Technologie

Reconnaître un mail de phishing : 7 signes qui ne trompent pas

8 min de lecture
Reconnaître un mail de phishing : 7 signes qui ne trompent pas

Un mail de phishing se reconnaît à sept signaux : une adresse d’expéditeur douteuse, un lien qui ne mène pas où il prétend, un ton d’urgence, des fautes, une demande de données sensibles, une pièce jointe inattendue et un message générique. Vérifier ces points avant tout clic évite l’immense majorité des arnaques. Voici comment les repérer en quelques secondes.

Le phishing, première menace numérique en France

L’hameçonnage n’est pas une nuisance marginale. En 2025, il reste la menace numéro un pour les particuliers comme pour les entreprises, selon le rapport d’activité de Cybermalveillance.gouv.fr, avec 108 000 demandes d’assistance liées à ce seul sujet, une hausse de 70 % sur un an. La plateforme nationale a franchi le cap des 504 000 sollicitations toutes menaces confondues.

L’ampleur s’explique par un mécanisme simple. Selon l’ANSSI, plus de 80 % des cyberattaques débutent par un courriel frauduleux. Le mail est la porte d’entrée. Un salarié qui clique, c’est parfois toute une entreprise qui tombe. Le type de cyberattaque le plus répandu exploite d’ailleurs presque toujours ce premier maillon humain.

Le phénomène se diversifie aussi. Le smishing, c’est-à-dire l’hameçonnage par SMS, a progressé de 45 % depuis janvier 2025. Le phishing par QR code a dépassé quatre millions de tentatives en France sur l’année. Le principe reste identique quel que soit le canal : imiter un tiers de confiance pour vous faire livrer un mot de passe, un code ou un numéro de carte.

Signe 1 : une adresse d’expéditeur qui cloche

Le premier réflexe, avant même de lire le contenu, consiste à examiner l’adresse complète de l’expéditeur, pas seulement le nom affiché. Un escroc écrit facilement « Service client Amazon » dans le champ nom. Ce qui compte, c’est la partie après le @.

Une organisation légitime utilise son propre domaine. La CNIL rappelle qu’un faux message se trahit souvent par un nom de domaine tordu : impots.gouvv.fr, impots-gouv.biz ou infocaf.org au lieu de www.caf.fr. Cherchez la lettre en trop, le tiret suspect, l’extension inhabituelle.

Autre indice fréquent : le message arrive d’une adresse en @gmail.com ou @outlook.fr alors qu’il prétend venir d’une banque ou d’un service public. Aucun établissement sérieux ne vous écrit depuis une messagerie grand public. Un doute ? Comparez avec un ancien courriel authentique du même organisme.

Attention toutefois : l’adresse peut être usurpée techniquement. Un domaine parfaitement correct n’est donc pas une garantie absolue. C’est un signal parmi sept, pas une preuve à lui seul.

Signe 2 : un lien qui ne mène pas où il annonce

Le lien est le cœur du piège. Le texte affiché peut dire www.votrebanque.fr et pointer en réalité vers un serveur pirate. La vérification tient en un geste : survolez le lien avec la souris, sans cliquer, et lisez l’adresse réelle qui apparaît en bas de l’écran.

Ce qui doit alerter :

  • Une suite de chiffres à la place d’un nom de domaine.
  • Un domaine sans rapport avec l’objet du message.
  • Une adresse très longue qui noie le vrai nom de domaine au milieu de sous-domaines.
  • Un raccourcisseur d’URL qui masque la destination finale.

Sur mobile, le survol est impossible. Appuyez longuement sur le lien pour afficher l’aperçu de destination avant d’ouvrir quoi que ce soit. En cas de doute, ne cliquez pas : tapez vous-même l’adresse du service dans votre navigateur. Ce réflexe unique bloque une part énorme des tentatives. Il complète les mesures décrites dans notre guide pour se protéger des nouvelles menaces en ligne.

Signe 3 : l’urgence fabriquée

Le phishing joue sur l’émotion pour court-circuiter la réflexion. « Votre compte sera suspendu sous 24 heures. » « Colis bloqué, régularisez maintenant. » « Activité suspecte détectée, confirmez immédiatement. » L’objectif est de vous faire agir avant de penser.

Un organisme légitime laisse du temps et n’impose jamais une action instantanée sous peine de sanction. La pression au compte à rebours est une signature de l’arnaque. Plus le message crée d’anxiété, plus la méfiance doit monter.

La peur n’est pas le seul levier. L’appât fonctionne aussi : gain à une loterie, remboursement d’impôt inattendu, cadeau de fidélité. Là encore, un bénéfice non sollicité qui exige de « confirmer vos informations » cache presque toujours un hameçon.

Signe 4 : fautes, formulations bancales et impersonnalité

Beaucoup de campagnes sont traduites à la machine ou rédigées par des acteurs non francophones. Résultat : fautes d’orthographe, tournures maladroites, accents manquants, ponctuation étrange. La CNIL cite les erreurs de frappe et les expressions inappropriées parmi les marqueurs d’un message qui n’émane pas d’un organisme crédible.

Le caractère impersonnel trahit aussi la fraude. « Cher client », « Bonjour Madame, Monsieur » là où votre banque connaît votre nom. Un service qui possède vraiment votre dossier vous nomme.

Le progrès de l’intelligence artificielle brouille cependant ce signal. Les mails générés récemment sont souvent irréprochables sur la forme. Un français parfait ne prouve donc rien. L’absence de faute ne doit jamais faire baisser la garde sur les six autres signes.

Signe 5 : la demande de données sensibles

Aucune banque, aucune administration, aucun service sérieux ne réclame par mail votre mot de passe, votre code de carte, votre code de sécurité à trois chiffres ou vos identifiants complets. Cette règle ne souffre pas d’exception. Tout courriel qui demande ces éléments est frauduleux par définition.

Les formulaires piégés sont particulièrement dangereux. Le mail renvoie vers une page qui copie à l’identique le site officiel, logo compris, et vous invite à « vous reconnecter ». Ce que vous tapez part directement chez l’escroc. La protection de vos droits sur les données personnelles commence par ce refus catégorique de saisir un identifiant depuis un lien reçu par message.

Un réflexe simple protège vos comptes même en cas d’erreur : la double authentification. Avec un second facteur, un mot de passe volé ne suffit plus à ouvrir votre compte.

Signe 6 : une pièce jointe inattendue

La pièce jointe est l’autre vecteur classique. Une facture que vous n’attendiez pas, un « document à signer », un fichier de suivi de colis. Le format trahit parfois le danger : un fichier exécutable déguisé, un document bureautique demandant d’activer les macros, une archive compressée protégée par mot de passe pour échapper aux antivirus.

La prudence tient en une question : attendiez-vous ce document, de cette personne, à ce moment ? Si non, ne l’ouvrez pas. En contexte professionnel, une pièce jointe suspecte doit filer directement au service informatique. Ce réflexe fait partie des bases de la sensibilisation à la cybersécurité en entreprise, premier rempart contre la propagation d’un ransomware.

Signe 7 : un contexte qui n’a pas de sens

Le dernier signe est le plus intuitif. Un remboursement d’un service que vous n’utilisez pas. Un colis d’un transporteur chez qui vous n’avez rien commandé. Une alerte de sécurité d’une banque où vous n’avez pas de compte. Le message ne colle pas à votre réalité.

Les campagnes de masse envoient des millions de messages sans savoir qui les recevra. Statistiquement, une partie tombe sur des clients réels du service imité. Vous, non. L’incohérence est votre meilleure alarme. Prenez trois secondes pour vous demander si ce message a une raison légitime d’atterrir dans votre boîte.

Récapitulatif : les 7 signaux en un coup d’œil

SignalQuestion à se poserRéflexe
ExpéditeurLe domaine après le @ est-il le bon ?Comparer à un vrai courriel
LienLa destination réelle correspond-elle ?Survoler sans cliquer
UrgenceLe message impose-t-il d’agir vite ?Ralentir, se méfier
FautesLe français est-il soigné et personnalisé ?Croiser avec les autres signes
DonnéesDemande-t-on un mot de passe ou un code ?Refuser, toujours
Pièce jointeAttendais-je ce fichier ?Ne pas ouvrir dans le doute
ContexteCe message a-t-il une raison d’exister ?Se fier à l’incohérence

Un seul signal suffit à justifier la prudence. Deux ou trois réunis ne laissent plus de doute.

Que faire face à un mail suspect

Ne cliquez sur aucun lien, n’ouvrez aucune pièce jointe, ne répondez pas. Ne transférez pas non plus le message à un proche « pour avis », vous risqueriez de propager le piège. Pour vérifier une demande, contactez l’organisme concerné par un canal que vous connaissez déjà : son application officielle, son numéro habituel, l’adresse de son site tapée à la main.

Signalez ensuite le message. En France, la plateforme Phishing Initiative permet de dénoncer une adresse frauduleuse. Le numéro 33 700 recueille les SMS suspects. Le portail Cybermalveillance.gouv.fr, qui a dépassé cinq millions de visiteurs en 2025, propose des fiches réflexes détaillées et une assistance gratuite aux victimes.

Si le mal est fait, agissez vite. Changez le mot de passe compromis depuis un appareil sain, faites opposition auprès de votre banque en cas de données bancaires livrées, et surveillez vos comptes. Comprendre les objectifs concrets d’une cyberattaque aide à mesurer l’enjeu : derrière un simple mail se cachent le vol d’identité, la fraude au virement et la revente de vos données.

Prochaine étape : entraînez votre œil sur un cas réel. Ouvrez votre dossier spam, prenez un message au hasard, et appliquez les sept signaux. En moins d’une minute, la mécanique du repérage devient un réflexe qui vous protégera durablement.

#phishing #hameçonnage #email frauduleux #cybersécurité #arnaque en ligne