Reconnaître un mail de phishing (hameçonnage) : 7 signaux
Publié le 3 février 2021 · mis à jour le 20 janvier 2025
Le phishing (ou hameçonnage) est l’arnaque la plus répandue : un mail imite un organisme de confiance pour vous soutirer identifiants ou coordonnées bancaires. Savoir reconnaître un mail de phishing vous évite bien des soucis, car ces messages jouent sur la routine et l’émotion pour que vous cliquiez sans réfléchir. La bonne nouvelle : quelques réflexes simples suffisent à démasquer la quasi-totalité de ces tentatives, et cela ne demande aucune compétence technique.
Les 7 signaux pour reconnaître un mail de phishing
- L’urgence ou la menace : « votre compte va être suspendu », « dernier avertissement ». La peur pousse à cliquer sans réfléchir. Un organisme sérieux vous laisse toujours le temps de vérifier par un autre canal.
- L’expéditeur douteux : ne vous fiez pas au nom affiché. Survolez ou cliquez sur l’adresse réelle. Un message qui prétend venir de votre banque mais qui arrive d’une adresse en
.infoou d’un domaine bizarre est un faux. - Un lien qui ne correspond pas : passez la souris sur le lien (sans cliquer) pour voir la vraie adresse qui s’affiche en bas de l’écran. Si elle est étrange, truffée de tirets ou d’un site inconnu, fuyez. Sur mobile, restez appuyé sur le lien pour l’afficher.
- Des fautes d’orthographe, des accents manquants ou une formulation maladroite trahissent souvent une traduction automatique.
- Une demande d’informations sensibles : aucun organisme sérieux ne demande mot de passe, code de carte ou code reçu par SMS via un mail.
- Une pièce jointe inattendue : facture, colis, remboursement… à ne jamais ouvrir sans certitude. Un fichier
.zipou un document qui vous demande d’activer des macros est particulièrement suspect. - Une salutation générique : « Cher client », « Bonjour utilisateur » au lieu de votre nom, parce que l’escroc envoie le même message à des milliers de personnes.
Astuce : avant de cliquer, posez-vous une seule question — « ai-je vraiment un compte ou une commande en cours chez cet organisme ? ». Si la réponse est non, c’est un faux, point final.
Comment vérifier un expéditeur en pratique
Reconnaître un mail de phishing passe souvent par un petit contrôle de trente secondes. Sur ordinateur, placez votre curseur sur le nom de l’expéditeur : l’adresse complète apparaît. Comparez le domaine (la partie après le @) avec celui du site officiel que vous connaissez. Les fraudeurs utilisent des adresses proches mais jamais identiques, par exemple en ajoutant un mot, un chiffre ou une extension inhabituelle.
Méfiez-vous aussi de l’usurpation : un mail peut afficher un nom d’expéditeur parfaitement légitime alors que l’adresse technique est frauduleuse. Enfin, un message authentique de votre banque ou des impôts vous invite en général à vous connecter vous-même à votre espace, jamais à cliquer sur un bouton pour « confirmer » ou « débloquer » quoi que ce soit dans l’urgence.
Les arnaques du moment
Les grands classiques imitent : les impôts (faux remboursement à réclamer), La Poste / Chronopost (faux colis avec des frais de dédouanement à payer), l’Assurance Maladie, votre banque, ou un service de streaming (« votre paiement a échoué, mettez à jour vos informations »). D’autres se déguisent en opérateur téléphonique, en service de livraison de repas ou en administration réclamant une amende.
Le point commun de toutes ces variantes est le même : une petite somme à régler tout de suite, ou un compte à « réactiver ». Ce sont exactement les leviers décrits dans nos 7 signaux. Une fois le mécanisme compris, vous les repérez d’un coup d’œil, quel que soit le logo affiché.
Le bon réflexe
En cas de doute : ne cliquez pas. Rendez-vous directement sur le site officiel en tapant l’adresse vous-même dans votre navigateur, ou via l’application que vous avez déjà installée. Vérifiez-y l’information annoncée : s’il y avait vraiment un colis bloqué ou un remboursement, l’information figurera dans votre espace personnel.
Ne répondez jamais au mail et ne rappelez pas un numéro qu’il contient. Vous pouvez aussi transférer le message dans votre dossier « indésirables » pour aider votre messagerie à mieux filtrer les prochains. Pour aller plus loin sur la protection de vos comptes, consultez notre page sécurité qui rassemble nos conseils essentiels.
J’ai cliqué / donné mes informations, que faire ?
- Vous avez seulement cliqué : lancez une analyse antivirus par précaution, sans paniquer. Un simple clic sans saisie ne suffit généralement pas à compromettre votre appareil.
- Vous avez saisi un mot de passe : changez-le immédiatement et activez la double authentification. Si c’est celui de votre messagerie, suivez le guide boîte mail piratée.
- Vous avez donné vos coordonnées bancaires : contactez votre banque sans attendre pour faire opposition et surveiller vos prochaines opérations.
Signalez le mail sur signal-spam.fr et les arnaques sur cybermalveillance.gouv.fr. Si vous préférez être accompagné pour sécuriser votre ordinateur et vos comptes, nous proposons un dépannage à domicile dans toutes nos zones d’intervention, avec un tarif annoncé avant l’intervention, éligible au crédit d’impôt de 50 % au titre des services à la personne. Un doute sur la sécurité de votre ordinateur ? Demandez conseil.
Besoin d'un coup de main ?
Si vous préférez déléguer, décrivez votre problème : un technicien vous rappelle pour une intervention à domicile ou à distance.