Comprendre le phishing : définition et ampleur du problème
Le phishing (ou hameçonnage en français) est une technique de fraude qui consiste à usurper l'identité d'une organisation ou d'une personne de confiance pour soutirer des informations sensibles — mots de passe, coordonnées bancaires, numéros de carte — ou pousser la victime à réaliser une action néfaste (virement frauduleux, installation de logiciel malveillant).
Le terme vient de l'anglais fishing (pêche à la ligne) : le fraudeur lance ses appâts en masse et attend que des victimes mordent. La différence avec une vraie pêche, c'est que les appâts sont de plus en plus sophistiqués. Les emails de phishing modernes sont souvent grammaticalement corrects, visuellement identiques aux communications officielles, et personnalisés avec votre nom ou vos dernières actions.
- 3,4 milliards d'emails de phishing envoyés chaque jour dans le monde (Valimail)
- 36 % des violations de données impliquent du phishing (Verizon DBIR 2024)
- En France, Signal Spam a reçu 3,2 millions de signalements en 2023
- Le coût moyen d'une violation de données par phishing : 4,76 millions de dollars (IBM)
Les variantes du phishing
Le phishing classique (email de masse) n'est que la forme la plus connue. D'autres variantes ciblées existent :
- Spear phishing : attaque ciblée sur une personne précise, utilisant des informations personnelles (nom du manager, projets en cours, fournisseurs) pour maximiser la crédibilité.
- Whaling : spear phishing visant des dirigeants (PDG, DAF) pour des virements frauduleux de grande ampleur.
- Smishing : phishing par SMS — lien frauduleux dans un message texte (faux avis de livraison, fausse amende).
- Vishing : phishing vocal — appel téléphonique usurpant une banque ou un service officiel.
- Quishing : phishing via QR code — le code redirige vers un site frauduleux.
Les 8 signaux d'alerte d'un email frauduleux
Avant toute vérification technique, un email frauduleux laisse presque toujours des traces visibles à l'œil nu. Voici les 8 signaux à examiner dans l'ordre.
Cher client Pas de nom → email de masse,
Nous avons détecté une activité suspecte sur votre compte PayPal. Pour éviter la suspension définitive de votre compte, vous devez confirmer vos informations immédiatement.
Cliquez sur le bouton ci-dessous pour vérifier votre identité et saisir votre numéro de carte bancaire ⚠ Demande de données sensibles :
Sécuriser mon compte ⚠ Le lien pointe vers secure-paypa1.xyz, pas paypal.com
PayPal Inc. • 2211 North First Street, San Jose, CA 95131
Signal 1 — L'adresse email expéditeur (pas seulement le nom affiché)
Dans la ligne De :, votre client mail n'affiche souvent qu'un nom — « Service Client PayPal », « Amazon », « Impôts » — qui peut être inventé par le fraudeur. Ce n'est pas la preuve de l'identité réelle de l'expéditeur. Ce qui compte, c'est l'adresse email complète, celle qui contient un arobase (@) : [email protected].
La règle : ne vous fiez jamais au nom affiché seul. Cherchez toujours la partie [email protected] et examinez ce qui se trouve après le @. Les organisations légitimes envoient depuis leur propre domaine officiel, jamais depuis Gmail, Hotmail ou un domaine générique.
Le nom affiché masque souvent l'adresse. Faites apparaître l'adresse complète avec l'arobase :
- Gmail (web ou app) : cliquez ou double-cliquez sur le nom de l'expéditeur en haut du message — l'adresse
[email protected]s'affiche sous le nom. - Outlook (web) : cliquez sur le nom de l'expéditeur dans l'en-tête pour ouvrir la fiche contact ; l'adresse avec le @ apparaît dans le champ Adresse de courrier.
- Outlook (bureau) : double-cliquez sur le nom dans la ligne De, ou clic droit → Propriétés du message : l'adresse complète est dans De :.
- Apple Mail : cliquez sur la petite flèche à côté du nom dans De : — l'adresse email réelle s'affiche.
- Thunderbird : l'adresse est souvent visible directement ; sinon, cliquez sur le nom pour développer les détails.
Si vous ne voyez toujours pas de @, méfiance maximale : ne répondez pas et ne cliquez sur aucun lien avant d'avoir identifié l'adresse exacte.
[email protected]
[email protected]
[email protected]
[email protected] (pour une banque)
[email protected]
[email protected]
[email protected]
[email protected]
Signal 2 — L'urgence artificielle
Le phishing joue sur la peur et l'urgence pour vous faire agir sans réfléchir. Toute formulation du type « votre compte sera suspendu dans 24h », « action requise immédiatement », « dernier avertissement » ou « votre accès expirera ce soir » doit déclencher votre méfiance. Les organisations légitimes ne vous mettent jamais sous cette pression par email.
Signal 3 — Les demandes d'informations sensibles
Aucune organisation légitime — banque, administration, opérateur téléphonique, plateforme de paiement — ne vous demande par email votre mot de passe, numéro de carte bancaire, code PIN, RIB, IBAN, numéro de sécurité sociale ou pièce d'identité. Ces informations ne se transmettent jamais par email. Point.
Signal 4 — La salutation générique
Un email légitime d'un service que vous utilisez s'adresse à vous par votre nom. « Cher client », « Bonjour » sans nom, « Monsieur/Madame » — ce sont des signaux que l'email est envoyé en masse sans personnalisation réelle.
Signal 5 — Les liens qui ne correspondent pas
Survolez (sans cliquer) le lien dans l'email. La vraie URL s'affiche dans la barre de statut du navigateur ou dans l'info-bulle. Si le texte dit « Cliquez ici pour accéder à votre espace PayPal » mais que l'URL affichée est https://secure-paypa1.xyz/login, c'est un phishing. Le domaine réel est toujours la partie juste avant le premier / après https://.
https://mon-compte.paypal-secure.xyz/login, le domaine réel est paypal-secure.xyz, pas paypal.com. Le sous-domaine mon-compte.paypal est trompeur — c'est la partie après le dernier point avant le slash qui compte : ici xyz.
Signal 6 — Les pièces jointes inattendues
Une pièce jointe .exe, .zip, .docm, .xlsm (formats avec macros activées) ou même un PDF provenant d'un expéditeur inconnu peut contenir un malware. Ne jamais ouvrir sans vérification préalable.
Signal 7 — La qualité visuelle trop bonne ou trop mauvaise
Les emails de phishing basiques contiennent des fautes d'orthographe et de mise en page. Mais les attaques modernes utilisent des copies pixel-perfect des vrais emails de marque. La qualité visuelle seule n'est donc pas un critère de confiance.
Signal 8 — L'offre trop belle
Remboursement inattendu, gain de loterie, héritage d'un inconnu, investissement à rendement garanti — ces promesses sont toujours de faux appâts. Les arnaques aux « colis bloqués » (DHL, Chronopost) ou aux « amendes impayées » (trésor public) entrent aussi dans cette catégorie.
Le typosquatting : quand le domaine imite la marque
Le typosquatting consiste à enregistrer un nom de domaine délibérément proche d'une marque connue pour tromper les utilisateurs pressés. C'est l'une des techniques les plus efficaces car elle passe facilement inaperçue à la lecture rapide.
| Vrai domaine | Typosquat courant | Technique utilisée |
|---|---|---|
| paypal.com | paypa1.com · paypal-secure.com · paypal.com.login.xyz | Substitution lettre/chiffre, suffixe, sous-domaine |
| amazon.fr | amazon-fr.com · amazon-livraison.fr · amaz0n.fr | Trait d'union ajouté, zéro/O, sous-domaine piège |
| impots.gouv.fr | impots-gouv.fr · remboursement-impots.com · impots.gouv.fr.fr | Trait d'union, domaine thématique, duplication de TLD |
| credit-agricole.fr | creditagricole-client.com · credit-agricole.support.xyz | Suppression trait d'union, suffixe, sous-domaine |
| ameli.fr | ameli-remboursement.fr · mon-ameli.com | Suffixe sémantique, préfixe « mon- » |
La règle d'or pour analyser un domaine : lisez de droite à gauche, du TLD (.fr, .com, .gouv.fr) vers la gauche. Le domaine réel est les deux derniers niveaux avant le premier /. Tout ce qui est avant (sous-domaines) peut être inventé par n'importe qui possédant ce domaine.
Vérifications techniques : SPF, DMARC et MX
Au-delà de la lecture visuelle, trois enregistrements DNS permettent de vérifier si un domaine est configuré pour envoyer légitimement des emails. Ces vérifications sont automatiquement réalisées par notre outil.
L'enregistrement MX (Mail eXchanger)
Un enregistrement MX indique quels serveurs sont autorisés à recevoir les emails d'un domaine. Si un domaine n'a pas de MX, il n'est pas conçu pour envoyer ou recevoir des emails — ce qui est un signal très fort de domaine frauduleux créé uniquement pour le phishing.
Le SPF (Sender Policy Framework)
SPF est un enregistrement DNS de type TXT qui liste les serveurs autorisés à envoyer des emails au nom d'un domaine. Quand un email arrive, le serveur destinataire vérifie que l'IP expéditrice figure dans la liste SPF du domaine. L'absence de SPF signifie que n'importe qui peut prétendre envoyer depuis ce domaine.
v=spf1 include:_spf.google.com include:sendgrid.net ~allLe DMARC (Domain-based Message Authentication)
DMARC va plus loin que SPF : il définit une politique à appliquer quand un email échoue aux vérifications SPF ou DKIM (none, quarantine, reject). Il permet aussi d'envoyer des rapports à l'organisation pour qu'elle surveille les tentatives d'usurpation de son domaine.
| Standard | Ce qu'il vérifie | Absence = risque | Lisible dans |
|---|---|---|---|
| MX | Existence d'un serveur mail sur le domaine | Très élevé — domaine sans serveur mail | DNS (type MX) |
| SPF | Serveurs autorisés à envoyer depuis ce domaine | Élevé — usurpation facilement possible | DNS (type TXT) |
| DMARC | Politique en cas d'échec SPF/DKIM + rapports | Moyen — protection moins robuste | DNS (type TXT sur _dmarc.domaine) |
| DKIM | Signature cryptographique du message (intégrité) | Moyen — message peut être altéré en transit | En-têtes email (champ DKIM-Signature) |
dig MX domain.com, dig TXT domain.com, dig TXT _dmarc.domain.com.
Via notre outil : le Détecteur de fraude Flownect effectue ces requêtes DNS automatiquement via DNS-over-HTTPS (sans installer aucun logiciel).
Comment analyser une URL suspecte
Un lien peut sembler inoffensif mais mener vers un site frauduleux. Voici la méthode pour l'analyser sans jamais cliquer dessus.
Dans https://paypal.com.secure-login.xyz/account, le vrai domaine est secure-login.xyz — pas paypal.com. Lisez toujours la partie entre le :// et le premier /, en vous concentrant sur les deux niveaux juste avant le /.
HTTP (sans S) = connexion non chiffrée. Les sites légitimes de 2025 utilisent tous HTTPS. Attention : HTTPS ne garantit pas que le site est légitime, juste que la connexion est chiffrée. Un site frauduleux peut très bien avoir un certificat HTTPS valide.
Les extensions .xyz, .tk, .ml, .top, .click, .ru sont gratuites ou très bon marché et massivement utilisées pour les sites frauduleux. Un site gouvernemental ou une banque n'utilisera jamais .xyz.
Le caractère @ dans une URL est particulièrement dangereux : dans https://[email protected]/login, le navigateur ignore tout ce qui précède le @ et navigue vers evil.com. L'encodage %XX excessif sert à masquer la destination réelle.
Copiez l'URL et soumettez-la à VirusTotal (72 moteurs antivirus) ou URLScan.io (capture d'écran + analyse réseau). Ces deux services sont gratuits et ne nécessitent pas de compte.
L'ingénierie sociale : les techniques psychologiques
Au-delà de la technique, le phishing exploite des biais cognitifs humains bien documentés. Comprendre ces mécanismes est la meilleure protection.
| Technique | Mécanisme psychologique | Exemple concret |
|---|---|---|
| Urgence artificielle | Réduction du temps de réflexion — décision sous stress | « Votre compte sera bloqué dans 2 heures » |
| Autorité | Obéissance à une figure d'autorité (état, banque, patron) | Email « du PDG » demandant un virement urgent |
| Peur et menace | Activation de l'amygdale — la menace prime sur la raison | « Votre carte bancaire a été utilisée frauduleusement » |
| Appât (gain) | Biais d'optimisme — on sous-estime le risque quand on espère | « Vous avez gagné 500€ de remboursement fiscal » |
| Familiarité | Confiance accrue envers ce qu'on reconnaît visuellement | Email copiant pixel-perfect le design de votre banque |
| Réciprocité | Sentiment de devoir rendre un service reçu | « Nous vous avons crédité 50€, validez votre compte » |
Checklist rapide : 10 points à vérifier
Avant d'interagir avec un email suspect, parcourez cette checklist. Si vous cochez plus de 3 points en rouge, il s'agit très probablement d'une arnaque.
@ (après double-clic sur l'expéditeur) ne correspond pas au domaine officielQue faire si vous avez reçu ou cliqué sur un phishing
Vous avez reçu l'email mais n'avez pas cliqué
- Signalez-le à Signal Spam (bouton dans votre client mail ou copier-coller sur le site).
- Signalez l'URL à Phishing Initiative pour la faire bloquer dans les navigateurs.
- Transférez l'email à abuse@ suivi du domaine de l'expéditeur pour alerter l'hébergeur.
- Si l'email usurpe une vraie marque, prévenez-la — PayPal a par exemple
[email protected], Apple a[email protected].
Vous avez cliqué sur le lien mais n'avez rien saisi
- Fermez immédiatement l'onglet.
- Lancez une analyse antivirus sur votre appareil (Windows Defender suffit pour une analyse rapide).
- Vérifiez que votre navigateur n'a pas téléchargé de fichier à votre insu.
Vous avez saisi vos identifiants ou coordonnées bancaires
Sur le site officiel (pas via le lien reçu), changez le mot de passe du service concerné. Faites-le de même sur tous les autres services où vous utilisez le même mot de passe.
Faites opposition sur votre carte sans attendre. Votre banque peut bloquer les transactions suspectes. Conservez les preuves (captures d'écran de l'email).
En ligne sur Cybermalveillance.gouv.fr ou à votre commissariat/gendarmerie. Conservez toutes les preuves numériques.
Sur tous vos comptes importants (email, banque, réseaux sociaux). Même si le phisher a votre mot de passe, il ne pourra pas se connecter sans le second facteur.
- Cybermalveillance.gouv.fr — assistance et signalement
- Signal-Spam.fr — signalement d'emails indésirables
- Phishing-Initiative.fr — signalement d'URLs frauduleuses
- Internet-Signalement.gouv.fr — signalement de contenus illicites
- 3018 — numéro national pour le cyberharcèlement (gratuit, 7j/7)
Questions fréquentes
Comment savoir si un email PayPal est légitime ?
L'email doit venir d'un domaine @paypal.com uniquement. PayPal ne vous demandera jamais votre mot de passe ou numéro de carte par email. Pour vérifier, connectez-vous directement à paypal.com (en tapant l'URL dans votre navigateur, pas en cliquant sur un lien) et vérifiez si la même notification apparaît dans votre espace client.
PayPal accepte les signalements d'emails frauduleux à [email protected].
Un email avec HTTPS dans le lien est-il forcément sûr ?
Non. HTTPS indique que la connexion entre votre navigateur et le serveur est chiffrée — cela ne dit rien sur la légitimité du site. N'importe qui peut obtenir un certificat HTTPS gratuitement (Let's Encrypt). Un site de phishing peut très bien avoir HTTPS. Vérifiez toujours le nom de domaine, pas seulement le cadenas.
Qu'est-ce que le typosquatting et comment le détecter ?
Le typosquatting consiste à enregistrer un domaine très proche d'une marque connue (paypa1.com, amaz0n.fr, impots-remboursement.fr) pour tromper les utilisateurs. Pour le détecter :
- Lisez le domaine de droite à gauche, du TLD vers la gauche.
- Comparez avec le domaine officiel de la marque.
- Utilisez notre Détecteur de fraude qui vérifie automatiquement 30+ marques.
Peut-on faire confiance à un email d'une adresse que je connais ?
Pas nécessairement. L'usurpation d'adresse email (email spoofing) permet d'envoyer des emails qui semblent provenir d'une adresse connue. Si SPF et DMARC ne sont pas configurés sur le domaine expéditeur, l'usurpation est triviale. De plus, un contact peut avoir son compte compromis et envoyer des phishings à toute sa liste de contacts à son insu.
Que faire si j'ai ouvert la pièce jointe d'un email suspect ?
Déconnectez immédiatement l'appareil du réseau (WiFi et câble). Lancez une analyse antivirus complète. Si vous êtes sur un ordinateur professionnel, alertez immédiatement votre équipe informatique. Changez tous vos mots de passe depuis un appareil sain (smartphone non connecté au même réseau).
Le score du Détecteur de fraude Flownect est-il fiable à 100% ?
Non — et aucun outil automatisé ne peut l'être. Le score est indicatif : il agrège plusieurs signaux techniques et heuristiques pour vous orienter. Un score élevé signale des risques sérieux, mais un score faible ne garantit pas la légitimité. Pour les emails importants, combinez toujours l'analyse automatique avec votre jugement et une vérification sur le site officiel de l'organisation concernée.