secure-os.org
ENFRESDEITPT
Tous les guidesQubes OSTailsWhonixLinux durciChiffrement disqueModèle de menace
phishing

Comment identifier un e-mail de phishing : 7 signaux à vérifier (2026)

secure-os· Mis à jour 20 juin 2026· 7 min de lecture #phishing#security#email#social-engineering#passwords
Un cadenas ouvert posé sur un clavier d'ordinateur portable éclairé de rouge et de vert — un mot de passe hameçonné laisse un compte déverrouillé

Un e-mail de phishing est un message factice conçu pour ressembler à celui d’une personne de confiance, afin que vous cliquiez sur un lien, ouvriez une pièce jointe ou saisissiez un mot de passe là où l’attaquant peut le lire. La bonne nouvelle : la plupart se trahissent si vous savez exactement quoi regarder. Voici une checklist pratique, signal par signal, pour identifier un e-mail de phishing avant qu’il ne vous coûte quoi que ce soit. (Pour la vue d’ensemble, voir ce qu’est le phishing.)

L’état d’esprit : ralentir avant de cliquer

Le phishing joue sur l’attention, pas sur l’intelligence. Les messages sont conçus pour vous faire agir dans la demi-seconde avant que vous ne réfléchissiez — un délai, une menace, une récompense trop belle. L’habitude la plus utile est simplement de faire une pause sur tout e-mail qui exige d’agir immédiatement, puis de passer en revue les signaux ci-dessous. Aucun n’est une preuve à lui seul, mais deux ou trois ensemble suffisent à dire stop.

1. L’adresse de l’expéditeur ne correspond pas à la marque

Le nom affiché est trivial à falsifier. Ce qui l’est moins, c’est l’adresse réelle derrière. Vérifiez ce qui suit le @ : un vrai message d’une banque ou d’un service vient de son propre domaine (par exemple @votrebanque.com), pas d’une boîte gratuite comme @gmail.com, pas d’un sosie (@votrebanque-securise.com, @votrebanque.support), ni d’une suite de caractères aléatoires. Sur mobile, touchez le nom de l’expéditeur pour déplier l’adresse complète — beaucoup d’e-mails de phishing comptent sur le fait que vous ne le ferez jamais.

2. La formule de politesse et le ton sonnent faux

Le phishing de masse est envoyé à d’énormes listes : il s’ouvre souvent sur une formule générique — « Cher client », « Cher utilisateur », ou votre adresse e-mail à la place de votre nom. Une entreprise chez qui vous avez réellement un compte connaît en général votre nom. (Le spear phishing ciblé peut réussir ce point, donc une formule personnalisée n’est pas un blanc-seing — elle écarte juste un signal.)

3. Il fabrique de l’urgence ou de la peur

C’est le moteur de presque chaque e-mail de phishing : une raison d’agir tout de suite. « Votre compte sera suspendu sous 24 heures. » « Connexion suspecte — vérifiez immédiatement. » « Votre paiement a échoué, mettez à jour vos informations pour éviter l’annulation. » Les organisations légitimes menacent rarement de fermer un compte par e-mail avec un compte à rebours. Traitez la pression temporelle artificielle comme un signal d’alerte en soi.

Une personne dans un café utilisant un ordinateur portable affichant une boîte de réception de messagerie tout en tenant un smartphone de l'autre main — vérifier qui a réellement envoyé un message, sur les deux écrans, avant d'agir.

4. Les liens ne mènent pas là où ils le prétendent

C’est l’indice qui démasque le plus de phishings. Survolez un lien avec le curseur (sur ordinateur) ou appuyez longuement dessus (sur mobile) pour prévisualiser la vraie destination avant de cliquer. Surveillez :

  • Un texte visible qui dit une chose alors que la vraie URL pointe ailleurs.
  • Un domaine sosie — des mots ajoutés avant le vrai (paypal.com.secure-login.net), des caractères échangés (paypa1.com, rnicrosoft.com), ou une extension de pays inhabituelle.
  • Des raccourcisseurs de liens qui masquent l’adresse finale.

En cas de doute, ne cliquez pas du tout sur le lien. Ouvrez un nouvel onglet et tapez vous-même l’adresse du site, ou utilisez votre favori, puis connectez-vous là.

5. Il pousse une pièce jointe inattendue

Une facture, un avis de colis ou un « message vocal » que vous n’attendiez pas est un mode de livraison classique du phishing. Méfiez-vous surtout des pièces jointes qui vous demandent d’« activer le contenu », « activer les macros » ou « activer la modification » — cette invite existe pour exécuter du code sur votre machine. Documents Office, fichiers .html et archives .zip d’un inconnu sont à haut risque. Si vous ne l’avez pas demandée, ne l’ouvrez pas. (Les pièces jointes sont aussi le canal d’entrée de nombreux logiciels malveillants.)

6. Il demande des identifiants, des codes ou des données de paiement

Aucun service légitime ne vous écrira pour vous demander votre mot de passe, votre numéro de carte complet ou votre code à deux facteurs. Votre banque n’aura jamais besoin de votre identifiant par retour de mail. Un message vous demandant de « confirmer » ces données — ou de déplacer de l’argent « pour le mettre en sécurité » — est du phishing jusqu’à preuve du contraire. Idem pour les codes à usage unique : un attaquant qui a déjà votre mot de passe a juste besoin que vous lui lisiez le code.

7. La rédaction contient de petits indices

Le phishing moderne peut être soigné, c’est donc le signal le plus faible — mais il aide encore. Repérez une tournure légèrement maladroite, un branding incohérent, des logos étirés ou en basse résolution, des pieds de page qui ne collent pas, ou un e-mail mêlant langage formel et bancal. L’un de ces éléments à côté d’un autre signal fait pencher la balance vers « supprimer ».

Une checklist rapide

Avant de cliquer sur quoi que ce soit dans un e-mail qui réclame une action, demandez-vous :

  1. L’adresse réelle de l’expéditeur est-elle le propre domaine de la marque ?
  2. Est-ce une formule générique plutôt que mon nom ?
  3. Pousse-t-il à l’urgence ou à une menace ?
  4. Où pointent réellement les liens quand je les survole ?
  5. Y a-t-il une pièce jointe inattendue me demandant d’activer quelque chose ?
  6. Demande-t-il un mot de passe, un code ou une donnée de paiement ?
  7. Y a-t-il des tournures, logos ou pieds de page bizarres ?

Deux « oui » ou plus signifient : stop, et vérifiez par un canal de confiance.

Quoi faire quand vous en repérez un

  • Ne cliquez pas, ne répondez pas, n’ouvrez pas les pièces jointes. Répondre confirme que votre adresse est active.
  • Vérifiez par un autre canal. S’il prétend venir de votre banque, appelez le numéro figurant sur votre carte — jamais un numéro du message.
  • Signalez-le, puis supprimez. La plupart des messageries ont un bouton « Signaler un hameçonnage » ; le signaler aide aussi le fournisseur à bloquer la campagne pour les autres.
  • Si vous avez déjà cliqué ou saisi un mot de passe, changez-le immédiatement sur le vrai site, et sur tout autre compte qui le réutilisait.

Un gestionnaire de mots de passe rattrape le lien qui vous a échappé

Même un lecteur attentif peut se faire piéger par une page sosie parfaite. C’est là qu’un gestionnaire de mots de passe gagne discrètement sa place. Il relie chaque identifiant enregistré au vrai domaine exact auquel il appartient — donc sur une page de phishing hébergée à une autre adresse, il ne proposera tout simplement pas de remplir vos identifiants. Ce non-remplissage silencieux est souvent le signal le plus clair qu’une « page de connexion » est fausse, et il vous empêche de taper votre mot de passe au mauvais endroit.

Et un second facteur bloque le mot de passe volé

Identifier le phishing est votre première ligne de défense, mais vous ne serez jamais parfait — construisez donc un filet. Avec la double authentification activée, un mot de passe hameçonné ne suffit pas à lui seul pour entrer ; il faudrait aussi votre second facteur. Une appli d’authentification ou une clé matérielle est plus solide que le SMS, qui peut lui-même être intercepté.

À retenir, honnêtement

On ne repère pas le phishing avec un seul indice magique — on le repère en ralentissant et en déroulant une courte checklist : qui l’a vraiment envoyé, à quoi il vous pousse, où vont ses liens, et ce qu’il demande. Adoptez ces habitudes, puis placez derrière elles un gestionnaire de mots de passe et la double authentification, et un e-mail de phishing convaincant devient une alerte sans conséquence plutôt qu’un compte volé.