Cybersécurité

Phishing : définition, exemples et comment s’en protéger

Par Steve Chevillard , le 08/04/2026 , mis à jour le 15/04/2026 - 14 minutes de lecture
Le phishing, c'est quoi exactement ? Découvrez des exemples concrets et nos conseils d'expert pour identifier et éviter ces tentatives de fraude en ligne. Cliquez pour sécuriser vos informations !
AccueilCybersécuritéPhishing : définition, exemples et comment s’en protéger

Définition : phishing 💡

Le phishing (ou hameçonnage en français) est une technique d’escroquerie qui consiste à se faire passer pour un organisme de confiance (banque, impôts, Ameli, La Poste, opérateur internet) pour vous voler vos identifiants ou vos données bancaires. Le pirate envoie un email, un SMS (smishing) ou un message qui imite la communication officielle, avec un lien menant à un faux site copie de l’original. Pour vous protéger : vérifiez toujours l’adresse de l’expéditeur, survolez les liens avant de cliquer, ne donnez jamais vos données bancaires à la suite d’un email, et activez la double authentification sur vos comptes sensibles. En cas de tentative, signalez-la sur Phishing Initiative ou Signal Spam.

Vous avez sans doute déjà reçu un mail prétendant venir de votre banque, des impôts, d’Ameli ou d’un service de livraison qui vous demande de vous identifier en cliquant sur un lien. C’est ce qu’on appelle une tentative de phishing. Cette technique d’escroquerie figure aujourd’hui parmi les fraudes les plus répandues sur internet, et elle touche aussi bien les particuliers que les entreprises. Voici un guide complet pour comprendre comment elle fonctionne, reconnaître une tentative et savoir comment réagir.

Le phishing, c’est quoi exactement ?

Le phishing, traduit en français par hameçonnage (ou plus rarement filoutage), est une technique de fraude utilisée par des cybercriminels pour récupérer des informations personnelles en se faisant passer pour un tiers de confiance : banque, opérateur internet, organisme public (Ameli, CAF, impôts, France Travail), grand site marchand (Amazon, Vinted), service de livraison (La Poste, Chronopost) ou même un collègue de travail.

Étymologie du mot phishing

Le mot anglais phishing est la contraction de deux termes : phreaking, qui désigne le piratage des lignes téléphoniques dans les années 1970, et fishing, « pêche » en français. La traduction française hameçonnage conserve d’ailleurs cette image de l’appât et du poisson qui mord à l’hameçon.

Comment ça fonctionne concrètement

Le scénario classique se déroule en quatre étapes :

  1. Vous recevez un email (ou un SMS) qui semble provenir d’une organisation de confiance, avec un prétexte urgent : « confirmer vos coordonnées », « régler un colis bloqué », « consulter un remboursement », « débloquer votre compte ».
  2. Le message contient un lien qui vous renvoie vers un site web copie quasi parfaite de l’original : logo, couleurs, mise en page, formulaire de connexion, tout y est.
  3. Vous saisissez vos identifiants, votre mot de passe ou vos données bancaires dans le formulaire, persuadé d’être sur le vrai site.
  4. Les pirates récupèrent vos données et les utilisent pour vider votre compte bancaire, faire des achats en ligne, usurper votre identité auprès d’organismes officiels ou revendre vos identifiants sur le dark web.

Cette arnaque exploite la faille humaine, pas une faille technique. C’est ce que les spécialistes appellent une technique d’ingénierie sociale. Aucun antivirus ne peut totalement vous en protéger : seule la vigilance fait la différence.

Les principales formes de phishing

Le phishing classique par email reste la forme la plus répandue, mais d’autres variantes se sont multipliées ces dernières années. Toutes reposent sur le même principe d’usurpation d’identité.

  • Phishing par email : la forme historique. Un mail frauduleux imite une marque ou un organisme connu pour vous pousser à cliquer.
  • Smishing (SMS phishing) : les arnaqueurs utilisent un SMS pour vous faire croire à une livraison bloquée, une amende impayée ou un colis Chronopost en attente. C’est aujourd’hui la forme la plus active en France.
  • Vishing (voice phishing) : un faux conseiller bancaire vous appelle, prétend qu’une opération suspecte a été détectée et vous pousse à valider un virement ou à donner un code reçu par SMS.
  • Spear phishing : version ciblée, où le pirate a fait des recherches sur vous (votre employeur, vos collègues, vos centres d’intérêt) pour rendre le message ultra crédible.
  • Whaling : du spear phishing visant les dirigeants d’entreprise, avec des enjeux financiers énormes (faux ordres de virement, fraude au président).
  • QRishing : un faux QR code collé sur un parcmètre, dans un restaurant ou sur un courrier officiel renvoie vers un site frauduleux.

Quelques exemples concrets de phishing

Voici quelques exemples de mails frauduleux reçus dans une boîte de réception personnelle. Notez que les messages d’aujourd’hui sont beaucoup plus aboutis qu’il y a quelques années : moins de fautes, mise en page propre, logos parfaitement reproduits, voire personnalisation par le prénom du destinataire.

Tentative de phishing par email se faisant passer pour Ameli (Assurance Maladie)
Tentative d’hameçonnage : courrier électronique se faisant passer pour l’Assurance Maladie (Ameli).
Tentative de phishing par email usurpant l'identité de la banque LCL
Tentative de phishing avec un email frauduleux usurpant l’identité de la banque LCL.
Email d'hameçonnage se faisant passer pour la messagerie Outlook de Microsoft
Email frauduleux se faisant passer pour la messagerie de Microsoft, Outlook.
Tentative de phishing en usurpant l'identité du fournisseur d'accès Free
Tentative de phishing en usurpant l’identité du fournisseur d’accès Free.

Que se passe-t-il après un clic sur un lien frauduleux ?

Reprenons l’exemple du faux email Ameli ci-dessus. Le lien renvoie vers un site qui ressemble fortement au portail officiel de l’Assurance Maladie :

Faux site Ameli copie quasi conforme du portail officiel de l'Assurance Maladie

En temps normal, le vrai portail Ameli ne demande que vos identifiants (numéro de Sécu et mot de passe). Ici, on prétend que pour valider un remboursement, il faut renseigner des informations personnelles supplémentaires et surtout vos données bancaires. Premier signal d’alerte : aucun service public ne demande votre code de carte bancaire pour effectuer un remboursement.

Faux formulaire de phishing demandant les coordonnées bancaires sous prétexte d'un remboursement Ameli

Une fois le formulaire envoyé, les pirates disposent de toutes les informations pour vider votre compte bancaire ou usurper votre identité. La victime, elle, ne s’aperçoit souvent du piège qu’en consultant ses prélèvements quelques jours plus tard.

Comment repérer une tentative de phishing

La règle de base : traitez chaque message inattendu avec méfiance, même quand il semble provenir d’une marque connue. Voici les vérifications à faire avant de cliquer.

  • Vérifiez l’adresse complète de l’expéditeur, pas seulement le nom affiché. Une adresse comme noreply@mango.com ou accountsecurity995.onmicrosoft.com n’a rien à voir avec une vraie communication LCL ou Microsoft. Attention toutefois : même une adresse correcte peut être falsifiée (technique du spoofing), ce n’est donc pas une garantie absolue.
  • Survolez les liens avant de cliquer. L’URL réelle apparaît en bas du navigateur ou dans une infobulle. Si elle ne correspond pas au site officiel, c’est une tentative.
  • Méfiez-vous du ton urgent ou alarmant : « votre compte sera bloqué », « dernier rappel », « votre colis va être renvoyé ». Les pirates jouent sur la peur et la précipitation.
  • Repérez les fautes d’orthographe et les images de mauvaise qualité, même si elles deviennent rares. Un seul mot mal accentué dans un mail « officiel » est suspect.
  • Aucune institution ne vous redemande des informations qu’elle a déjà. Votre banque connaît votre numéro de carte, le fisc connaît votre numéro fiscal. S’ils vous redemandent, c’est suspect.
  • Méfiez-vous des raccourcisseurs d’URL (bit.ly, goo.gl, t.co) qui masquent la vraie destination.
  • N’ouvrez pas les pièces jointes inattendues, surtout les fichiers .zip, .doc, .xls ou .html. Ils peuvent contenir un malware ou rediriger vers un faux site.
  • Au moindre doute, ne cliquez pas dans le mail. Ouvrez votre navigateur et tapez vous-même l’adresse officielle du site concerné, ou passez par votre application mobile. Si un message est légitime, vous le retrouverez sur votre compte.

Les bons réflexes pour vous protéger durablement

Au-delà de la vigilance face à chaque message, quelques mesures de fond limitent fortement les conséquences en cas de piège :

  • Activez la double authentification (2FA) sur tous vos comptes sensibles (banque, mail, impôts, Amazon). Même si un pirate récupère votre mot de passe, il lui manquera le code temporaire.
  • Utilisez un gestionnaire de mots de passe (Bitwarden, 1Password, KeePass). Il ne remplit jamais vos identifiants sur un faux site, c’est un excellent garde-fou.
  • Choisissez un mot de passe robuste et différent par site. Si une fuite touche un site, les autres restent protégés.
  • Maintenez votre navigateur et votre OS à jour : Chrome, Edge et Firefox bloquent automatiquement la majorité des sites de phishing connus via leurs listes de protection.
  • Ne donnez jamais un code reçu par SMS à un interlocuteur téléphonique, même s’il prétend être votre conseiller bancaire. C’est la base du vishing.
  • Vérifiez régulièrement vos relevés bancaires et activez les notifications de paiement par carte sur votre application bancaire.

J’ai cliqué sur un lien de phishing : que faire ?

Pas de panique, mais agissez vite. Voici la marche à suivre.

  1. Si vous n’avez rien saisi : fermez la page, supprimez le mail et passez un coup d’antivirus pour vérifier qu’aucun script n’a été téléchargé.
  2. Si vous avez saisi un mot de passe : changez-le immédiatement sur le vrai site, ainsi que sur tous les sites où vous utilisez ce même mot de passe (mauvaise habitude qu’il faut corriger). Activez la double authentification.
  3. Si vous avez communiqué vos données bancaires : appelez immédiatement votre banque pour faire opposition sur la carte. N’attendez pas le lendemain. Surveillez vos relevés et signalez toute opération suspecte sous 13 mois maximum (délai légal pour contester).
  4. Déposez plainte au commissariat ou à la gendarmerie, ou en ligne via la plateforme cybermalveillance.gouv.fr qui vous orientera vers les bons interlocuteurs.

Comment signaler une tentative de phishing

Si vous repérez un mail frauduleux, prenez 30 secondes pour le signaler : cela permet de bloquer le site dans les navigateurs et d’éviter à d’autres internautes de se faire piéger.

  • Phishing Initiative : la référence pour signaler une URL de phishing. Le site est analysé puis ajouté aux listes de blocage des principaux navigateurs (phishing-initiative.eu).
  • Signal Spam : pour signaler un mail abusif ou un spam, avec extensions disponibles pour Outlook et Thunderbird (signal-spam.fr).
  • 33700 : pour signaler un SMS frauduleux, transférez-le simplement au numéro 33700. C’est le canal officiel français pour le smishing.
  • PHAROS : pour signaler tout contenu illégal sur internet, c’est la plateforme du gouvernement français (internet-signalement.gouv.fr).
  • cybermalveillance.gouv.fr : pour obtenir une assistance et un accompagnement officiel après une cyber-attaque.

Pour aller plus loin sur le phishing

Foire aux questions

Qu’est-ce que le phishing en quelques mots ?

Le phishing (ou hameçonnage en français) est une technique d’escroquerie qui consiste à se faire passer pour un organisme de confiance (banque, impôts, Ameli, La Poste) via un email ou un SMS, pour vous voler vos identifiants ou vos données bancaires.

Quelle est la différence entre phishing et smishing ?

Le phishing désigne historiquement l’arnaque par email. Le smishing est sa variante par SMS, qui se fait passer le plus souvent pour un service de livraison (La Poste, Chronopost), une amende ou une banque. C’est aujourd’hui la forme la plus active en France.

Comment reconnaître un email de phishing ?

Vérifiez l’adresse complète de l’expéditeur (souvent étrange), survolez les liens pour voir leur vraie destination, méfiez-vous du ton urgent ou alarmant, des fautes d’orthographe et des demandes inhabituelles d’informations bancaires. Au moindre doute, ne cliquez pas et tapez vous-même l’adresse officielle dans votre navigateur.

Que faire si j’ai cliqué sur un lien de phishing ?

Si vous n’avez rien saisi, fermez la page et supprimez le mail. Si vous avez donné un mot de passe, changez-le immédiatement et activez la double authentification. Si vous avez communiqué vos données bancaires, appelez sans attendre votre banque pour faire opposition et déposez plainte sur cybermalveillance.gouv.fr.

Comment signaler un SMS frauduleux en France ?

Transférez le SMS suspect au numéro 33700, qui est le canal officiel français pour signaler les SMS de phishing. Le service est gratuit et permet aux opérateurs de bloquer les numéros frauduleux.

Un antivirus protège-t-il du phishing ?

Partiellement. Les antivirus modernes et les navigateurs récents bloquent les sites de phishing connus via leurs listes de protection. Mais aucun outil ne peut totalement remplacer la vigilance humaine, car le phishing exploite une faille comportementale, pas une faille technique.

À quoi sert la double authentification face au phishing ?

Elle ajoute un code temporaire (envoyé par SMS ou généré par une application comme Google Authenticator) à votre mot de passe. Même si un pirate récupère votre mot de passe via du phishing, il lui manquera ce code pour se connecter à votre compte. C’est la protection la plus efficace contre le vol de comptes.

Les organismes publics demandent-ils des données bancaires par email ?

Non, jamais. Aucun service public en France (impôts, Ameli, CAF, France Travail) ne demande votre numéro de carte bancaire ou son code par email pour effectuer un remboursement. Tout message qui le fait est nécessairement une tentative de phishing.

Cela pourrait aussi vous intéresser

Découvrez comment Surfshark Antivirus peut vous protéger efficacement contre le phishing et d'autres menaces en ligne.Comment se protéger des différents types de phishing ? Découvrez comment le spoofing et l'usurpation d'identité électronique menacent votre sécurité en ligne et apprenez à vous protéger efficacement contre ces attaques.Spoofing : définition, types d’attaques et comment s’en protéger découvrez comment sécuriser votre boîte mail contre le phishing et les piratages récents en adoptant des pratiques simples et efficaces dès maintenantPhishing et piratages : comment protéger votre boîte mail suite aux récentes attaques informatiques ? apprenez à repérer un email frauduleux et adoptez les bons réflexes pour bloquer le phishing et protéger vos données au quotidienPhishing : les bons réflexes pour se protéger
Steve Chevillard, créateur d'Astuces & Aide Informatique

Steve Chevillard

Homo numericus. Créateur d'Astuces & Aide Informatique. Passionné par l'informatique depuis mon plus jeune âge. Après une licence en Histoire et un diplôme universitaire de développeur web à l'Université de Bourgogne, je partage maintenant mon temps entre ce site, mon emploi de directeur technique web pour le groupe de presse Philo éditions (Sciences Humaines, Philosophie magazine, Philonomist), ma passion pour la musique, ma femme et mes deux enfants.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.

Newsletter gratuite