C'est quoi le phishing, et comment le reconnaître ?

Réponse rapide

Le phishing (ou hameçonnage), c'est quand quelqu'un vous envoie un message truqué — généralement par e-mail, SMS ou messagerie — qui ressemble à un message de votre banque, de votre patron, d'un livreur ou d'un proche, dans l'espoir que vous cliquiez sur un lien, tapiez un mot de passe ou viriez de l'argent avant de remarquer les petits détails qui trahissent.

Ce que ce n'est PAS

Le phishing n'est PAS uniquement des fautes d'orthographe et des sites moches — en 2026 les attaquants achètent des noms de domaine, copient les vraies chartes graphiques, utilisent l'IA pour écrire un français fluide et réutilisent même de vrais fils de discussion. Un message propre et bien écrit peut tout à fait être du phishing. Et le phishing n'est PAS uniquement par e-mail ; SMS (smishing), appels (vishing), QR codes (quishing) et messageries sont tout aussi courants.

Pour aller plus loin

Le phishing (en français hameçonnage) est le nom générique de toute arnaque qui arrive sous forme de message et tente de vous faire faire quelque chose que vous n’auriez pas fait si vous aviez su qui demandait vraiment — cliquer sur un lien piégé, taper un mot de passe sur une fausse page, payer une facture qui ressemble à une vraie mais ne l’est pas, approuver une notification 2FA, ou simplement donner une information (« pouvez-vous confirmer votre date de naissance ? ») qui alimente l’étape suivante.

L’exemple classique est l’e-mail de banque — « nous avons détecté une activité suspecte, cliquez ici pour vérifier ». Le phishing moderne est bien plus large et bien meilleur :

  • Avis de livraison. « Votre colis Chronopost / La Poste / DHL n’a pas pu être livré — payez 1,99 € pour relivraison. » Le montant est un leurre ; l’objectif est votre carte bancaire.
  • Fraude au président. Un message au nom de votre patron, souvent par SMS ou WhatsApp, pour acheter des cartes cadeau ou faire un virement urgent « avant la réunion de demain ».
  • Arnaque sentimentale. De longues conversations sur des applis de rencontre qui basculent sur WhatsApp et se terminent sur une plateforme d’investissement crypto entièrement fausse.
  • Phishing MFA. Vous recevez une vraie notification 2FA sur votre vrai compte parce que l’attaquant vient de saisir votre vrai mot de passe — il veut que vous approuviez.
  • Phishing OAuth. Des boutons « Se connecter avec Google » qui donnent à une appli malveillante l’autorisation de lire votre messagerie ou vos fichiers — la page est bien Google, mais l’appli derrière le bouton n’est pas celle annoncée.
  • Phishing par QR (quishing). Un autocollant sur un horodateur, sur une borne de recharge, sur un flyer — le QR pointe vers une fausse page de paiement qui capture la carte.

Les signaux qui marchent encore en 2026, même face à des attaquants à l’écriture IA fluide :

  1. L’attendiez-vous ? Une livraison que vous n’avez pas commandée, un remboursement que vous n’avez pas demandé, une alerte de connexion pour un service que vous n’utilisez pas — c’est suspect par le contexte, indépendamment de la qualité d’écriture.
  2. Le vrai expéditeur, pas le nom affiché. Les applis e-mail affichent « Amazon » ou « La Poste » parce que c’est l’étiquette amicale choisie par l’expéditeur. Ouvrez et lisez l’adresse complète. Les anomalies comme amazon@billing-secure-update.com trahissent.
  3. La vraie destination du lien. Survol sur ordinateur, appui long sur téléphone. Le domaine juste avant le premier slash est le seul qui compte — paypal.com.secure-login.io n’est pas PayPal.
  4. La demande elle-même. Les vraies banques ne demandent pas votre mot de passe par e-mail. Les vrais patrons ne demandent pas de cartes cadeau par SMS. Les vrais impôts ne menacent pas d’arrestation par téléphone. Le vrai support Apple ne vous appelle pas.
  5. La pression à agir maintenant. Le phishing vit de l’urgence : « dans les 24 heures », « votre compte sera suspendu », « dernier rappel ». Les vraies institutions peuvent attendre une heure pendant que vous les rappelez sur un numéro que vous trouvez vous-même.

Si vous cliquez, la deuxième meilleure défense est la double authentification : même un mot de passe volé ne suffit pas à se connecter sans votre téléphone. Si vous tapez un mot de passe, changez-le immédiatement sur le vrai site, changez-le partout où vous l’avez réutilisé, et partez du principe que l’attaquant l’aura encore quelques semaines.

On nous pose aussi

À quoi ressemble un message de phishing moderne ? +

Souvent, à un vrai message. Un avis de livraison avec le bon logo et le bon format de numéro de suivi. Un e-mail « votre identifiant Apple a été utilisé pour se connecter depuis la Russie » avec un bouton bleu parfaitement banal. Un patron qui demande un achat rapide de cartes cadeau ou un virement « pendant que je suis en réunion ». Le bon réflexe n'est pas « est-ce que ça a l'air pro ? » — c'est « est-ce que j'attendais ça, et le domaine de l'expéditeur correspond-il exactement ? ».

Que faut-il vérifier avant de cliquer sur un lien dans un e-mail ou un SMS ? +

Trois choses, dans cet ordre. (1) L'adresse complète de l'expéditeur, pas seulement le nom affiché : « Amazon » peut cacher « noreply@amazon-billing-secure.com ». (2) L'URL réelle de destination — survol sur ordinateur, appui long sur téléphone — et vérifier le domaine, surtout la partie juste avant le premier slash. (3) Si vous attendiez ce message. Si vous n'avez rien commandé, un avis de livraison est suspect par définition.

Quelle est la différence entre phishing, smishing, vishing et quishing ? +

Même piège, canal différent. Phishing = e-mail. Smishing = SMS. Vishing = appel vocal (« votre banque appelle au sujet d'un virement suspect »). Quishing = QR code (l'autocollant sur l'horodateur, le menu QR au restaurant, le code « payer ici » sur un flyer) qui pointe vers une fausse page. Les défenses sont les mêmes : vérifier qui contacte vraiment, ne jamais saisir d'identifiants depuis un lien ou un QR que vous n'avez pas cherché, et rappeler la vraie institution sur un numéro que vous trouvez vous-même.

Que faire si j'ai cliqué sur un lien de phishing ? +

Restez calme. Si vous avez seulement cliqué puis fermé la page sans rien saisir, le risque pratique est faible — fermez l'onglet, lancez un antivirus si vous voulez la ceinture-bretelles. Si vous avez saisi un mot de passe, changez-le immédiatement sur le vrai site et activez la 2FA. Si vous avez saisi une carte bancaire, faites opposition. Si vous avez fait un virement, contactez votre banque dans la minute — la rapidité de signalement fait la différence entre récupérer l'argent ou non. Puis surveillez les opérations sur le compte la semaine suivante.

Les e-mails de phishing générés par IA sont-ils plus durs à repérer ? +

Oui. Les indices classiques — français cassé, grammaire bizarre, mise en forme amateur — ont disparu. Les attaquants font passer leurs textes par des outils type ChatGPT et produisent des messages fluides dans n'importe quelle langue, souvent en citant du vrai contexte tiré de vos réseaux sociaux. Les signaux qui marchent encore sont techniques : le vrai domaine émetteur, la vraie URL derrière le lien, et le fait que la demande colle ou non à votre flux de travail réel. Une belle écriture n'est plus une preuve de légitimité.

Aussi expliqué

Comment distinguer un appel ou SMS frauduleux d'un vrai ?

Si un appel ou un message crée de l'urgence, demande un code ou un mot de passe, sollicite un virement ou des cartes cadeau, ou menace d'arrestation, d'amendes ou de fermeture de compte, traitez-le comme une fraude quel que soit l'expéditeur — et rappelez la vraie institution sur un numéro que vous trouvez vous-même, jamais sur le numéro que l'appelant vous a donné.

C'est quoi la double authentification (2FA), et quelle version utiliser ?

La double authentification ajoute une seconde étape après votre mot de passe — un code venant d'une appli, une notification sur votre téléphone, ou une passkey — pour qu'un mot de passe volé ne suffise plus à se connecter ; en 2026 la meilleure option pour la plupart des gens est la passkey, puis une appli d'authentification, et le SMS uniquement en dernier recours.

C'est quoi une fuite de données, et que faire si mes informations sont dedans ?

Une fuite de données, c'est quand une organisation qui détient vos informations personnelles en perd le contrôle — votre e-mail, mot de passe, numéro de téléphone, adresse, parfois votre carte bancaire ou pièce d'identité se retrouvent dans un fichier que les attaquants téléchargent et réutilisent ; la réponse pratique est de changer le mot de passe du compte concerné, le changer partout où il était réutilisé, et activer la double authentification.

Qu'est-ce qu'un gestionnaire de mots de passe, et est-ce sûr d'en utiliser un ?

Un gestionnaire de mots de passe est une application qui génère un mot de passe unique et solide pour chaque compte et les retient pour vous derrière un seul mot de passe maître — oui, c'est nettement plus sûr que de réutiliser le même mot de passe, même si tout est au même endroit.
← Retour au glossaire grand public