Le phishing — ou hameçonnage en français — est la menace cybercriminelle numéro un en France. Selon le rapport annuel de cybermalveillance.gouv.fr, la plateforme nationale d'assistance aux victimes de cybermalveillance, le phishing représente systématiquement la première cause de signalement parmi les particuliers, devant les rançongiciels et les fraudes à la carte bancaire. En 2025, des dizaines de millions de tentatives d'hameçonnage ont été envoyées en France — par email, par SMS, voire par messagerie instantanée. Si vous avez reçu un message de la CAF, d'Ameli, de La Poste ou de votre banque vous demandant de cliquer sur un lien d'urgence, ce guide vous apprend à distinguer le vrai du faux, à réagir correctement si vous avez été piégé, et à vous protéger durablement.
Qu'est-ce que le phishing exactement ?
Le phishing est une technique de manipulation qui consiste à se faire passer pour un organisme de confiance — votre banque, l'administration fiscale, la Sécurité sociale, un opérateur téléphonique — pour vous pousser à divulguer des informations sensibles (identifiants, numéro de carte bancaire, code de sécurité) ou à effectuer une action dangereuse (cliquer sur un lien, télécharger un fichier, virer de l'argent).
Le terme vient de l'anglais fishing (pêche) : les cybercriminels "jettent leurs filets" en masse, convaincus qu'un certain pourcentage de leurs cibles mordra à l'hameçon. C'est une attaque basée non pas sur une faille technique, mais sur la manipulation psychologique — l'ingénierie sociale. C'est pourquoi elle est si efficace : elle contourne tous les antivirus et pare-feux du monde si vous cliquez vous-même sur le lien.
Les différentes formes de phishing
- Email phishing : la forme la plus classique. Un email imitant graphiquement un organisme officiel vous demande de cliquer sur un lien ou d'ouvrir une pièce jointe.
- Smishing (SMS phishing) : un SMS frauduleux, souvent sur le thème d'un colis à récupérer, d'un péage impayé ou d'un remboursement en attente. Ces SMS peuvent apparaître dans le même fil de conversation que les vrais messages de l'organisme imité (techniques d'injection de SMS).
- Vishing (voice phishing) : une arnaque par téléphone où le fraudeur se fait passer pour votre conseiller bancaire ou un agent de l'administration. Traitée séparément dans notre article dédié.
- Spear phishing : version ciblée et personnalisée du phishing. Le message vous est adressé nominativement, mentionne votre employeur, un collègue ou un achat récent. Beaucoup plus difficile à détecter.
- Quishing : phishing via un QR code affiché sur une affiche, un parking, un restaurant — scannez-le et vous arrivez sur un faux site.
Les organismes les plus imités en France
Les escrocs choisissent soigneusement leurs masques. En France, les organisations les plus usurpées sont celles auxquelles tout le monde a affaire régulièrement et qui envoient fréquemment des communications légitimes :
- Ameli / CPAM : "Vous avez droit à un remboursement de 67,80 €. Mettez à jour votre RIB pour recevoir votre virement."
- CAF : "Votre dossier est incomplet. Sans action de votre part dans 48h, vos allocations seront suspendues."
- Direction Générale des Finances Publiques (impôts) : "Un remboursement de 312 € vous a été accordé. Cliquez ici pour le percevoir."
- La Poste, Chronopost, DHL, Colissimo : "Votre colis est en attente. Des frais de douane de 1,99 € sont dus pour procéder à la livraison."
- Banques (BNP Paribas, Crédit Agricole, Société Générale, La Banque Postale…) : "Activité suspecte détectée sur votre compte. Vérifiez immédiatement vos coordonnées."
- Certification CPF / Mon Compte Formation : "Votre CPF expire bientôt ! Utilisez vos droits avant le 31 décembre ou ils seront perdus."
- EDF, Engie, opérateurs télécom : "Votre facture de 187 € est en attente. Régularisez sous 24h pour éviter une coupure."
- Amendes.gouv.fr : "Une amende de 90 € vous a été notifiée. Payez avant majoration."
Les 10 signes qui trahissent un message de phishing
1. L'urgence artificielle
Les messages de phishing créent délibérément une pression temporelle pour vous empêcher de réfléchir : "48 heures", "sous peine de suspension", "avant le 31 décembre". Les organismes officiels ne vous coupent jamais l'accès à vos services ou remboursements sur un simple délai de 48 heures sans courrier préalable.
2. L'adresse email de l'expéditeur suspecte
Regardez toujours l'adresse complète, pas seulement le nom affiché. Un email peut afficher "Ameli - Assurance Maladie" comme nom, mais son adresse réelle être notification@ameli-remboursement.com ou info@cpam-service.ru. Un email légitime d'Ameli vient exclusivement de domaines en @ameli.fr ou @assurance-maladie.fr.
3. L'URL du lien ne correspond pas à l'organisme
Avant de cliquer, survolez le lien avec votre souris (sur PC) pour voir l'URL réelle dans la barre d'état. Sur mobile, maintenez votre doigt appuyé sur le lien pour afficher l'URL complète. Cherchez le vrai domaine : dans ameli.remboursement-urgent.com, le vrai domaine est remboursement-urgent.com, pas Ameli. L'organisme officiel est toujours au niveau du domaine principal, juste avant le .fr ou .com.
4. La demande d'informations bancaires ou de codes
Aucun organisme officiel — ni les impôts, ni Ameli, ni votre banque — ne vous demandera jamais votre numéro de carte bancaire, son code de sécurité (CVV), votre code secret PIN, ou un code de validation reçu par SMS par email ou par téléphone. Jamais. C'est une règle absolue.
5. Les fautes d'orthographe et la mise en page approximative
Les emails de phishing contiennent souvent des fautes, des caractères étranges (é remplacé par e, guillemets incorrects), ou une mise en forme légèrement décalée. Cela dit, les attaques modernes sont de plus en plus sophistiquées graphiquement — ne comptez pas uniquement sur ce signal.
6. La pièce jointe inattendue
Un email avec une pièce jointe au format .exe, .zip, .docm, .xlsm ou même .pdf que vous n'attendiez pas doit éveiller votre méfiance. Ces fichiers peuvent contenir des logiciels malveillants qui s'installent au simple clic ou à l'activation des macros.
7. La communication sur un canal inhabituel
Votre banque vous envoie ses notifications officielles via son application mobile ou votre espace client en ligne — rarement par email pour des alertes urgentes, et jamais par SMS pour vous demander de cliquer sur un lien. Si le canal vous semble inhabituel, méfiez-vous.
8. La personnalisation absente ou approximative
Les organismes qui ont vos coordonnées s'adressent généralement à vous par votre nom. "Cher client", "Bonjour", ou "Madame, Monsieur" sans nom sont des signaux d'alerte. Inversement, les attaques de spear phishing contournent ce critère.
9. Le site destination manque de sécurité HTTPS
Un site légitime d'un organisme officiel utilise toujours HTTPS (petit cadenas dans la barre d'adresse). Cependant, attention : le HTTPS ne garantit pas que le site est légitime — il garantit seulement que la connexion est chiffrée. Un site de phishing peut tout à fait avoir un certificat HTTPS.
10. Le message arrive alors que vous n'attendiez rien
Vous n'avez pas commandé de colis, vous venez de recevoir votre remboursement Ameli, vous n'avez pas de contravention en attente ? Un message qui ne correspond à aucun événement réel est quasi-systématiquement frauduleux.
Que faire si vous avez reçu un message suspect ?
Ne cliquez pas, ne répondez pas, ne téléchargez rien. C'est la règle d'or. Si vous avez un doute, accédez directement au site officiel de l'organisme en tapant vous-même son adresse dans votre navigateur (ou en utilisant votre favori vérifié), ou appelez son numéro officiel trouvé sur son site web — jamais le numéro indiqué dans le message suspect.
Pour signaler le message :
- Emails frauduleux : signalez-les sur signal-spam.fr
- SMS frauduleux : transférez-les au 33700 (service gratuit dédié)
- Sites de phishing : signalez-les sur internet-signalement.gouv.fr (plateforme Pharos)
- Fraudes générales : consultez cybermalveillance.gouv.fr
Que faire si vous avez cliqué ou divulgué des informations ?
Agissez vite — chaque minute compte.
Étape 1 : Vous avez cliqué sur un lien mais saisi aucune information
Le risque est faible si votre navigateur et votre système d'exploitation sont à jour. Fermez l'onglet. Lancez un scan antivirus complet. Vérifiez dans les heures suivantes qu'aucune transaction suspecte n'apparaît sur vos comptes.
Étape 2 : Vous avez saisi vos identifiants (email + mot de passe)
Changez immédiatement votre mot de passe sur le site concerné — via son adresse officielle, pas via le lien du phishing. Si vous utilisez le même mot de passe sur d'autres sites (ce qui est une erreur, voir notre article dédié), changez-le partout. Activez l'authentification à deux facteurs si ce n'est pas encore fait.
Étape 3 : Vous avez saisi des informations bancaires
Appelez immédiatement votre banque au numéro inscrit au dos de votre carte bancaire (jamais le numéro dans l'email). Demandez le blocage de votre carte et la surveillance de votre compte. Votre banque est légalement tenue de vous rembourser les transactions non autorisées résultant d'une fraude (article L. 133-18 du Code monétaire et financier), sauf si elle prouve votre négligence grave.
Étape 4 : Déposez plainte
Rendez-vous à la gendarmerie ou au commissariat le plus proche, ou déposez une pré-plainte en ligne sur pre-plainte-en-ligne.gouv.fr. Conservez tous les éléments : captures d'écran du message, URL du site frauduleux, date et heure. Ces éléments sont indispensables pour votre plainte et pour votre dossier de remboursement bancaire.
Comment se protéger durablement
Activez l'authentification à deux facteurs (2FA)
Même si un phisher obtient votre mot de passe, il ne peut pas accéder à votre compte s'il ne dispose pas du second facteur d'authentification (code SMS, application d'authentification, clé de sécurité physique). Activez le 2FA sur tous vos comptes importants : messagerie, banque, impôts, réseaux sociaux.
Utilisez un gestionnaire de mots de passe
Un gestionnaire de mots de passe remplit automatiquement vos identifiants sur les sites que vous avez enregistrés. Si vous vous trouvez sur un site frauduleux imitant votre banque, il refusera de remplir vos identifiants automatiquement — parce que l'URL ne correspond pas au site légitime enregistré. C'est une protection anti-phishing naturelle.
Vérifiez systématiquement l'URL avant de saisir quoi que ce soit
Prenez l'habitude de regarder la barre d'adresse avant de saisir un identifiant ou un numéro de carte. Le bon réflexe : cherchez le nom de domaine principal (juste avant le .fr ou .com) et vérifiez qu'il correspond exactement à l'organisme.
Maintenez votre système et vos logiciels à jour
Les mises à jour corrigent des failles de sécurité qui peuvent être exploitées lors du chargement d'une page malveillante ou à l'ouverture d'une pièce jointe. N'ignorez pas les mises à jour de votre système d'exploitation, de votre navigateur et de votre antivirus.
Méfiez-vous des Wi-Fi publics
Les réseaux Wi-Fi publics (gares, cafés, aéroports) peuvent être des points de collecte de données par des attaquants. Évitez de vous connecter à vos comptes bancaires sur ces réseaux. Si nécessaire, utilisez un VPN de confiance.
Les ressources officielles à connaître
- cybermalveillance.gouv.fr : assistance, signalement, diagnostic de cyberattaque
- signal-spam.fr : signalement des emails frauduleux
- 33700 : numéro court pour signaler les SMS frauduleux (gratuit)
- internet-signalement.gouv.fr (plateforme Pharos) : signalement de contenus illicites en ligne
- pre-plainte-en-ligne.gouv.fr : dépôt de pré-plainte en ligne
- 0 805 805 817 : numéro vert Stop-Arnaque (gratuit)
Conclusion
Le phishing fonctionne parce qu'il exploite des réflexes humains naturels : la confiance envers les institutions, la peur de perdre de l'argent ou des droits, la tentation d'un remboursement inattendu. La meilleure protection n'est pas technique — c'est la vigilance. Retenez une règle simple : lorsqu'un message vous demande de cliquer sur un lien en urgence, ouvrez votre navigateur, tapez vous-même l'adresse officielle de l'organisme, et vérifiez votre espace personnel. Si rien n'y est indiqué, le message était frauduleux. Partagez ce guide avec vos proches — les personnes moins familières du numérique sont les cibles préférées des phishers.