Décryptage · Tech · Société · Innovation

Le Grand Journal Intelligent

Cybersécurité

Phishing : c'est quoi, comment le reconnaître et ne pas se faire piéger

Marie Fontaine Marie Fontaine | | 5 min de lecture
hameçon numérique symbolisant une attaque de phishing
Crédit : Unsplash

Chaque année, des millions de Français reçoivent des emails qui semblent venir de leur banque, des impôts, de La Poste ou d’Amazon — et qui sont en réalité des tentatives d’escroquerie. Ce phénomène s’appelle le phishing (ou hameçonnage en français), et il reste l’une des cyberattaques les plus efficaces au monde, non pas parce qu’elle est techniquement sophistiquée, mais parce qu’elle exploite la psychologie humaine.

Voici comment ça marche, comment le reconnaître, et comment ne jamais se faire piéger.

Phishing : définition

Le phishing est une technique d’escroquerie en ligne dans laquelle un attaquant se fait passer pour une entité de confiance — une banque, une administration, un service de livraison, une plateforme comme Netflix ou PayPal — pour vous inciter à divulguer des informations personnelles ou à effectuer une action nuisible.

Le terme vient de l’anglais fishing (pêche à la ligne), avec un ph emprunté à la culture hacker des années 1990. L’image est juste : l’escroc lance un appât, et attend que vous mordiez.

Ce que les attaquants cherchent à obtenir :

  • Identifiants de connexion (email + mot de passe)
  • Coordonnées bancaires (numéro de carte, code CVV)
  • Numéro de sécurité sociale ou données d’identité
  • Accès à un compte professionnel
  • Un virement vers un compte frauduleux

Les formes de phishing les plus courantes

Email phishing — la forme classique

C’est le plus répandu. Vous recevez un email qui imite parfaitement la charte graphique d’une entreprise connue. L’objet crée une urgence : “Votre compte a été suspendu”, “Action requise dans les 24h”, “Colis en attente de livraison”.

Le lien dans l’email pointe vers un faux site web qui ressemble à s’y méprendre au vrai. Vous entrez vos identifiants — et l’escroc les récupère en temps réel.

Exemples fréquents en France :

  • Faux email des impôts (remboursement fictif)
  • Faux email Ameli / Assurance maladie
  • Faux email La Banque Postale ou Crédit Agricole
  • Faux email Colissimo ou Chronopost (colis bloqué)
  • Faux email Netflix (renouvellement de paiement)

Spear phishing — ciblé et personnalisé

Contrairement au phishing de masse, le spear phishing cible une personne précise. L’attaquant a fait des recherches préalables sur LinkedIn, les réseaux sociaux ou les sites d’entreprise. L’email contient votre prénom, votre poste, le nom de votre supérieur hiérarchique.

“Bonjour Marie, je suis [Nom de votre PDG], je suis en réunion et j’ai besoin que vous effectuiez un virement urgent de 3 000 € à ce RIB…”

Cette technique, appelée arnaque au président, cible principalement les services comptables des entreprises.

Smishing — par SMS

Le smishing est du phishing par SMS. Exemple classique : “Votre colis DPD est en attente. Payez 2,99 € de frais de douane ici : [lien frauduleux]”. Ces SMS sont parfois insérés dans des fils de discussion SMS légitimes de la vraie entreprise.

Vishing — par téléphone

Un faux conseiller bancaire vous appelle, prétend détecter une activité suspecte sur votre compte, et vous demande vos codes de validation pour “sécuriser” votre compte. En réalité, il réalise des virements en temps réel grâce aux codes que vous lui communiquez.

Quishing — par QR code

La dernière tendance : de faux QR codes placés sur des faux avis de passage, des publicités, ou des emails redirigent vers des sites frauduleux. Le QR code contourne les filtres anti-phishing des messageries qui analysent les URLs textuelles mais pas les images.

Comment reconnaître un email de phishing

Vérifier l’adresse de l’expéditeur

L’objet peut sembler légitime, mais l’adresse email révèle souvent tout :

  • contact@impots-service.fr au lieu de @impots.gouv.fr
  • noreply@amazon-securite.com au lieu de @amazon.fr
  • service@credit-agricole-alerte.net au lieu de @credit-agricole.fr

Règle d’or : Les organismes officiels utilisent toujours leur vrai domaine. Les impôts écrivent depuis @impots.gouv.fr, jamais depuis un autre domaine.

Repérer les signaux d’alerte dans le contenu

  • Urgence extrême : “Votre compte sera bloqué dans 2 heures” — les vraies entreprises ne fonctionnent pas comme ça
  • Fautes d’orthographe : les campagnes de phishing de masse contiennent souvent des erreurs, même légères
  • Formule d’adresse générique : “Cher client” au lieu de votre prénom
  • Lien qui ne correspond pas : survolez le lien sans cliquer — l’URL affichée est-elle bien celle de l’entreprise ?
  • Pièce jointe inattendue : un fichier .exe, .zip ou même un .pdf peut contenir un malware

Vérifier l’URL de destination

Avant d’entrer quoi que ce soit sur un site :

  1. Regardez la barre d’adresse — est-ce bien le bon domaine ?
  2. Cherchez https:// et le cadenas (mais attention : le https ne garantit pas que le site est légitime, seulement que la connexion est chiffrée)
  3. Méfiez-vous des domaines qui imitent : amaz0n.fr, paypa1.com, impots-gouv.fr (avec un tiret)

Que faire si vous avez reçu un phishing

Si vous avez juste reçu l’email (sans cliquer) :

  • Signalez-le via signal-spam.fr ou directement depuis votre messagerie
  • Supprimez l’email
  • Rien d’autre à faire

Si vous avez cliqué sur le lien mais n’avez rien entré :

  • Fermez immédiatement l’onglet
  • Lancez une analyse antivirus rapide (par précaution)
  • Signalez le site sur phishing-initiative.fr

Si vous avez entré vos identifiants :

  • Changez votre mot de passe immédiatement sur le vrai site
  • Activez l’authentification à deux facteurs (2FA)
  • Si c’est un mot de passe utilisé ailleurs, changez-le sur tous les autres sites
  • Vérifiez l’activité récente de votre compte pour détecter des connexions suspectes

Si vous avez communiqué des données bancaires :

  • Appelez immédiatement votre banque (numéro au dos de votre carte)
  • Faites opposition sur votre carte si nécessaire
  • Déposez plainte auprès de la police ou de la gendarmerie
  • Signalez sur cybermalveillance.gouv.fr

Comment se protéger efficacement

Ne jamais cliquer sur un lien reçu par email ou SMS

Si vous recevez un email de votre banque indiquant un problème sur votre compte, n’utilisez pas le lien dans l’email. Ouvrez un nouvel onglet, tapez manuellement l’adresse de votre banque, connectez-vous et vérifiez. Si l’email était légitime, le problème apparaîtra dans votre espace client.

Activer l’authentification à deux facteurs (2FA)

Même si un attaquant obtient votre mot de passe, il ne pourra pas accéder à votre compte sans le deuxième facteur (code SMS, application d’authentification). C’est la protection la plus efficace contre le phishing.

Utiliser un gestionnaire de mots de passe

Un gestionnaire de mots de passe remplit automatiquement vos identifiants uniquement sur le vrai site. Sur un faux site de phishing avec une URL différente, il ne proposera rien — signal d’alarme immédiat.

Maintenir ses logiciels à jour

Les mises à jour de navigateurs et d’antivirus intègrent des bases de données de sites de phishing connus. Un navigateur à jour peut bloquer automatiquement l’accès à de nombreux sites frauduleux.

Former son entourage

Le phishing fonctionne mieux sur les personnes qui ne savent pas qu’il existe. Expliquez le concept à vos parents, grands-parents, collègues. Les personnes âgées sont particulièrement ciblées.

Le phishing n’est pas en train de disparaître — il évolue. Les kits de phishing modernes utilisent l’IA pour générer des emails sans fautes, en français parfait, parfaitement personnalisés. La seule vraie protection reste la vigilance : ne jamais cliquer un lien reçu par email ou SMS pour accéder à un compte sensible, toujours aller directement sur le site.

phishing hameçonnage cybersécurité arnaque sécurité informatique