Cybersécurité

Techniques de phishing : les formes à connaître pour s’en protéger

Par Fabien Peltière , le 17/05/2026 , mis à jour le 17/05/2026 - 15 minutes de lecture
Phishing et scam par email : une technique malveillante d'arnaque en ligne
AccueilCybersécuritéTechniques de phishing : les formes à connaître pour s’en protéger

Le saviez-vous ? Plus de 90% des cyberattaques commencent par un simple mail de phishing. Il s’agit en effet d’une technique d’intrusion qui réussit souvent aux pirates. En quoi consiste le phishing ? Quelles sont ses différentes formes ? Quelles sont les précautions à prendre pour se protéger contre ces menaces ? Retrouvez ci-dessous la réponse à ces questions et bien d’autres !

📌 L’essentiel à retenir

Le phishing regroupe toutes les techniques d’hameçonnage destinées à voler vos identifiants, vos coordonnées bancaires ou vos données personnelles. Il prend la forme d’e-mails (phishing classique), de SMS (smishing), d’appels téléphoniques (vishing), de QR codes piégés (quishing) ou de messages sur les réseaux sociaux. Les attaques ciblées (spear phishing) visent un employé précis pour atteindre une entreprise. Pour vous protéger : ne cliquez jamais sur un lien sans vérifier l’expéditeur, activez la double authentification, et installez un antivirus à jour. Testez vos connaissances sur le phishing à la fin de cet article en répondant aux questions de notre quiz spécial sécurité !

Infographie sur le phishing et ses pièges

SOMMAIRE

En quoi consiste le phishing ?

Le phishing est la contraction parfaite des termes anglais « fishing », signifiant « pêche », et de « phreaking », signifiant « piratage de lignes téléphoniques ». Il s’agit donc d’une technique de piratage informatique destinée à tromper sa cible pour lui soutirer des informations personnelles. En général, le phishing est réalisé par courrier électronique. Toutefois, il englobe aussi les applications, les appels téléphoniques (vishing), les services de messagerie (smishing) et les médias sociaux.

Dans la plupart des cas, les pirates utilisant cette technique invitent leurs victimes à se connecter à un site de banque, un site commercial ou encore un compte de paiement en ligne. Pour ce faire, ils vous envoient un lien qui vous dirige tout droit vers un site pirate. C’est d’ailleurs pour cette raison qu’on parle d’hameçonnage. Le but, c’est d’usurper votre identité. Selon le cas, il peut s’agir du vol de vos mots de passe ou de vos coordonnées bancaires. Une fois entre les mains des hackers, ces informations peuvent aider à effectuer des transactions illicites au nom de la victime. Parfois, ces informations sont utilisées pour faire chanter la victime ou l’embarrasser afin d’obtenir de l’argent.

Comment fonctionne le phishing ?

Une attaque de phishing vise à tromper un utilisateur pour accéder à ses données personnelles. Les fraudeurs misent souvent sur l’envoi massif de courriers électroniques. D’après plusieurs études du secteur, environ un e-mail sur 2 000 est une tentative de phishing. À l’échelle mondiale, on parle de près de 150 millions d’attaques lancées chaque jour. Autant dire que personne n’est à l’abri, ni les particuliers, ni les entreprises.

La méthode varie selon la cible. Parfois, les pirates vous annoncent un prix gagné à un faux concours et vous invitent à renseigner vos coordonnées pour le récupérer. Parfois, ils imitent un e-mail de votre banque qui signale une « transaction suspecte » et vous demande de vous connecter d’urgence. L’objectif reste le même : récupérer vos données personnelles. Pour détecter ces pièges, mieux vaut installer un antivirus réputé sur votre ordinateur et activer la double authentification sur vos comptes sensibles.

Quelles sont les différentes techniques de phishing ?

Les signes de phishing qui doivent vous alerter

Pour atteindre leurs objectifs, les cybercriminels utilisent diverses techniques. Certaines ont une grande envergure alors que d’autres sont beaucoup plus ciblées. Dans tous les cas, l’objectif reste le même : hameçonner des utilisateurs moins prudents pour usurper leur identité. Parmi les stratégies de phishing les plus répandues, nous pouvons citer :

Les courriers de phishing

C’est la technique préférée des hackers. Héritiers de la fameuse escroquerie du prince nigérian, les e-mails de phishing font des millions de victimes chaque année. Ces messages contiennent un lien ou une pièce jointe qui invite l’utilisateur à entrer ses données personnelles, à payer une facture inventée, ou à télécharger un fichier infecté. La mise en scène est parfois si bien faite (logo officiel, adresse d’expéditeur proche de la vraie, ton pressant) qu’il est difficile de soupçonner une arnaque. Heureusement, quelques réflexes simples et un bon filtre antispam permettent de bloquer la majorité de ces tentatives.

Le spear phishing (attaque ciblée)

Le spear phishing, ou phishing ciblé, vise une personne précise (un comptable, un dirigeant, un assistant) plutôt qu’une liste anonyme. Le pirate étudie sa cible sur LinkedIn, sur les réseaux sociaux et dans la presse, puis crée une messagerie professionnelle presque identique à celle d’un collègue ou d’un fournisseur. Il se fait passer pour ce dernier afin d’obtenir un virement, un mot de passe, ou de faire ouvrir un fichier piégé. Une variante connue, la fraude au président, imite le PDG pour ordonner un virement urgent. Avec ces accès, le pirate peut diffuser des logiciels malveillants sur le parc informatique et demander des transferts de fonds. Une raison de plus pour équiper chaque poste d’un antimalware sérieux et de former les équipes à reconnaître ces tentatives.

Le phishing sur les réseaux sociaux

Les réseaux sociaux sont devenus un terrain de chasse privilégié pour les pirates. Faux comptes qui imitent une marque, faux SAV qui répond à votre plainte publique, faux profils d’amis qui partagent un lien piégé, fausse promotion qui demande votre numéro de carte : les méthodes sont nombreuses. Sur Facebook, Instagram ou X, un message privé d’un « ami » qui vous demande un code reçu par SMS doit immédiatement vous alerter, c’est souvent une tentative de prise de contrôle de votre compte.

Comme vous pouvez le constater, les pirates utilisent divers moyens de phishing pour dérober les données privées de leurs victimes. Assurez-vous d’installer un logiciel anti-malware réputé sur votre ordinateur pour déjouer leurs plans !

Vishing, smishing et quishing : le phishing par téléphone et SMS

Le phishing ne se limite pas aux e-mails. Trois variantes ont gagné du terrain ces dernières années, et chacune mérite qu’on s’y arrête.

Le vishing (phishing vocal)

Le vishing, contraction de voice et phishing, désigne le phishing par appel téléphonique. Un pseudo conseiller bancaire vous appelle, annonce une « transaction frauduleuse » sur votre compte et vous demande de confirmer vos codes pour la bloquer. En réalité, c’est lui qui vide votre compte au moment où vous validez. Les pirates utilisent des numéros usurpés (technique du spoofing) qui affichent le vrai numéro de votre banque sur votre téléphone. Règle d’or : raccrochez et rappelez vous-même le numéro qui figure au dos de votre carte bancaire.

Le smishing (phishing par SMS)

Le smishing, contraction de SMS et phishing, prend la forme d’un texto qui imite un opérateur, un transporteur (« votre colis est en attente, payez 1,99 € de frais »), une administration (« amende impayée », « mise à jour de votre carte Vitale ») ou votre banque. Le lien renvoie vers une page qui collecte vos identifiants ou vos données bancaires. En France, l’arnaque au faux SMS Ameli, Chronopost et au compte personnel de formation a fait des dizaines de milliers de victimes ces dernières années. Ne cliquez jamais sur un lien reçu par SMS, même s’il semble urgent.

Le quishing (phishing par QR code)

Plus récent, le quishing consiste à piéger un QR code. Les pirates collent un faux sticker QR sur un horodateur, une borne de recharge, un menu de restaurant ou une affiche publicitaire, ou intègrent un QR code dans un e-mail (ce qui contourne les filtres antispam classiques). Une fois scanné, le code dirige vers un site malveillant qui collecte vos données ou installe un malware. Avant de scanner, vérifiez que le sticker n’est pas collé par-dessus un autre, et au moindre doute sur l’URL affichée par votre appareil, fermez la page. Pour les détails, consultez notre guide complet sur le quishing.

Comment reconnaître une tentative de phishing

Les e-mails et SMS de phishing partagent presque tous les mêmes indices. En les ayant en tête, vous repérerez la grande majorité des tentatives en quelques secondes.

  • Un ton d’urgence ou de menace : « votre compte sera bloqué dans 24 h », « dernière chance », « action immédiate requise ». L’urgence est le levier principal du phishing.
  • Une adresse d’expéditeur bizarre : le nom affiché est correct, mais l’adresse réelle (visible en cliquant sur l’expéditeur) contient des caractères étranges, un domaine inhabituel ou un sous-domaine suspect (service-client.banque.fr.xyz-payment.com).
  • Des fautes d’orthographe ou de grammaire : moins fréquentes depuis l’arrivée des IA génératives, mais encore présentes sur les campagnes de masse.
  • Un lien dont l’URL ne correspond pas au texte affiché : passez la souris dessus sans cliquer, votre navigateur affiche la vraie destination en bas à gauche.
  • Une demande d’information confidentielle : aucune banque, administration ou service sérieux ne vous demandera votre mot de passe, votre code de carte ou un code reçu par SMS par mail ou téléphone.
  • Une pièce jointe inattendue : facture, contrat, photo. Les pirates utilisent souvent des .zip, .docm, .xlsm, .html.

Que faire si vous avez cliqué sur un lien de phishing

Vous avez cliqué, peut-être saisi vos identifiants, et un doute s’installe. Pas de panique, mais agissez vite. Voici les étapes à suivre dans l’ordre.

  1. Changez immédiatement le mot de passe du compte concerné. Si vous utilisez le même mot de passe ailleurs (mauvaise habitude à corriger), changez-le sur tous les autres services. Un bon gestionnaire de mots de passe vous évitera cette erreur à l’avenir.
  2. Activez la double authentification sur le compte si ce n’est pas déjà fait. Même si le pirate connaît votre mot de passe, il ne pourra pas se connecter sans le code reçu sur votre téléphone.
  3. Contactez votre banque si vous avez saisi vos coordonnées bancaires. Faites opposition sur la carte si nécessaire.
  4. Lancez une analyse antivirus complète sur votre appareil au cas où un malware aurait été téléchargé.
  5. Signalez l’attaque. En France, transférez l’e-mail à signal-spam@signal-spam.fr ou le SMS au 33700. Vous pouvez aussi déposer un signalement sur cybermalveillance.gouv.fr.
  6. Surveillez vos comptes pendant les semaines qui suivent : relevés bancaires, connexions inhabituelles sur vos comptes en ligne, mails de réinitialisation que vous n’avez pas demandés.

Foire aux questions

Quelles sont les principales techniques de phishing ?

On distingue le phishing par e-mail (la forme la plus courante), le spear phishing ciblé sur une personne précise, le smishing par SMS, le vishing par appel téléphonique, le quishing par QR code et le phishing sur les réseaux sociaux. Toutes visent le même objectif : voler vos identifiants, vos coordonnées bancaires ou vos données personnelles.

Comment reconnaître un mail de phishing ?

Cinq signaux doivent vous alerter : un ton d’urgence (« compte bloqué », « dernière chance »), une adresse d’expéditeur bizarre une fois affichée en entier, des fautes d’orthographe, un lien dont l’URL réelle (visible au survol) ne correspond pas au texte, et une demande d’informations confidentielles. Aucun service sérieux ne vous demande votre mot de passe par mail.

Quelle est la différence entre phishing et spear phishing ?

Le phishing classique est une attaque de masse : les pirates envoient le même message à des milliers de destinataires en espérant que quelques-uns tombent dans le piège. Le spear phishing est ciblé : le pirate étudie sa victime (souvent un dirigeant, un comptable ou un assistant), personnalise le message et imite un contact connu. Le taux de réussite est beaucoup plus élevé.

Que faire si j’ai cliqué sur un lien de phishing ?

Changez immédiatement le mot de passe du compte concerné, activez la double authentification, contactez votre banque si vous avez saisi des coordonnées bancaires et faites opposition si besoin. Lancez une analyse antivirus complète, signalez l’attaque à signal-spam@signal-spam.fr ou au 33700 pour un SMS, et surveillez vos comptes les semaines suivantes.

Le phishing concerne-t-il aussi les téléphones ?

Oui, et de plus en plus. Le smishing arrive par SMS (faux colis, fausse amende, faux Ameli), le vishing par appel téléphonique (faux conseiller bancaire qui demande vos codes), et le quishing par QR code piégé. Les filtres antispam des smartphones étant moins efficaces que ceux des mails, le taux de clic sur ces canaux est nettement plus élevé.

Comment se protéger efficacement du phishing ?

Quatre réflexes couvrent la quasi-totalité des cas : vérifiez toujours l’expéditeur et l’URL avant de cliquer, activez la double authentification sur vos comptes sensibles (banque, mail, réseaux sociaux), installez un antivirus à jour avec filtre antispam, et au moindre doute, contactez l’organisme concerné via son site officiel, jamais via le lien reçu. Pour aller plus loin, consultez notre top 10 des règles de sécurité sur Internet.

Quelle est la sanction pour un auteur de phishing en France ?

Le phishing est puni par le Code pénal au titre de l’escroquerie (article 313-1) et de l’accès frauduleux à un système de traitement automatisé de données (article 323-1). Les peines vont jusqu’à 5 ans d’emprisonnement et 375 000 € d’amende, voire 7 ans et 750 000 € si l’attaque est commise en bande organisée.

Phishing : testez vos connaissances sur les techniques d’arnaque en ligne

Le phishing ne se limite plus aux faux e-mails bancaires : SMS frauduleux, appels piégés, QR codes trafiqués… les cybercriminels rivalisent d’imagination pour vous piéger. Testez vos connaissances avec ce quiz et vérifiez si vous sauriez déjouer leurs pièges au quotidien.

 

Résultats

Bravo ! Vous maîtrisez les bons réflexes pour naviguer en toute sécurité sur Internet. Continuez à rester vigilant face aux nouvelles menaces, et n’hésitez pas à partager vos connaissances avec vos proches qui débutent.

Pas de panique ! La sécurité sur Internet s’apprend pas à pas. Nous vous invitons à relire attentivement l’article : vous y trouverez tous les conseils nécessaires pour adopter les bons réflexes et naviguer l’esprit tranquille. N’hésitez pas à refaire le quiz ensuite !

Share your score!
Tweet your score!
Tweet your score!
Share to other

#1. D’après l’étymologie présentée dans le texte, de quels termes le mot « phishing » est-il la contraction ?

#2. Quel est le pourcentage approximatif de cyberattaques qui débutent par un e-mail de phishing ?

#3. Quelle est la principale différence entre le phishing classique et le « spear phishing » ?

#4. Une personne reçoit un appel d’un prétendu conseiller bancaire demandant de confirmer des codes secrets. De quelle technique s’agit-il ?

#5. Où un utilisateur est-il le plus susceptible de rencontrer une tentative de « quishing » dans l’espace public ?

#6. Quel réflexe est recommandé pour vérifier la destination réelle d’un lien dans un e-mail sans cliquer dessus ?

#7. En France, à quel numéro doit-on transférer un SMS suspect pour le signaler ?

#8. Quelle mesure de sécurité empêche un pirate de se connecter à votre compte même s’il possède votre mot de passe ?

#9. Quelle est la sanction maximale encourue en France pour un auteur de phishing agissant en bande organisée ?

#10. Parmi ces caractéristiques, laquelle est un indice fréquent d’un e-mail de phishing ?

Précédent
Terminer

Cela pourrait aussi vous intéresser

apprenez à repérer un email frauduleux et adoptez les bons réflexes pour bloquer le phishing et protéger vos données au quotidienPhishing : les bons réflexes pour se protéger Découvrez comment Surfshark Antivirus peut vous protéger efficacement contre le phishing et d'autres menaces en ligne.Comment se protéger des différents types de phishing ? Le phishing, c'est quoi exactement ? Découvrez des exemples concrets et nos conseils d'expert pour identifier et éviter ces tentatives de fraude en ligne. Cliquez pour sécuriser vos informations !Phishing : définition, exemples et comment s’en protéger Antivirus gratuit et vérificateur de liens : protection contre le phishing et les menaces en ligneAntivirus gratuit et vérificateur de liens : se protéger du phishing
Fabien Peltière

Fabien Peltière

Baignant dans l'informatique depuis tout petit (j'ai écrit mes premières lignes de code sur un Amstrad CPC 464) et travaillant depuis plus de 20 ans dans le web, j'écris des tutoriels destinés aux débutants afin de leur permettre de mieux appréhender le monde numérique, ses enjeux, ses pratiques et ses menaces. Responsable des réseaux sociaux (community manager pour Astuces & Aide Informatique).

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.

Newsletter gratuite