS élevés et des revenus accrus, en utilisant des numéros surtaxés internationaux (IPRN) pour acheminer le trafic.
Étape 2 - Ils identifient un point cible. Les formulaires d'inscription, les pages de connexion, les flux de réinitialisation de mot de passe et les formulaires de réclamation d'offres promotionnelles deviennent des cibles. En gros, tout point de contact qui déclenche l'envoi d'un SMS lorsqu'un numéro de téléphone est soumis.
Étape 3 - Des robots inondent le point de contact. Les fraudeurs inondent le système de trafic SMS en faisant défiler des formats de numéros d'apparence réelle dans les tranches ciblées. Votre système envoie alors des messages OTP à ces numéros. Le fraudeur récupère une part des frais prélevés par message. Ces SMS sont acheminés vers des numéros surtaxés contrôlés par les fraudeurs, généralement à l'étranger, gonflant ainsi la facture des entreprises qui paient au message.
Étape 4 - Les dégâts sont invisibles jusqu'à l'arrivée de la facture. Lorsque la victime (une entreprise ou un particulier) reçoit la facture gonflée, l'opérateur partage les revenus avec les fraudeurs qui ont orchestré l'attaque. C'est ce qui rend le pompage de SMS particulièrement destructeur. Le trafic ne génère aucun échec de connexion, aucun événement d'accès suspect, ni aucune plainte d'utilisateur. Chaque message apparaît comme correctement distribué. Le premier signal d'alerte est généralement une anomalie de facturation, souvent des jours ou des semaines après l'attaque.
En résumé, les escrocs ainsi que leurs partenaires complices tirent profit de ce faux trafic SMS, tandis que la victime se retrouve à devoir payer la facture.
Pourquoi les systèmes OTP sont-ils particulièrement vulnérables ?
Le pompage de SMS fonctionne parce que les systèmes OTP intègrent par conception une vulnérabilité structurelle : le point de contact d'envoi doit être public, le coût est absorbé par la plateforme, et la réussite de l'opération ne nécessite pas la présence d'un utilisateur réel à l'autre bout.
En pratique, cela signifie qu'un formulaire d'inscription ou un flux de réinitialisation de mot de passe doit accepter les requêtes de n'importe qui. Contrairement aux API authentifiées qui nécessitent une session ou un jeton d'accès valide, les points de contact d'envoi d'OTP sont ouverts par nature. Il n'y a aucun identifiant à voler, ni aucune session à compromettre. N'importe quel robot peut les déclencher.
De plus, les flux de vérification ont tendance à être prévisibles. Les formulaires d'inscription, les flux de réinitialisation de mot de passe et les pages de connexion suivent des schémas constants : ils acceptent un numéro de téléphone, déclenchent un envoi et attendent la saisie d'un code, ce qui signifie que les robots peuvent facilement reproduire ce flux à grande échelle.
Les plateformes, de leur côté, absorbent les coûts quel que soit le résultat. Chaque message envoyé par votre système génère des frais, que ce soit un utilisateur réel qui l'ait demandé ou non, que le code soit finalisé ou non, et même si le numéro de téléphone n'existe pas. En d'autres termes, elles supportent l'intégralité du coût de chaque requête, qu'elle soit frauduleuse ou non.
De plus, la facturation télécom crée un modèle de revenus direct pour les attaquants. Le système mondial d'acheminement des SMS a été bâti sur des accords de règlement entre opérateurs. Les fraudeurs s'insèrent dans ce système en acquérant ou en s'associant à des tranches de numéros qui génèrent un reversement lors de la réception des messages. Chaque OTP que votre système envoie à ces numéros met de l'argent dans la poche de l'attaquant. Il n'existe aucun mécanisme équivalent dans la plupart des autres types de fraude ; le pompage de SMS est l'une des rares attaques où l'infrastructure du propre fournisseur de la victime finance directement l'attaquant.
Ce type de fraude peut causer des dégâts majeurs car de nombreuses applications manquent de fonctionnalités telles que l'analyse des appareils, l'analyse comportementale, l'évaluation des risques des opérateurs, la limitation adaptative du débit et les contrôles de vérification sensibles à la fraude. Cela crée un environnement où les attaquants peuvent générer un trafic OTP massif avec très peu de résistance.
La seule défense capable de contrer efficacement le pompage de SMS avant qu'il ne cause des dommages consiste à évaluer le numéro de destination avant l'envoi, ce que de nombreuses intégrations OTP ne font pas.
Exemples concrets
L'application fintech : Campagne promotionnelle qui tourne mal
Une application fintech lance une campagne de parrainage : un utilisateur invite un ami, et les deux comptes reçoivent un crédit de 80 $. Pour réclamer la récompense, l'utilisateur parrainé doit simplement s'inscrire et vérifier son numéro de téléphone.
Dans les 48 heures suivant le lancement de la campagne, le volume d'envois d'OTP est 40 fois supérieur au taux attendu. Des robots bombardent le point de contact d'inscription avec des milliers de numéros de téléphone par heure, tous acheminés vers des tranches surtaxées contrôlées par l'attaquant. Le mécanisme de parrainage n'a même pas d'importance ; les attaquants ne cherchent pas à obtenir le crédit de parrainage. Ce qu'ils veulent, ce sont les messages OTP eux-mêmes. La plupart des « nouveaux comptes » créés pendant l'attaque affichent une activité nulle et ne sont plus jamais réutilisés.
Parce que les messages semblent correctement distribués, l'attaque passe inaperçue jusqu'à ce que les alertes de facturation se déclenchent quelques jours plus tard. Le premier signal a été la facture.
L'entreprise : Des inscriptions fictives à grande échelle
DopeSocks, un service d'abonnement de vêtements haut de gamme sur abonnement, propose à ses clients 15 % de réduction sur leur premier abonnement s'ils saisissent leur numéro de téléphone sur son site web.
Une fois que le client a saisi son numéro de téléphone, l'entreprise lui envoie un SMS contenant le code de réduction. C'est une stratégie simple pour stimuler les inscriptions de clients intéressés.
Mais les fraudeurs y voient une opportunité. Ils utilisent des robots pour inonder le site de milliers de faux numéros de téléphone. Chaque numéro déclenche l'envoi d'un SMS acheminé vers un numéro surtaxé contrôlé par les escrocs.
DopeSocks se retrouve avec une facture de SMS colossale mais aucun client réel. Chaque SMS envoyé est allé vers des numéros frauduleux, profitant uniquement aux escrocs. DopeSocks comptabilise une facture de SMS exorbitante et zéro nouveau client. Tous les messages ont été envoyés vers des numéros frauduleux qui n'auraient jamais pu être convertis.
Lorsque ces messages sont envoyés, ils transitent de réseau en réseau avant d'atteindre leur destination. Cela signifie qu'il n'y a aucun moyen de détecter quel réseau est de connivence avec les auteurs de cette fraude aux SMS. Dans la plupart des cas, vous n'identifierez jamais le criminel qui a fraudé votre système.
La plateforme : 60 millions de dollars par an en faux trafic de double authentification (2FA)
Même les plateformes les plus grandes disposant d'importantes ressources d'ingénierie ne sont pas à l'abri. Elon Musk a publiquement signalé en 2023 que Twitter se voyait facturer environ 60 millions de dollars par an pour de faux SMS de double authentification générés par des réseaux de fraude télécom, ce qui illustre à quel point le pompage de SMS s'amplifie rapidement s'il n'est pas détecté à temps.
Comment la fraude par pompage de SMS nuit à votre entreprise
La fraude aux SMS est très répandue et peut impacter les entreprises de plusieurs manières :
Perte financière directe
C'est l'impact le plus immédiat. Le trafic SMS frauduleux entraîne des pertes financières massives. Étant donné que les entreprises paient pour chaque SMS envoyé, les escrocs exploitent ce fonctionnement pour gonfler les charges en acheminant les messages vers des numéros surtaxés qu'ils contrôlent.
Chaque envoi d'OTP frauduleux correspond à des frais bien réels. Votre plateforme paie par message d'envoi, et les attaquants en profiteront aussi longtemps qu'ils le pourront. Une seule campagne peut coûter des dizaines de milliers de dollars avant d'être détectée. Un assaut de grande envergure contre un point de contact non protégé peut coûter des centaines de milliers de dollars en 72 heures.
Contrairement à la plupart des fraudes, les pertes liées au pompage de SMS sont rarement récupérables. Au moment où la facture arrive, les messages ont déjà été envoyés et les frais ont été facturés.
C'est pourquoi il est essentiel d'avoir en place des outils robustes pour la prévention des abus sur les offres promotionnelles, tels qu'un contrôle en temps réel et un blocage automatique, afin de protéger à la fois vos utilisateurs et votre budget.
Abus de plateforme et prolifération de faux comptes
Le pompage de SMS intervient rarement de manière isolée.
La même infrastructure utilisée pour générer du trafic OTP frauduleux sert souvent à la création de faux comptes, au contournement des campagnes de parrainage, aux campagnes de spams, aux faux processus d'inscription ou d'onboarding, et à l'abus d'offres promotionnelles.
À mesure que les comptes frauduleux s'accumulent, les problèmes de modération, de conformité et de confiance se multiplient sur l'ensemble de la plateforme.
Pollution des indicateurs et fausses données
Le pompage de SMS génère des faux comptes à grande échelle. Vos statistiques d'inscription, d'utilisateurs actifs quotidiens (DAU), mensuels (MAU) et vos données de cohortes se retrouvent gonflées artificiellement par des profils qui n'existent pas.
Votre base d'utilisateurs est polluée par des profils fictifs. Vos taux de conversion s'effondrent tandis que vos coûts d'acquisition client explosent, ce qui complique la justification des dépenses marketing. Vos rapports et analyses perdent toute fiabilité, et des données erronées entraînent de mauvaises décisions stratégiques.
En résumé, le faux trafic empoisonne vos indicateurs de performance et empêche d'appréhender le véritable comportement de vos clients. Sans données précises, vos stratégies marketing et commerciales en pâtissent, et vous finissez par perdre du temps, de l'argent et des ressources à poursuivre des chimères.
Saturation des canaux
Une attaque de pompage de SMS à grande échelle submerge votre infrastructure d'envoi de messages, en l'engorgeant de faux trafic. Votre fournisseur de SMS est surchargé, ce qui entraîne des retards ou des interruptions totales de service.
Les utilisateurs réels essayant d'obtenir un code de connexion, une confirmation de paiement ou une réinitialisation de mot de passe voient leurs messages retardés ou complètement bloqués. Cela impacte particulièrement les périodes de pointe : lors du lancement de promotions, d'événements de vente à fort trafic, ou de moments critiques pour la sécurité comme la récupération de compte.
Il en résulte de la frustration chez vos utilisateurs, des paniers abandonnés et une perte de confiance dans votre marque.
Non-conformité et risques d'atteinte à la réputation
Le pompage de SMS s'accompagne souvent de la création de faux comptes, générés par des robots qui passent avec succès la vérification de numéro de téléphone et s'accumulent dans votre base de données. Dans le cadre des réglementations KYC (Know Your Customer) et LCB-FT (lutte contre le blanchiment d'argent et le financement du terrorisme), un flux de vérification qu'un compte synthétique peut facilement franchir expose l'entreprise à des sanctions de conformité. Sous le RGPD et d'autres cadres similaires, une plateforme incapable de prouver des contrôles actifs contre la fraude s'expose à un examen minutieux des régulateurs.
L'impact sur la réputation est plus difficile à chiffrer mais s'accumule au fil du temps. Les utilisateurs dont les connexions sont retardées ou interrompues pendant une attaque perdent confiance dans la plateforme, et le simple fait d'être associé à une activité frauduleuse, même en tant que victime, érode la crédibilité de la marque.
La fraude ne nuit pas seulement à votre rentabilité commerciale, elle anéantit la confiance. Que ce soit de la part de vos clients ou de vos collaborateurs, une fois que la confiance est rompue, il est extrêmement difficile de la rebâtir.
Coûts opérationnels supplémentaires
Gérer les retombées d'une fraude par pompage de SMS ne pèse pas uniquement sur vos ressources financières. Cela sollicitera également de manière excessive la productivité de vos collaborateurs, car le personnel de cybersécurité aura fort à faire pour résoudre les incidents de chaque victime touchée.
Ils doivent également enquêter sur chaque transaction frauduleuse, gérer les clients mécontents (à juste titre), mettre en place des mécanismes de sécurité plus robustes pour l'avenir et, dans la mesure du possible, engager des poursuites judiciaires contre les fraudeurs (si tant est qu'ils puissent être identifiés).
Comment détecter la fraude par pompage de SMS
Le trafic de pompage de SMS est conçu pour ressembler à de l'activité utilisateur légitime. Ces indices clés aident à distinguer le trafic OTP frauduleux des utilisateurs réels :
Pics anormaux de volume d'OTP
Si vos demandes d'OTP ou vos envois de SMS augmentent brutalement sans hausse correspondante de l'activité de vos utilisateurs légitimes ou sans le lancement d'une campagne marketing, il est fort probable que des fraudeurs soient à l'œuvre.
Trafic concentré sur des zones géographiques spécifiques
Si vous constatez un volume élevé de SMS envoyés vers des pays où votre entreprise n'opère pas ou ne possède pas de base de clients significative, cela peut indiquer que des fraudeurs exploitent vos services de SMS.
Numéros de téléphone séquentiels ou structurés
Si les numéros de téléphone demandant des OTP se ressemblent étrangement ou suivent des schémas séquentiels (par ex., +1234567801, +1234567802, +1234567803), cela n'a rien d'une coïncidence.
Les robots utilisent souvent des listes de numéros automatisées pour déclencher des envois d'OTP, l'identification de ces schémas est donc un indicateur évident de pompage de SMS.
Requêtes acheminées via des proxys résidentiels
Les proxys résidentiels sont devenus l'infrastructure d'attaque privilégiée en 2025, utilisés par les attaquants pour distribuer leur trafic et contourner les blocages par adresses IP (Rapport 2025 de Prelude sur la fraude par pompage de SMS).
Effondrement du ratio envoi-vérification
Un ratio d'envois d'OTP par rapport aux codes saisis supérieur à 2:1 constitue une alerte forte ; les fraudeurs n'ont pas besoin de valider le code, seul l'envoi du message leur importe.
Par conséquent, si vous remarquez une baisse de votre taux de conversion (sur l'ensemble de la plateforme ou dans un pays spécifique), c'est l'indice fort qu'un trafic frauduleux gonfle votre volume d'inscriptions sans apporter de valeur réelle.
Plaintes des clients pour cause de retards d'envoi
Les fraudeurs qui engorgent votre système d'envoi de SMS peuvent entraîner des retards pour les utilisateurs réels qui tentent d'obtenir leurs codes de vérification.
Si votre équipe de support client commence à recevoir des réclamations concernant des lenteurs dans la réception des codes d'accès, votre système est peut-être surchargé de requêtes fictives.
Nouvelles cohortes de comptes avec un engagement quasi nul
Si vous commencez à observer des pics d'inscription qui ne se traduisent par aucune activité ultérieure (connexions, achats, sessions), vous êtes très probablement la cible de fraudeurs.
Budget SMS s'épuisant plus vite que prévu
Votre ratio dépenses/activité est l'indicateur a posteriori le plus évident ; lorsqu'il se manifeste, les dégâts financiers ont déjà été causés.
Les six premiers signaux peuvent être détectés en temps réel. Le dernier est un indicateur tardif, ce qui démontre tout l'intérêt d'une détection en temps réel.
Comment prévenir les attaques de pompage de SMS
Une prévention efficace contre le pompage de SMS requiert à la fois un renforcement de votre infrastructure et une détection des fraudes en temps réel, avant même l'envoi du message.
1. Mettre en place des limites de débit adaptatives (rate limiting)
L'un des moyens les plus couramment employés pour stopper la fraude par pompage de SMS consiste à appliquer des limites de débit. Cela suppose de fixer un plafond pour le volume quotidien de messages ou des seuils de dépenses.
Par exemple, vous pouvez définir une règle spécifiant que votre dépense de SMS ne doit jamais dépasser 300 $ par jour pour les vérifications d'OTP et les authentifications par SMS. Cette sécurité vous évite d'être confronté à une facture astronomique à la fin du mois ou de l'année.
Toutefois, restez vigilant. Bien que la limitation de débit bloque l'activité frauduleuse, elle peut également générer des faux positifs et empêcher d'authentiques utilisateurs de finaliser leurs parcours, en particulier si votre application connaît une augmentation soudaine de son trafic réel. Une surveillance continue et un ajustement des limites en phase avec votre croissance sont essentiels pour concilier sécurité et expérience utilisateur.
2. Classification du numéro de téléphone avant l'envoi
Avant d'expédier un OTP, évaluez les signaux de risque associés au numéro de destination :
Type de numéro : les numéros VoIP, virtuels ou jetables sont nettement plus susceptibles d'être utilisés dans des campagnes de pompage que les numéros mobiles classiques gérés par de grands opérateurs. Marquez ou bloquez les envois vers ces types de numéros.
Risque géographique : les numéros rattachés à des indicatifs de pays à haut risque ou à des préfixes connus pour être associés à de la fraude surtaxée devraient déclencher un contrôle approfondi ou un blocage automatique.
Numéros récemment activés : les numéros ayant un historique d'activation très court constituent un signal d'alerte classique dans les campagnes de pompage automatisées.
3. Appliquer des restrictions géographiques
Si votre produit n'opère pas sur un marché particulier, il n'y a aucune raison légitime d'y envoyer des OTP. Restreindre géographiquement vos envois à vos seuls marchés actifs est l'un des mécanismes les plus rapides à mettre en œuvre et l'un des plus efficaces pour réduire l'exposition à la fraude par numéros surtaxés internationaux.
Soyez précis : des blocages de pays de manière trop globale pénaliseront vos utilisateurs légitimes. Exploitez vos données géographiques réelles d'utilisateurs pour configurer votre liste d'autorisation.
4. Surveiller les ratios envoi-vérification
L'un des indicateurs de fraude les plus manifestes se traduit par l'effondrement du taux de validation des OTP, car le trafic frauduleux ne génère que des envois, et aucun processus d'authentification réussi.
Surveiller ces ratios en temps réel permet d'identifier les attaques très tôt.
5. Tirer parti de la connaissance des routes de votre fournisseur
Associez-vous à un fournisseur d'OTP qui surveille et bloque activement les routes sujettes à la fraude. Un prestataire qui tire profit d'une marge par message n'a aucun intérêt structurel à bloquer le trafic. Privilégiez une tarification transparente sans marge déguisée sur chaque message et un engagement clair en matière de gestion de la fraude au niveau de l'acheminement.
6. Utiliser l'évaluation des risques en temps réel
Les listes de blocage statiques deviennent rapidement obsolètes. Par conséquent, les systèmes de détection doivent évoluer au même rythme que l'infrastructure des attaquants.
La prévention moderne contre la fraude exige donc :
Des modèles de risque adaptatifs
De l'analyse comportementale
Des signaux actualisés en permanence
Une prise de décision en temps réel
Comment Prelude détecte le pompage de SMS avant l'envoi de l'OTP
L'approche de Prelude concernant le pompage de SMS consiste à détecter la menace avant l'envoi, et non pas après avoir subi le préjudice financier.
La solution Watch API évalue chaque demande d'OTP avant que le message ne soit expédié. Concernant spécifiquement le pompage de SMS, elle met en évidence :
La classification du type de numéro : détection en temps réel des numéros VoIP, jetables et virtuels avant l'envoi du message
L'évaluation du risque géographique : analyse des préfixes et des indicatifs de pays au regard des schémas de fraude connus et des risques sur les routes surtaxées
La vélocité et la détection d'anomalies : identification des schémas de requêtes inhabituels ciblés sur vos points de contact, et pas seulement de façon généralisée
Les signaux liés aux proxys résidentiels et aux IP : les réseaux de robots transitent souvent par des tranches d'IP identifiables ; ces dernières sont évaluées dans le cadre de l'analyse des risques avant envoi
La solution Verify API s'appuie sur le machine learning pour analyser les numéros de téléphone, signaler les comportements suspects et stopper le faux trafic avant qu'il n'atteigne votre fournisseur de SMS. Dans le jeu de données 2025 de Prelude, la détection basée sur le machine learning a représenté près de 78 % de toutes les requêtes frauduleuses bloquées, révélant les limites des règles statiques face aux attaquants adaptatifs qui modifient leurs adresses IP, permutent leurs proxys résidentiels et imitent le rythme d'utilisation des utilisateurs réels.
Grâce au renseignement de sources ouvertes, à des partenariats stratégiques et à la R&D, nous actualisons en permanence notre liste d'exclusion de numéros frauduleux connus, vous évitant d'envoyer des SMS à des escrocs et vous garantissant de ne payer que pour vos utilisateurs réels.
En cas de détection d'une activité suspecte, nous bloquons instantanément l'interaction, vous évitant de mauvaises surprises sur vos factures de SMS et maintenant des taux de conversion élevés.
Pour chaque tentative de connexion ou d'authentification, le système associe vos données d'utilisateur à nos outils de diagnostic des risques pour repérer les comportements anormaux. Cela permet de bloquer les robots, le spam et les tentatives d'escroquerie avant qu'ils ne causent des dommages, le tout sans gêner vos utilisateurs légitimes.
Exemple d'une attaque bloquée
Voici l'exemple concret d’une attaque que Prelude a récemment endiguée pour le compte d'un client européen du secteur de la foodtech.
L'attaque provenait de numéros de téléphone enregistrés au Royaume-Uni, l'un des marchés sur lesquels ce client opère activement. Bien que la localisation ne paraisse pas suspecte à première vue, l'algorithme avancé de Prelude a identifié une anomalie : des dizaines de numéros au sein d'une même tranche de numéros affichaient des taux de conversion anormalement bas.
Grâce à cette détection précoce, Prelude a pu bloquer préventivement ces numéros avant que l'attaque ne prenne de l'ampleur. L'activité frauduleuse a persisté pendant quelques jours, mais dès que les fraudeurs ont constaté son échec, ils ont abandonné l'assaut.
Le volume de messages frauduleux bloqués équivalait presque à la totalité du trafic mensuel normal de ce client, lui évitant ainsi de perdre plusieurs milliers de dollars dans cette attaque.
Avec Prelude, vous bénéficiez d'une prévention proactive contre la fraude sans compromettre l'expérience de vos véritables utilisateurs.
Si vous êtes prêt à protéger votre entreprise contre la fraude par SMS, inscrivez-vous gratuitement et commencez à tester l'API de Prelude dès aujourd'hui.
Qu'est-ce que la fraude par pompage de SMS ?
La fraude par pompage de SMS, également appelée trafic artificiellement gonflé (AIT) ou fraude aux frais de SMS (toll fraud), se produit lorsque des attaquants inondent vos formulaires d'OTP de requêtes automatisées par des robots afin de générer un grand volume de messages vers des numéros surtaxés qu’ils contrôlent. Ils récupèrent ainsi une part des frais d'interconnexion payés par votre plateforme pour chaque message envoyé.
Quelle est la différence entre le pompage de SMS et l'IRSF ?
Le pompage de SMS est une variante de l’IRSF. L’IRSF est une catégorie plus large et désigne toute forme d’escroquerie exploitant le partage de revenus télécoms pour tirer profit des frais de réception des messages. Le pompage de SMS est la variante spécifique qui cible les formulaires d’OTP et de vérification pour générer ce trafic. Consultez la section Qu'est-ce que l'IRSF ? pour analyser en détail ce type d’attaque.
Comment savoir si je suis la cible d'un pompage de SMS ?
Les indicateurs précurseurs les plus évidents sont un effondrement du ratio envoi-vérification (énormément d'OTP envoyés, très peu de codes saisis), des pics de trafic concentrés sur des zones géographiques hors de votre cible commerciale, et l’apparition de structures de numéros successifs dans vos journaux d’OTP. Une augmentation inexpliquée de votre facture de SMS sans croissance corrélée de vos utilisateurs réels est la façon la plus courante dont les entreprises la découvrent, mais à ce stade, le préjudice financier est déjà subi.
Comment la solution Watch API de Prelude détecte-t-elle le pompage de SMS ?
La solution Watch API évalue les types de numéros de téléphone, les risques géographiques, le rythme d’envoi ainsi que les signaux d’IP/proxy pour chaque requête d'OTP avant l'envoi du message. Les demandes à haut risque sont bloquées de façon transparente ou soumises à un contrôle renforcé, ce qui stoppe les envois frauduleux avant que votre plateforme n'en supporte les frais, vous évitant de découvrir l'attaque uniquement à la réception de votre facture.
Puis-je simplement bloquer des pays entiers pour stopper le pompage de SMS ?
Le blocage géographique constitue une mesure utile, mais elle doit s'appliquer de façon chirurgicale plutôt que globale. Bloquer de grands territoires géographiques risque de pénaliser des utilisateurs légitimes et de freiner votre croissance.
La meilleure méthode consiste à limiter les envois à vos seuls marchés actifs réels en exploitant les données géographiques de vos clients, et d'associer cette mesure à une classification préalable des numéros et à une surveillance du rythme d'envoi pour poser une défense multicouche.
Start optimizing your auth flow
Send verification text-messages anywhere in the world with the best price, the best deliverability and no spam.
