Comment savoir si un email est un phishing ?

Vérifiez l'adresse de l'expéditeur (pas seulement le nom affiché), recherchez les fautes d'orthographe, méfiez-vous des liens qui ne correspondent pas au texte affiché, et ne cliquez jamais sur une pièce jointe inattendue. Les vrais organismes (banques, impôts) ne vous demandent jamais vos mots de passe par email.

J'ai cliqué sur un lien de phishing, que faire ?

Déconnectez immédiatement votre appareil d'Internet, changez vos mots de passe depuis un autre appareil (en priorité votre messagerie et votre banque), activez l'authentification à deux facteurs, et signalez l'incident à votre banque si vous avez saisi des données bancaires. Contactez un professionnel si vous avez des doutes.

Le spam est-il dangereux ?

Le spam ordinaire est surtout encombrant, mais certains spams contiennent des liens malveillants, des pièces jointes infectées ou des tentatives de phishing. Ne cliquez jamais sur les liens et n'ouvrez pas les pièces jointes des emails non sollicités.

Comment réduire le spam que je reçois ?

Ne publiez pas votre adresse email en clair sur Internet, utilisez une adresse secondaire pour les inscriptions sur les sites, activez le filtre anti-spam de votre messagerie, et ne vous désabonnez jamais des spams (cela confirme que votre adresse est active).

Les entreprises sont-elles aussi ciblées par le phishing ?

Oui, les professionnels sont même des cibles prioritaires. Les arnaques dites 'au président' (faux ordre de virement de la direction) et le spear phishing (phishing ciblé avec vos informations personnelles) sont très répandus dans le milieu professionnel.

Spam et hameçonnage : comment les reconnaître et les éviter

Les arnaques par email sont de plus en plus sophistiquées. Ce guide vous apprend à reconnaître le spam et le phishing, à identifier les signaux d'alerte, et à réagir correctement si vous avez malencontreusement cliqué sur un lien suspect.

Chaque jour, des millions d’emails malveillants circulent sur Internet. Parmi eux, le spam encombre nos boîtes de réception, tandis que le phishing — ou hameçonnage — cherche à vous soutirer vos identifiants, vos coordonnées bancaires ou à installer un virus sur votre ordinateur. La bonne nouvelle : avec quelques réflexes simples, vous pouvez repérer ces arnaques avant qu’elles ne causent des dégâts.

Le hameçonnage est souvent le vecteur d’infection des virus et malwares — un sujet étroitement lié que nous traitons en détail dans un guide dédié.

Spam et phishing : quelle différence ?

Le spam désigne tout email non sollicité envoyé en masse. Il peut s’agir de publicité agressive, de chaînes de messages ou de contenus sans intérêt. En lui-même, le spam est rarement dangereux, mais il encombre votre messagerie et peut contenir des liens douteux.

Le phishing (ou hameçonnage) est bien plus insidieux. Il s’agit d’une tentative d’escroquerie où l’expéditeur se fait passer pour une entité de confiance — votre banque, les impôts, La Poste, Netflix, un opérateur téléphonique — dans le but de vous faire divulguer des informations personnelles ou de vous pousser à cliquer sur un lien malveillant.

La frontière entre les deux peut être floue : un spam peut contenir une tentative de phishing, et un email de phishing peut ne ressembler à rien d’autre qu’un message anodin à première vue.

Il existe aussi des variantes plus évoluées :

Le spear phishing : un hameçonnage ciblé, personnalisé avec vos vrais nom, prénom ou employeur pour paraître plus crédible.
Le smishing : même principe, mais par SMS.
Le vishing : par appel téléphonique.

Les techniques des arnaqueurs

Les cybercriminels ne manquent pas d’imagination. Voici les méthodes les plus couramment utilisées.

L’usurpation d’identité visuelle

Un email de phishing imite à la perfection le logo, les couleurs et la mise en page d’une entreprise connue. Votre banque, l’Assurance Maladie, le Crédit Mutuel ou Amazon peuvent être copiés avec une fidélité troublante. Le lecteur pressé ne voit pas la différence.

L’urgence artificielle

“Votre compte sera suspendu dans 24 heures”, “Activez votre carte maintenant”, “Remboursement en attente, cliquez ici”… L’arnaqueur joue sur la peur et l’urgence pour court-circuiter votre vigilance. Plus vous vous sentez pressé, moins vous prenez le temps de vérifier.

Les fausses livraisons

L’une des arnaques les plus répandues en France imite La Poste ou Colissimo : vous recevez un email ou un SMS vous informant qu’un colis est en attente, avec un lien pour “choisir votre créneau de livraison”. Ce lien mène vers un formulaire qui récolte vos données bancaires.

Les faux remboursements

Les services des impôts, la CAF ou l’Assurance Maladie sont régulièrement imités. Le message annonce un remboursement ou une aide et vous invite à saisir votre RIB ou vos identifiants pour le recevoir. Ces organismes ne procèdent jamais ainsi par email.

Les pièces jointes piégées

Une facture, un devis, un document PDF ou Word inattendu peut contenir un malware. À l’ouverture, il installe discrètement un virus, un ransomware ou un logiciel espion sur votre machine.

Les signaux d’alerte à repérer

Face à un email suspect, voici les éléments à vérifier avant de cliquer sur quoi que ce soit.

L’adresse de l’expéditeur

Le nom affiché peut être “Crédit Agricole” ou “Service Impôts”, mais regardez l’adresse email réelle entre chevrons : contact@credit-agricole-informations.ru ou noreply@ameli-remboursement.com n’ont rien d’officiel. Les vraies adresses se terminent par le domaine officiel de l’organisme.

Astuce : sur un ordinateur, passez la souris sur le nom de l’expéditeur pour faire apparaître l’adresse complète. Sur mobile, appuyez longuement sur le nom de l’expéditeur.

Les liens dans le message

Ne cliquez pas directement. Passez votre souris sur le lien pour voir l’URL réelle dans la barre d’état de votre navigateur. Un lien de phishing peut afficher “www.ameli.fr” mais pointer vers “www.ameli-remboursement.xyz”. Méfiez-vous des domaines légèrement modifiés : amazon-fr.com, paypa1.com (avec un 1 à la place du l), etc.

Les fautes d’orthographe et le style

Les emails de phishing contiennent souvent des fautes de frappe, des tournures maladroites ou un français approximatif — en particulier s’ils ont été traduits automatiquement depuis une autre langue. Un organisme officiel soigne toujours la rédaction de ses communications.

Les demandes inhabituelles

Votre banque ne vous demandera jamais de confirmer votre mot de passe, votre numéro de carte ou votre code PIN par email. Les impôts ne réclament pas votre RIB par message électronique. Toute demande de ce type est un signal d’alarme immédiat.

La pièce jointe inattendue

Si vous recevez une facture, un bon de livraison ou un document que vous n’attendiez pas, n’ouvrez pas la pièce jointe. Même si l’expéditeur semble être un contact connu, son adresse a peut-être été usurpée ou son compte piraté.

Que faire si vous avez cliqué ?

Même en étant vigilant, cela peut arriver. Voici la marche à suivre selon ce que vous avez fait.

Vous avez cliqué sur un lien mais vous n’avez rien saisi : le risque est limité, mais certains sites malveillants peuvent télécharger automatiquement un fichier. Vérifiez votre dossier de téléchargements et lancez un scan antivirus.

Vous avez saisi vos identifiants (email, réseau social, service en ligne) : changez immédiatement votre mot de passe sur le service concerné, depuis un autre appareil ou navigateur. Activez l’authentification à deux facteurs. Vérifiez si d’autres comptes utilisent le même mot de passe et changez-les aussi.

Vous avez communiqué des coordonnées bancaires : contactez votre banque sans attendre pour faire opposition sur votre carte. Signalez l’incident. Consultez vos relevés les jours suivants.

Vous avez ouvert une pièce jointe : déconnectez l’appareil d’Internet immédiatement (Wi-Fi et câble Ethernet), lancez un antivirus depuis un support externe si possible, et contactez un professionnel pour analyse.

Dans tous les cas, vous pouvez signaler l’arnaque sur signal-spam.fr et sur phishing-initiative.fr.

Protéger sa messagerie au quotidien

La prévention reste la meilleure défense. Voici les bonnes pratiques à adopter durablement.

Utiliser un filtre anti-spam efficace

Les messageries modernes (Gmail, Outlook, La Poste) intègrent des filtres anti-spam performants. Assurez-vous qu’ils sont activés. Signalez systématiquement les emails suspects comme spam pour améliorer le filtrage.

Ne pas exposer son adresse email

Évitez de publier votre adresse en clair sur les forums, les commentaires de sites ou les réseaux sociaux. Utilisez une adresse secondaire ou jetable (comme Yopmail ou SimpleLogin) pour les inscriptions sur les sites que vous ne connaissez pas bien.

Activer l’authentification à deux facteurs

Même si un arnaqueur récupère votre mot de passe, l’authentification à deux facteurs (2FA) l’empêchera de se connecter sans le code envoyé sur votre téléphone. Activez-la sur votre messagerie, vos réseaux sociaux et votre banque en ligne.

Maintenir ses logiciels à jour

Les mises à jour de votre système et de votre navigateur comblent des failles de sécurité que les cybercriminels exploitent. Ne les repoussez pas.

Se former et rester informé

Les techniques d’arnaque évoluent constamment. Le gouvernement français met à disposition des ressources pédagogiques sur cybermalveillance.gouv.fr. Vous pouvez aussi consulter les ressources sur la cybersécurité pour particuliers disponibles chez nos confrères spécialisés.

Ce que peut faire un professionnel pour vous aider

Si vous avez été victime d’une arnaque par phishing ou si vous souhaitez mieux protéger vos équipements, un technicien informatique peut vous accompagner concrètement :

Analyser votre machine à la recherche de malwares installés après un clic suspect.
Mettre en place une solution antivirus adaptée à votre usage.
Configurer votre messagerie pour renforcer le filtrage des spams.
Vous former aux bons réflexes lors d’une session de sensibilisation.
Intervenir en urgence en cas d’incident avéré.

À Pornic et sur le littoral de Loire-Atlantique, Ultrasyd Informatique intervient chez les particuliers et les professionnels pour ce type de prestations. N’attendez pas d’être victime pour agir.

Le phishing est souvent la porte d’entrée des logiciels malveillants : lisez notre guide pour supprimer un virus ou malware de son PC si vous pensez avoir été infecté. Si vous avez cliqué sur un lien suspect, notre article sur les ransomwares et comment s’en protéger vous explique les risques. Renforcez aussi la sécurité de vos comptes en lisant notre guide sur les mots de passe oubliés et les bonnes pratiques.