En 2026, 455 applications malveillantes ont été détectées sur le Google Play Store, représentant 24 millions de téléchargements. Les trojans bancaires mobiles ont augmenté de 196% au premier trimestre 2026. Et les attaques par quishing (QR codes piégés) ont progressé de 150%, atteignant 18 millions d’attaques mondiales. Un smartphone hacké ne se manifeste pas toujours clairement — et pendant ce temps, tes identifiants bancaires, mots de passe et codes d’authentification peuvent être exfiltrerés en silence. Ce guide détaille les signes d’alerte et les étapes concrètes pour reprendre le contrôle.
À retenir
- 455 apps malveillantes détectées sur Google Play en 2026, 24 millions de téléchargements
- Les trojans bancaires mobiles ont augmenté de 196% au Q1 2026
- Première action en cas de compromission : changer les mots de passe de messagerie, banque et réseaux sociaux depuis un autre appareil
- Un factory reset ne suffit pas si un spyware est installé au niveau système (ex : Pegasus)
Comment savoir si ton smartphone a été hacké ?
Les signes les plus courants d’une compromission smartphone :
- Décharge anormalement rapide de la batterie : un malware actif en arrière-plan consomme des ressources de façon continue, même écran éteint
- Consommation de données mobiles inhabituelle : vérifie dans Paramètres → Réseau → Utilisation des données si une application inconnue consomme beaucoup de data
- Chaleur excessive au repos : le processeur tourne alors qu’aucune application n’est visible en avant-plan
- Applications inconnues installées : vérifie la liste complète de tes applications, y compris dans les dossiers système
- SMS ou appels inconnus dans l’historique : peuvent indiquer un clonage SIM ou une utilisation frauduleuse de ta ligne
- Comportements étranges du navigateur : pop-ups non sollicités, redirections vers des sites inconnus, page d’accueil modifiée
Comment un smartphone se fait-il hacker en 2026 ?
Les vecteurs d’attaque les plus fréquents en 2026 :
- Applications malveillantes : même sur le Google Play Store officiel, 455 apps malveillantes ont été détectées en 2026. Sur les stores tiers (APK extérieurs), le risque est bien plus élevé.
- Phishing par SMS (smishing) : faux messages de livraison (Colissimo, Chronopost), fausses alertes bancaires, faux codes d’authentification. Liens qui redirigent vers des sites clone.
- Quishing (QR codes malveillants) : QR codes dans des e-mails, affiches ou documents. Ils redirigent vers des pages de phishing ou déclenchent des téléchargements malveillants. +150% d’attaques en 2025-2026.
- Clonage de SIM (SIM swapping) : l’attaquant convainc l’opérateur de transférer ton numéro sur une nouvelle SIM. Il reçoit alors tous tes SMS, y compris les codes 2FA bancaires.
- Wi-Fi public non sécurisé : possible interception du trafic non chiffré. Un VPN chiffre ta connexion sur ces réseaux. Voir notre guide VPN & Vie Privée 2026.
Que faire si ton smartphone a été hacké : 5 étapes
Étape 1 : Change tes mots de passe depuis un autre appareil
Avant tout, suppose que tes credentials sont compromis. Depuis un PC ou un autre téléphone sûr, change immédiatement les mots de passe de : ta messagerie principale (Gmail, Outlook), ton compte Google/Apple, ta banque, tes réseaux sociaux. Active la double authentification (MFA) partout où c’est possible — mais pas par SMS si tu suspectes un SIM swap, utilise une application d’authentification (Google Authenticator, Authy). Pour créer et gérer des mots de passe robustes : notre guide sur les mots de passe sécurisés.
Étape 2 : Mode sans échec Android pour désinstaller l’app malveillante
Sur Android, le mode sans échec désactive toutes les applications tierces, ce qui permet d’identifier et de supprimer l’application malveillante. Pour l’activer : appuie longuement sur le bouton d’extinction, puis appuie longuement sur « Redémarrer » jusqu’à ce que l’option Mode sans échec apparaisse (sur la plupart des appareils Android). En mode sans échec, va dans Paramètres → Applications et désinstalle toute application installée récemment ou dont tu ne reconnais pas l’origine.
Étape 3 : Lance un scan antivirus mobile
Sur Android : Bitdefender Mobile Security, Malwarebytes for Android ou Kaspersky Security Cloud proposent des scans efficaces. Sur iOS : les applications de sécurité ont des capacités limitées (Apple ne laisse pas accéder aux autres apps), mais Lookout ou Norton Mobile peuvent détecter des configurations malveillantes, profils suspectés ou liens malveillants.
Étape 4 : Réinitialisation en cas de rootage ou d’infection persistante
Si l’appareil est rooté (Android) ou jailbreaké (iOS), ou si l’infection persiste après le scan, une réinitialisation d’usine (factory reset) est la solution la plus sûre. Elle efface toutes les données et applications. Avant de le faire : assure-toi d’avoir une sauvegarde (Google Photos pour les photos, Google/iCloud pour les contacts et applications). Si le malware est installé au niveau du firmware (rare, mais cas Pegasus par exemple), même le factory reset ne suffit pas — dans ce cas, contact un professionnel.
Étape 5 : Contacte ton opérateur si tu suspectes un SIM swap
Si tu ne reçois plus tes SMS ou appels, ou si tu vois des appels inconnus sur ta facture, contacte immédiatement ton opérateur. Demande la désactivation de la SIM actuelle et l’émission d’une nouvelle carte. Signale aussi à ta banque que tu es victime d’une fraude potentielle au SIM swap — les codes 2FA par SMS peuvent avoir été interceptés.
Prévenir les infections mobiles : 4 règles fondamentales
- N’installe que depuis les stores officiels (Google Play, App Store). Refuse les installations d’APK depuis des sources inconnues sur Android.
- Mets à jour le système régulièrement : les mises à jour Android et iOS corrigent des vulnérabilités exploitées activement.
- Utilise un gestionnaire de mots de passe avec MFA par application (pas par SMS pour les comptes sensibles) : Bitwarden avec un code TOTP est beaucoup plus sûr que les SMS. Voir notre comparatif des gestionnaires de mots de passe.
- Méfie-toi des QR codes non vérifiés : avant de scanner, vérifie l’URL prévisualisée. Ne scanne jamais un QR code dans un e-mail non sollicité.
Pour comprendre les nouvelles menaces mobiles liées au phishing et aux techniques d’ingénierie sociale : phishing augmenté par l’IA en 2026.
Questions fréquentes
Un iPhone peut-il être hacké ?
Oui, mais c’est beaucoup moins fréquent qu’Android. L’écosystème fermé d’Apple (App Store uniquement, sandboxing strict) rend la diffusion de malwares à grande échelle quasiment impossible. Mais des exploits zero-day existent (Pegasus en est l’exemple le plus connu), et les attaques par phishing, smishing et quishing fonctionnent sur iOS comme sur Android. Maintenir iOS à jour est la mesure la plus importante.
Comment se protéger du SIM swapping ?
Demande à ton opérateur d’activer un code PIN ou une protection supplémentaire sur ton compte pour toute modification de SIM. Remplace la 2FA par SMS par une application d’authentification (Google Authenticator, Authy) ou une clé matérielle (YubiKey) pour les comptes sensibles. Le SIM swapping ne fonctionne plus si tu n’utilises plus ton numéro de téléphone comme facteur d’authentification.
Faut-il un antivirus sur smartphone en 2026 ?
Sur Android : oui, une application de sécurité apporte une couche de protection utile, notamment pour détecter les apps malveillantes, les liens dangereux et les comportements suspects. Bitdefender Mobile Security et Malwarebytes sont les références. Sur iOS : moins utile pour la détection de malwares (Apple bloque cet accès), mais des applications comme Lookout peuvent détecter les profils malveillants et les configurations suspectes.
📖 Retrouve tous nos guides sécurité dans notre Guide Windows, IT & Sécurité 2026.