Déjouer l’hameçonnage
Comment reconnaître un e-mail de phishing ?
La grammaire parfaite et le cadenas HTTPS ne suffisent plus : il faut vérifier l’identité du site et la logique de la demande.
Réponse immédiate : méfiez-vous d’un message qui provoque l’urgence, demande un secret ou un paiement, contient une pièce jointe inattendue ou renvoie vers un domaine inhabituel. Ne cliquez pas pour vérifier : ouvrez vous-même le site officiel ou contactez l’expéditeur par un autre canal.

Les signaux qui doivent vous arrêter
- Urgence ou menace : « compte fermé dans 30 minutes », amende ou colis bloqué.
- Demande sensible : mot de passe, code 2FA, code de récupération, carte bancaire ou virement.
- Domaine trompeur : ajout d’un mot, d’un tiret ou substitution d’un caractère.
- Contexte incohérent : service inconnu, facture inattendue ou procédure différente de l’habitude.
- Pièce jointe imprévue : archive, document demandant d’activer des macros ou fausse facture.
- Pression au secret : demande de ne prévenir personne ou de rester au téléphone.
Le logo, le nom affiché, une adresse d’expéditeur plausible, une langue impeccable et le cadenas HTTPS peuvent tous être reproduits ou usurpés. HTTPS chiffre la connexion au site affiché ; il ne certifie pas que ce site est celui que vous vouliez visiter.
Lire correctement une adresse
Dans connexion.banque-exemple.securite-client.net, le domaine contrôlé est securite-client.net, pas banque-exemple. À l’inverse, alertes.banque-exemple.fr appartient bien au domaine banque-exemple.fr. Sur mobile, touchez longuement le lien sans l’ouvrir pour afficher sa destination, puis annulez.
Un message annonce à Émile un remboursement de 38,40 €. Le bouton « Voir mon remboursement » pointe vers impots-gouv-remboursement.com. Il ferme le message, saisit lui-même impots.gouv.fr et ne trouve aucune notification : il vient d’éviter le piège.
Le réflexe de vérification
- N’ouvrez ni lien ni pièce jointe.
- Accédez au service depuis votre application, un favori connu ou une adresse saisie manuellement.
- Consultez les notifications directement dans le compte.
- Appelez l’organisme avec un numéro obtenu sur son site officiel, pas celui du message.
- Signalez le message comme phishing dans la messagerie puis supprimez-le.
Vous avez cliqué ou transmis une information ?
Fermez la page. Si vous avez communiqué un mot de passe, suivez immédiatement le guide mot de passe compromis. Si vous avez transmis des données bancaires, contactez votre banque via son numéro officiel. N’approuvez aucune notification 2FA et ne communiquez aucun code de récupération.
Guides associés
Sources officielles consultées
Un mot de passe saisi sur un faux site doit être remplacé.
Créez une nouvelle combinaison unique depuis un appareil fiable.