Qu'est-ce que le phishing et comment se protéger

Le phishing (hameçonnage) est l'une des cyberattaques les plus anciennes et les plus efficaces — et elle devient de plus en plus sophistiquée. Elle consiste à vous amener à divulguer vos identifiants de connexion, vos informations personnelles ou vos données financières via de faux messages qui semblent légitimes.

Des faux e-mails se faisant passer pour votre banque aux SMS prétendant que votre colis est bloqué — le phishing prend de nombreuses formes. Le reconnaître est votre meilleure défense contre les prises de contrôle de compte et le vol de données.

Qu'est-ce que le phishing ?

Le phishing est un type d'attaque par ingénierie sociale dans laquelle un criminel se fait passer pour une entité de confiance — une banque, une plateforme de réseau social ou une administration — pour vous amener à divulguer des informations sensibles.

Le terme « phishing » vient de l'anglais « fishing » (pêche) — l'attaquant lance un appât (un faux message) et attend que quelqu'un morde. Contrairement au piratage technique, le phishing n'exploite pas les failles logicielles. Il exploite la confiance humaine et le sentiment d'urgence.

Une attaque de phishing typique fonctionne ainsi :

  • Vous recevez un message qui semble officiel (e-mail, SMS ou message direct)
  • Le message crée de l'urgence : « Votre compte va être suspendu », « Connexion suspecte détectée », « Confirmez votre identité maintenant »
  • Vous cliquez sur un lien menant à une fausse page de connexion identique à la vraie
  • Vous saisissez vos identifiants — qui vont directement à l'attaquant

Le phishing est la cause la plus fréquente de compromissions de comptes sur des plateformes comme Facebook, les fournisseurs d'e-mail et les services bancaires.

Méthodes courantes de phishing

Le phishing a évolué bien au-delà des e-mails d'arnaque évidents. Voici les formes les plus courantes que vous rencontrerez :

Phishing par e-mail

  • La forme classique — faux e-mails se faisant passer pour des banques, des plateformes ou des services
  • Contient souvent un langage urgent et un lien vers une fausse page de connexion
  • L'adresse de l'expéditeur ressemble à la vraie, mais présente de subtiles différences

Phishing par SMS (smishing)

  • Messages texte prétendant venir de services de livraison, de banques ou d'administrations
  • Contient souvent des URL raccourcies qui masquent la vraie destination
  • De plus en plus répandu et plus difficile à filtrer que les e-mails

Phishing sur les réseaux sociaux

  • Messages directs de comptes d'amis piratés vous demandant de « regarder ça » ou de « voter pour moi »
  • Fausses notifications de droits d'auteur ou de vérification sur Instagram et Facebook
  • Arnaques en commentaires avec des liens vers de faux concours ou pages de connexion

Phishing vocal (vishing)

  • Appels téléphoniques se faisant passer pour le support technique, votre banque ou les forces de l'ordre
  • L'appelant crée de l'urgence et vous demande de divulguer des données de compte ou d'installer un logiciel

Le dénominateur commun : toutes les formes de phishing exploitent la confiance et créent un faux sentiment d'urgence pour que vous agissiez avant de réfléchir.

Comment reconnaître un message ou une page de phishing

Reconnaître le phishing devient plus facile quand vous savez quoi chercher. Voici les signaux d'alarme les plus fiables :

  • Urgence et menaces — « Agissez maintenant ou votre compte sera supprimé. » Les services sérieux menacent rarement de conséquences immédiates dans un seul message.
  • Adresse d'expéditeur suspecte — regardez attentivement. « support@faceb00k-security.com » n'est pas Facebook. Vérifiez le vrai domaine de l'e-mail, pas seulement le nom affiché.
  • Salutation générique — « Cher utilisateur » ou « Cher client » plutôt que votre vrai nom peut indiquer une campagne de phishing en masse.
  • URLs qui ne correspondent pas — passez la souris sur les liens (ne cliquez pas) pour voir la vraie destination. Si le texte du lien indique « instagram.com » mais que l'URL mène ailleurs, c'est du phishing.
  • Mauvaise grammaire ou mise en forme — bien que le phishing soit devenu plus professionnel, beaucoup de tentatives contiennent encore des fautes d'orthographe, une mise en forme étrange ou une image de marque incohérente.
  • Pièces jointes inattendues — les plateformes sérieuses n'envoient presque jamais de pièces jointes. Si vous en recevez une de manière inattendue, ne l'ouvrez pas.
  • Demandes d'identifiants par message — aucun service sérieux ne vous demandera jamais de lui envoyer votre mot de passe, votre code PIN ou votre code de confirmation par e-mail ou chat.

En cas de doute, ne cliquez pas sur le lien. Ouvrez plutôt une nouvelle fenêtre de navigateur et rendez-vous directement sur le site du service en tapant vous-même l'adresse.

Que faire si vous avez cliqué sur un lien de phishing

Si vous réalisez avoir cliqué sur un lien de phishing ou avoir saisi vos identifiants sur une fausse page, ne paniquez pas — mais agissez immédiatement :

  • Changez immédiatement votre mot de passe — rendez-vous directement sur le vrai site (tapez vous-même l'URL) et changez votre mot de passe pour un tout nouveau.
  • Activez immédiatement la 2FA — si ce n'est pas encore fait, activez l'authentification à deux facteurs sur le compte concerné et votre e-mail.
  • Vérifiez les accès non autorisés — examinez les sessions actives et les activités récentes. Déconnectez tous les appareils que vous ne reconnaissez pas.
  • Sécurisez votre e-mail — si vous avez saisi vos identifiants d'e-mail sur une page de phishing, votre compte e-mail est maintenant prioritaire. Un e-mail compromis donne aux attaquants accès à tout.
  • Vérifiez les règles de transfert — les attaquants configurent souvent des transferts d'e-mail pour recevoir silencieusement des copies de vos messages.
  • Surveillez vos comptes — soyez attentif aux activités suspectes dans les jours et semaines qui suivent, même sur les comptes qui utilisent le même mot de passe.
  • Signalez la page de phishing — la plupart des navigateurs et fournisseurs d'e-mail offrent des options pour signaler le phishing. Cela aide à protéger les autres.

Si vous avez saisi des données financières, contactez immédiatement votre banque pour bloquer ou surveiller les cartes ou comptes concernés.

Comment se protéger du phishing

La meilleure protection contre le phishing est une combinaison de sensibilisation et de bonnes pratiques de sécurité de base :

  • Activez la 2FA sur tous vos comptes importants — même si un attaquant obtient votre mot de passe par phishing, l'authentification à deux facteurs bloque sa connexion.
  • Utilisez des mots de passe uniques — ne réutilisez jamais des mots de passe sur différents services. Un gestionnaire de mots de passe rend cela pratique.
  • Vérifier avant de cliquer — si vous recevez un message sur des problèmes de compte, rendez-vous directement sur le site plutôt que de cliquer sur le lien dans le message.
  • Maintenez les logiciels à jour — les navigateurs et clients e-mail mettent régulièrement à jour leur détection de phishing. Maintenez-les à jour.
  • Méfiez-vous de l'urgence — les entreprises sérieuses vous donnent le temps d'agir. Si un message exige une action immédiate, c'est un signal d'alarme.
  • Informez-vous et informez les autres — plus vous êtes familier avec les tactiques de phishing, plus vous les reconnaîtrez facilement. Partagez ces connaissances avec famille et amis.

Aucune mesure unique n'est parfaite, mais la combinaison de ces pratiques fait de vous une cible nettement plus difficile. Pour une approche de sécurité globale, consultez notre guide de protection de vos comptes.

Vous craignez que votre compte ait été compromis par du phishing ?

Si vous avez saisi vos identifiants sur une page de phishing et perdu l'accès à votre compte, RelyShield peut aider à la récupération et à une sécurisation complète.

Obtenir de l'aide Consultation

Questions fréquentes

Quelle est la différence entre le phishing par e-mail et par SMS ?
La méthode est différente, mais l'objectif est le même. Le phishing par e-mail utilise de faux e-mails, tandis que le phishing par SMS (smishing) utilise des messages texte. Les deux essaient de vous amener à cliquer sur un lien malveillant ou à divulguer des informations sensibles. Le phishing par SMS est plus difficile à filtrer et se sent souvent plus personnel.
Les logiciels antivirus protègent-ils contre le phishing ?
En partie. Les bons antivirus et fonctions de sécurité des navigateurs peuvent signaler les sites de phishing connus, mais ils ne peuvent pas tous les détecter. Le phishing exploite en fin de compte le jugement humain, c'est pourquoi la sensibilisation est votre meilleure défense, en complément des outils techniques.
Que faire si j'ai saisi mon mot de passe sur une page de phishing ?
Changez immédiatement votre mot de passe sur le vrai site, activez l'authentification à deux facteurs, vérifiez les activités non autorisées et sécurisez votre e-mail si vous y avez utilisé les mêmes identifiants. Si des données financières ont été saisies, contactez immédiatement votre banque.
Puis-je signaler une page de phishing ?
Oui. Vous pouvez signaler des pages de phishing sur Google Safe Browsing (safebrowsing.google.com/safebrowsing/report_phish), auprès de votre fournisseur d'e-mail et de l'entreprise usurpée. La plupart des navigateurs ont également une option intégrée « Signaler le phishing » ou « Signaler un site trompeur » dans le menu.