La plupart des comptes ne sont pas « piratés » par un génie qui casse le chiffrement. Ils sont remis volontairement — par une vraie personne qui a tapé son mot de passe sur une fausse page de connexion après un e-mail convaincant. C'est le phishing (hameçonnage), et il reste l'un des moyens les plus courants de perdre l'accès à sa messagerie, son argent et son identité.

La bonne nouvelle : le phishing suit des schémas. Une fois que vous savez quoi chercher, les mêmes ruses vous sautent aux yeux. Ce guide couvre les vrais signaux d'alerte, les nouvelles variantes de l'ère de l'IA, et quoi faire exactement — que vous en ayez repéré un ou que vous ayez déjà cliqué.

Ce qu'est réellement le phishing

Le phishing est un message conçu pour vous pousser à faire quelque chose de nuisible : taper votre mot de passe sur une fausse page, ouvrir une pièce jointe malveillante, envoyer de l'argent ou révéler des données personnelles. Il usurpe généralement l'identité d'une entité de confiance — votre banque, un transporteur, un collègue, Microsoft, Google ou Apple.

Il fonctionne parce qu'il vise l'émotion, pas la logique. Un bon message de phishing crée de l'urgence (« votre compte va être fermé »), de la peur (« connexion suspecte détectée ») ou de la tentation (« vous avez reçu un remboursement ») pour que vous agissiez avant de réfléchir. Tout le jeu consiste à vous faire sauter les deux secondes de doute qui le trahiraient.

Les signaux qui le trahissent

Aucun signe ne constitue une preuve à lui seul, mais plus ils s'accumulent, plus vous devez vous méfier.

  1. L'adresse de l'expéditeur ne correspond pas. Le nom affiché dit « PayPal », mais l'e-mail réel est service@paypal-secure-team.com ou une adresse Gmail au hasard. Vérifiez toujours l'adresse réelle, pas seulement le nom.
  2. Il fabrique de l'urgence ou une menace. « Agissez sous 24 h ou votre compte sera suspendu. » Les entreprises légitimes vous menacent rarement pour provoquer une action immédiate.
  3. Une formule d'accueil générique. « Cher client » ou « Cher utilisateur » au lieu de votre nom peut être un indice — même si les attaques ciblées peuvent utiliser votre vrai nom, ce signe a donc deux tranchants.
  4. Des liens qui ne mènent pas où ils le prétendent. Le texte indique account.microsoft.com, mais le survol révèle une adresse totalement différente. C'est le plus grand indice — voir plus bas comment vérifier les liens.
  5. Des pièces jointes inattendues. Une facture, un « message vocal » ou une « étiquette d'expédition » que vous n'attendiez pas, surtout en .zip, .html, ou un document qui vous demande d'« activer le contenu ».
  6. On vous demande identifiants, codes ou paiement. Les vraies banques et plateformes ne vous demandent jamais par e-mail de confirmer votre mot de passe complet, un code à usage unique ou vos données de carte.
  7. Des détails qui clochent — logos, ton ou formulation. Une marque légèrement fausse ou un ton étrange. Note : le classique conseil « fautes d'orthographe et de grammaire » est désormais moins fiable, car les outils d'IA permettent aux escrocs d'écrire des messages propres et fluides. Ne prenez pas une bonne grammaire pour une preuve d'innocuité.

La seule habitude qui en attrape la plupart : vérifier le lien

Avant de cliquer sur quoi que ce soit, vérifiez où va vraiment le lien :

  • Sur un ordinateur, survolez le lien avec la souris (sans cliquer) et regardez l'adresse qui apparaît en bas de l'écran.
  • Sur un téléphone, appuyez longuement sur le lien pour prévisualiser la destination.
  • Lisez le domaine de droite à gauche. Dans microsoft.account-verify.ru, le vrai domaine est account-verify.ru — pas Microsoft. Que le nom de la marque soit dans le lien ne signifie rien ; ce qui compte, c'est le domaine réel juste avant la première barre oblique simple.

En cas de doute, ne cliquez pas du tout sur le lien. Ouvrez un nouvel onglet et allez sur le site en tapant son adresse vous-même, ou utilisez l'application officielle. Vous ne perdez rien à vérifier de façon indépendante.

De nouvelles ruses à connaître

Le phishing s'est répandu bien au-delà de l'e-mail :

  • Smishing (SMS) et vishing (appels vocaux) : faux SMS « échec de livraison » et appels se faisant passer pour le service anti-fraude de votre banque.
  • Phishing par QR code (« quishing ») : un QR code dans un e-mail ou une affiche qui vous envoie vers une fausse page de connexion — pratique pour l'escroc, car vous ne voyez pas facilement l'URL d'abord.
  • Messages rédigés ou clonés par IA : les escrocs utilisent désormais l'IA pour écrire des messages impeccables et personnalisés, et même imiter une voix. La fluidité n'est plus un signal de sécurité.
  • Attaques par fatigue MFA : si vous utilisez l'authentification à deux facteurs, un attaquant qui a déjà votre mot de passe peut vous bombarder de demandes d'approbation en espérant que vous tapiez « approuver » par lassitude. N'approuvez jamais une connexion que vous n'avez pas initiée.

Quoi faire quand vous repérez un e-mail de phishing

  1. Ne cliquez pas, ne répondez pas, n'ouvrez pas les pièces jointes.
  2. Ne vous désabonnez pas d'une arnaque évidente — cela confirme seulement que votre adresse est active.
  3. Signalez-le. Utilisez le bouton « Signaler un hameçonnage » de votre messagerie ; pour une usurpation d'entreprise, transférez-le à son adresse abuse officielle. Aux États-Unis, vous pouvez signaler sur reportfraud.ftc.gov.
  4. Supprimez-le.

S'il s'agit d'un e-mail professionnel, alertez aussi votre équipe informatique/sécurité — vous n'êtes peut-être pas la seule cible. Développer ce réflexe, c'est justement le cœur des bases de la cybersécurité.

Quoi faire si vous avez déjà cliqué

Pas de panique — agissez vite :

  • Si vous avez saisi un mot de passe : changez-le immédiatement sur le vrai site, et partout où vous l'avez réutilisé. C'est bien plus simple avec un gestionnaire de mots de passe et des mots de passe uniques.
  • Activez l'authentification à deux facteurs (ou mieux, les passkeys) pour qu'un mot de passe volé ne suffise pas à lui seul.
  • Si vous avez saisi des données bancaires : contactez votre banque et surveillez les débits inconnus.
  • Si vous avez ouvert une pièce jointe : lancez une analyse de sécurité et guettez tout comportement inhabituel.
  • Surveillez vos comptes pour repérer des e-mails de réinitialisation ou des connexions que vous n'avez pas faites.

Comment vous protéger à l'avenir

Vous ne pouvez pas empêcher les e-mails de phishing d'arriver, mais vous pouvez les rendre inoffensifs :

  • Utilisez des mots de passe uniques pour qu'un identifiant volé ne déverrouille pas tout.
  • Activez l'authentification à deux facteurs ou les passkeys sur chaque compte important.
  • Vérifiez de façon indépendante. Si un message vous demande de vous connecter ou de payer, allez directement sur le site ou l'appli plutôt que d'utiliser son lien.
  • Ralentissez face à l'urgence. Le sentiment de « je dois agir maintenant » est lui-même le signal d'alerte.

FAQ

Comment savoir si un e-mail vient vraiment de ma banque ? Vérifiez l'adresse réelle de l'expéditeur, cherchez une personnalisation, et ne faites jamais confiance aux menaces urgentes. Le plus sûr est d'ignorer entièrement les liens de l'e-mail et de vous connecter via l'application officielle de la banque ou en tapant vous-même l'adresse de son site.

Une mauvaise orthographe est-elle encore un signe fiable de phishing ? Moins qu'avant. Les outils d'écriture par IA permettent aux escrocs de produire des messages propres et fluides ; une bonne grammaire ne signifie donc plus qu'un e-mail est sûr. Fiez-vous plutôt à l'adresse de l'expéditeur, à la destination des liens et aux demandes suspectes.

Quelle est la différence entre phishing, smishing et vishing ? C'est la même ruse sur des canaux différents : le phishing par e-mail, le smishing par SMS, et le vishing par appel vocal. Tous visent à vous pousser à révéler des informations ou à envoyer de l'argent.

Dois-je cliquer sur « se désabonner » dans un e-mail de phishing ? Non. Interagir avec une arnaque évidente — y compris se désabonner — peut confirmer que votre adresse est active et en attirer d'autres. Contentez-vous de le signaler et de le supprimer.

Que faire en premier si j'ai cliqué sur un lien de phishing et saisi mon mot de passe ? Changez immédiatement ce mot de passe sur le site légitime, changez-le partout où vous l'avez réutilisé, et activez l'authentification à deux facteurs. Puis surveillez le compte pour toute activité non autorisée.

En résumé

Le phishing repose sur l'urgence et la confiance, pas sur une prouesse technique — ce qui veut dire qu'une habitude calme et sceptique en vient à bout la plupart du temps. Vérifiez l'expéditeur, vérifiez où mènent vraiment les liens, et confirmez tout ce qui est important en visitant le site vous-même. Renforcez le tout avec des mots de passe uniques et l'authentification à deux facteurs, et un e-mail de phishing devient un simple message que vous supprimez. Pour la vue d'ensemble, commencez par notre guide des bases de la cybersécurité.