Le phishing (hameçonnage), c’est l’attaque la plus rentable et la plus fréquente : un simple mail, un lien, et l’utilisateur fait le reste. Le but est presque toujours le même : voler un mot de passe, récupérer un accès (messagerie, cloud, banque), ou déclencher un paiement.
La bonne nouvelle : dans la plupart des cas, on peut repérer un mail piégé très vite, sans être expert. Il suffit d’appliquer une check-list courte et systématique.
Le test des 10 secondes
Quand un mail vous met une pression (urgence, menace, gain, facture), ne cliquez pas. Faites ce contrôle rapide :
- L’expéditeur… le vrai
Le nom affiché est souvent crédible, mais c’est l’adresse qui compte. Un “support@service-securite.com” n’est pas “support@banque.fr”.
Sur mobile, il faut souvent appuyer sur le nom pour voir l’adresse complète. - L’urgence et la peur
Les messages de phishing cherchent à court-circuiter le cerveau : “compte suspendu”, “paiement refusé”, “dernière relance”, “colis bloqué”. Plus c’est pressant, plus c’est suspect. - Le lien (sans cliquer)
Sur PC : survolez le bouton/lien → l’URL s’affiche.
Sur mobile : appui long → aperçu du lien.
Ce que l’on cherche : un domaine étrange, une orthographe proche (ex : “micros0ft”), ou un lien raccourci sans contexte. - La demande anormale
Un service sérieux ne demande pas par mail :
- votre mot de passe
- un code de double authentification
- un RIB/IBAN “en urgence”
- l’installation d’un logiciel pour “valider”
- Les fautes et le ton
Beaucoup de mails frauduleux ont encore des tournures bizarres, des fautes, des majuscules excessives, ou un vocabulaire trop générique (“Cher client”). Ce n’est pas une preuve à 100%, mais c’est un signal.
Les 3 pièges les plus courants
Piège n°1 : “Votre compte va être bloqué”
Cible : messagerie, streaming, cloud, impôts, banque. Objectif : voler le mot de passe.
Piège n°2 : “Facture / devis / document à consulter”
Cible : entreprises et indépendants. Objectif : voler des identifiants Microsoft/Google ou déposer un fichier malveillant.
Piège n°3 : “Colis / livraison”
Cible : particuliers. Objectif : carte bancaire ou collecte d’infos personnelles.
[Illustration 2 (au milieu, section “pièges courants”)]
Type : mini schéma simple “Mail → Lien → Faux site → Vol d’identifiants”
Alt : “Chaîne d’attaque phishing : du mail au faux site”
Que faire si vous avez un doute ?
Règle simple : on ne répond pas au mail, on ne clique pas.
- Ouvrez le service via un chemin sûr : favori, application officielle, ou saisie manuelle de l’adresse du site.
- Si le mail parle d’une facture/commande : vérifiez directement dans votre espace client.
- Si c’est professionnel : transférez au référent IT ou mettez le mail en quarantaine selon vos outils.
Et si vous avez cliqué (ou saisi vos identifiants) ?
Il faut agir vite, sans paniquer :
- Changez immédiatement le mot de passe du compte concerné (depuis le site officiel, pas via le mail).
- Activez la double authentification si ce n’est pas déjà fait.
- Déconnectez les sessions actives (souvent disponible dans “Sécurité” du compte).
- Sur une messagerie pro/perso : vérifiez les règles de transfert (les attaquants ajoutent parfois une redirection).
- Si une carte bancaire est concernée : faites opposition si nécessaire et surveillez les opérations.
Conclusion
Le phishing fonctionne parce qu’il joue sur l’urgence et l’habitude du clic. En appliquant un contrôle simple (expéditeur, urgence, lien, demande, ton), on élimine la majorité des mails piégés en quelques secondes.
Si vous voulez renforcer la protection (filtres, authentification forte, sensibilisation, sécurisation Microsoft/Google, procédures internes), nous pouvons mettre en place une méthode claire et durable, adaptée aux particuliers comme aux entreprises.
