Spoofing téléphonique : cette arnaque qui pirate les numéros en 06 et 07 explose en France
Les appels provenant de numéros en 06 ou 07 n'inspirent plus la même confiance. Le spoofing téléphonique, technique illégale d'usurpation de numéro, connaît une explosion sans précédent en France. En 2025, les signalements ont plus que doublé selon l'ARCEP, poussant les autorités à durcir considérablement l'arsenal réglementaire dès le 1er janvier 2026.
Le terme « spoofing » vient de l'anglais to spoof, qui signifie tromper ou usurper. Dans sa version téléphonique, cette technique permet à un fraudeur d'afficher sur l'écran de sa victime un numéro qui n'est pas le sien. Le numéro usurpé commence généralement par 06 ou 07, ces préfixes mobiles qui inspirent naturellement confiance. L'appelant peut ainsi se faire passer pour votre banque, votre opérateur, la Sécurité sociale ou même un proche.
Le procédé repose sur des logiciels spécialisés, souvent accessibles en ligne pour quelques euros. Ces outils permettent de paramétrer n'importe quel numéro d'affichage avant de passer un appel. « Les victimes décrivent fréquemment des situations de détresse ou d'incompréhension », relève l'ARCEP dans son dernier rapport. L'arnaque au faux conseiller bancaire est devenue le scénario le plus répandu : le fraudeur appelle en affichant le numéro officiel de la banque, prétexte une opération suspecte sur le compte et obtient les codes de validation de sa victime.
Les chiffres donnent le vertige. Plus de 19 000 signalements d'usurpation d'identité téléphonique ont été remontés en 2025 sur la plateforme « J'alerte l'ARCEP », contre seulement 531 en 2023. En deux ans, les signalements pour appels abusifs ont été multipliés par onze. Les signalements relatifs aux appels et messages non sollicités affichent une hausse de 113 % par rapport à 2024. Ces chiffres ne représentent que la partie émergée de l'iceberg, de nombreuses victimes ne signalant jamais les faits.
Le mécanisme d'authentification des numéros, bouclier anti-spoofing
Face à cette déferlante, la France a déployé un dispositif technique ambitieux. Issu de la loi Naegelen adoptée en 2020, le Mécanisme d'Authentification des Numéros (MAN) est opérationnel depuis octobre 2024 pour les lignes fixes, puis étendu aux mobiles en janvier 2025. Ce système, inspiré du standard international STIR/SHAKEN, repose sur des certificats numériques délivrés par une base gérée par l'ARCEP.
Le fonctionnement est rigoureux : l'opérateur d'origine certifie l'appel avec son certificat numérique, puis l'opérateur de destination vérifie la validité de cette signature. Si l'authentification échoue, l'appel peut être interrompu. Depuis le 1er janvier 2026, la règle se durcit : tout appel dont le numéro ne peut être authentifié s'affiche désormais automatiquement en « numéro masqué ». Cette mesure cible particulièrement les appels émis depuis l'étranger avec un faux numéro français.
Concrètement, si un 06 ou un 07 s'affiche sur votre écran, vous pouvez désormais avoir davantage confiance dans l'identité de l'appelant. Plus de 80 % des appels émis par des abonnés français en itinérance sont déjà authentifiés par ces protocoles. Par ailleurs, la loi du 30 juin 2025 instaure une interdiction de principe du démarchage téléphonique dans tous les secteurs, remplaçant l'ancien système Bloctel par un régime de consentement explicite préalable.
Les fraudeurs s'adaptent, l'ARCEP contre-attaque
Malgré ces avancées, les escrocs font preuve d'une redoutable capacité d'adaptation. L'ARCEP reconnaît que les fraudeurs identifient et exploitent rapidement les failles du dispositif. Ceux opérant depuis le territoire français avec des numéros usurpés ne sont pas encore directement affectés par les mesures ciblant les appels internationaux. En janvier 2026, le régulateur a donc lancé une enquête administrative visant l'ensemble des opérateurs attributaires de numéros, pour « comprendre l'origine et les modalités d'acheminement des appels dont le numéro a été usurpé ».
Sur le plan pénal, le spoofing est loin d'être anodin. L'article 226-4-1 du Code pénal qualifie l'usurpation d'identité de délit passible d'un an d'emprisonnement et de 15 000 euros d'amende. L'article 226-15 sanctionne par ailleurs l'utilisation frauduleuse de données personnelles. Les victimes peuvent porter plainte auprès de la police ou de la gendarmerie et effectuer un signalement sur la plateforme « J'alerte l'ARCEP » ou via le dispositif 33700, dédié à la lutte contre les appels et SMS frauduleux.
Pour se protéger, les experts recommandent de ne jamais communiquer de codes bancaires ou de données personnelles par téléphone, même si le numéro affiché semble légitime. En cas de doute, il convient de raccrocher et de rappeler soi-même l'organisme via son numéro officiel. La vigilance reste la meilleure protection face à des fraudeurs qui, malgré le renforcement de la sécurité numérique, ne cesseront de chercher de nouvelles brèches.