secure-os.org
ENFRES
Tous les guidesQubes OSTailsWhonixLinux durciChiffrement disqueModèle de menace
phishing

Qu'est-ce que le phishing ? Le repérer et l'arrêter (2026)

secure-os· Mis à jour 19 juin 2026· 5 min de lecture #phishing#security#email#social-engineering#passwords
Un symbole peint représentant un poisson et un hameçon sur un panneau circulaire dans des pavés

Le phishing (ou hameçonnage) est la façon la plus courante dont les gens ordinaires se font pirater — et il n’attaque pas votre logiciel, il vous attaque vous. Au lieu de casser le chiffrement, l’attaquant vous pousse simplement à livrer un mot de passe ou à cliquer sur un lien malveillant. Ce guide explique ce qu’est le phishing, les types principaux, les signaux d’alerte, et les défenses qui réduisent réellement le risque.

La définition courte

Le phishing est une attaque d’ingénierie sociale qui usurpe l’identité d’une personne ou d’une organisation de confiance pour vous pousser à révéler des informations sensibles — mots de passe, numéros de carte, codes — ou à installer un logiciel malveillant. Il arrive en général sous forme d’e-mail, de SMS ou de message factice qui paraît légitime et vous incite à agir vite. Le mot anglais joue sur « fishing » (pêche) : l’attaquant lance un appât et attend que quelqu’un morde.

Comment fonctionne une attaque de phishing

Le schéma est presque toujours le même :

  1. L’appât. Un message usurpant votre banque, un employeur, un service de livraison ou une appli populaire, souvent avec une accroche urgente ou inquiétante (« votre compte va être suspendu », « confirmez ce paiement »).
  2. L’hameçon. Un lien vers un site sosie, ou une pièce jointe. Le site est une copie quasi parfaite de la vraie page de connexion.
  3. La prise. Vous saisissez votre identifiant et votre mot de passe — droit dans les mains de l’attaquant. Souvent, la fausse page vous redirige ensuite vers le vrai site pour que rien ne semble anormal.

Parce qu’il repose sur la confiance et l’urgence, le phishing fonctionne aussi sur les gens prudents — pas seulement les imprudents.

Un ordinateur portable affichant une page de connexion de banque en ligne avec des champs identifiant et mot de passe, un téléphone à côté sur une table en bois — les pages de phishing imitent de vraies connexions comme celle-ci pour capturer vos identifiants.

Les types principaux

  • Phishing par e-mail — e-mails de masse usurpant une marque, envoyés à d’énormes listes en espérant qu’une fraction morde.
  • Spear phishing — ciblé sur une personne précise, avec de vrais détails sur vous pour paraître crédible. Bien plus convaincant.
  • Whaling — spear phishing visant des dirigeants ou des cibles à forte valeur.
  • Smishing — phishing par SMS (faux messages de livraison ou de banque).
  • Vishing — phishing par appel téléphonique, usurpant souvent le support ou votre banque.
  • Clone phishing — la copie d’un vrai e-mail reçu, dont les liens ont été remplacés par des liens malveillants.

Les signaux d’alerte

La plupart des phishings se trahissent si vous ralentissez et regardez :

  • Urgence ou menaces — « agissez maintenant ou votre compte sera bloqué ». La pression est le but.
  • Liens trompeurs ou sosies — survolez avant de cliquer ; le texte visible et la vraie URL diffèrent, ou le domaine est subtilement faux (paypaI avec un I majuscule, des mots ajoutés avant le vrai domaine).
  • Formules génériques — « Cher client » au lieu de votre nom (moins fiable pour le spear phishing).
  • Demandes d’identifiants ou de codes — les vrais services ne demandent jamais votre mot de passe ou code 2FA par e-mail.
  • Pièces jointes inattendues — surtout des documents vous demandant d’« activer le contenu ».
  • Adresse d’expéditeur qui ne correspond pas à l’organisation, même si le nom affiché semble correct.

Comment vous protéger

Aucune astuce seule ne suffit ; ce sont les couches qui marchent :

  • Ne cliquez pas sur les liens des messages non sollicités. Allez sur le site directement en tapant l’adresse ou via un favori, puis connectez-vous là.
  • Activez la double authentification (2FA). Si votre mot de passe est hameçonné, un second facteur peut quand même bloquer la connexion. Une appli ou une clé matérielle est plus solide que le SMS.
  • Utilisez un gestionnaire de mots de passe. Au-delà des mots de passe forts et uniques, il ajoute une couche anti-phishing discrète — voir ci-dessous.
  • Vérifiez par un autre canal. Si votre « banque » vous écrit, appelez le numéro figurant sur votre carte, pas un numéro du message.
  • Gardez vos logiciels à jour pour que les pièces jointes malveillantes aient moins de failles à exploiter, et signalez le phishing à votre fournisseur.

Un gestionnaire de mots de passe = de l’anti-phishing discret

C’est la défense sous-estimée. Un gestionnaire de mots de passe relie chaque identifiant enregistré au vrai domaine auquel il appartient. Sur une page de phishing sosie, le gestionnaire ne proposera tout simplement pas de remplir vos identifiants — parce que le domaine ne correspond pas. Ce refus silencieux est souvent le premier signal clair qu’une « page de connexion » est fausse, et il vous empêche de coller votre mot de passe au mauvais endroit.

À retenir, honnêtement

Le phishing vise la confiance humaine, pas les failles logicielles — c’est pourquoi même des experts se font parfois prendre par un spear phishing bien conçu. Vous ne pouvez pas compter sur le fait de ne jamais vous tromper — vous comptez sur la défense en profondeur : ralentir face aux messages urgents, aller sur les sites directement, et placer la 2FA et un gestionnaire de mots de passe entre une seule erreur et un compte volé. Ces couches transforment un phishing réussi en simple alerte sans conséquence.