how to use internet.

← Retour à Arnaques & hameçonnage

Protégez-vous des arnaques en ligne

Progression 0 / 12
Chapitres (12)

Arnaques par phishing email

L’email reste l’un des vecteurs d’attaque les plus courants pour les escrocs. Dans ce chapitre, vous apprendrez à identifier les emails de phishing, à comprendre comment les attaquants créent des messages convaincants et à vous protéger contre cette menace omniprésente.

L’ampleur du phishing par email

Les chiffres racontent une histoire éloquente :

  • 989 123 attaques de phishing observées par l’APWG au quatrième trimestre 2024 seulement
  • 5,3 milliards d’emails de phishing envoyés quotidiennement dans le monde
  • Microsoft filtre 5 milliards d’emails quotidiennement pour détecter les malwares et le phishing
  • Gmail bloque 100 millions d’emails de phishing chaque jour
  • 70 % des emails de phishing proviennent de fournisseurs de messagerie gratuits (Gmail, Yahoo, etc.)
  • Le phishing est responsable de 44 % des violations de données enregistrées

Le phishing par email ne va pas disparaître—il devient de plus en plus sophistiqué et difficile à détecter.

Tactiques courantes de phishing par email

1. Arnaques à la vérification de compte

Le stratagème : Vous recevez un email affirmant que votre compte nécessite une vérification ou sera suspendu.

Exemple :

Objet : “Urgent : Votre compte PayPal a été limité”

Cher client,

Nous avons détecté une activité inhabituelle sur votre compte. Cliquez ici pour vérifier votre identité dans les 24 heures ou votre compte sera définitivement suspendu.

Pourquoi ça marche :

  • Crée l’urgence et la peur
  • Exploite la confiance dans les marques familières
  • Menace de conséquences négatives

Signaux d’alerte :

  • Formules génériques (“Cher client” au lieu de votre nom)
  • Délais urgents (24-48 heures)
  • Menaces de suspension de compte
  • Liens pour vérifier des informations

2. Fausses factures et reçus

Le stratagème : L’email semble être un reçu pour un achat que vous n’avez pas effectué, dans l’espoir que vous cliquiez pour le contester.

Exemple :

Objet : “Votre commande Amazon #12345 a été expédiée”

Merci pour votre achat de casque Sony (299,99 €). Consultez les détails de votre commande ou annulez si ce n’était pas vous.

Pourquoi ça marche :

  • Vous voulez vérifier si c’est frauduleux
  • Crée une inquiétude concernant des frais non autorisés
  • Ressemble à de vrais reçus

Signaux d’alerte :

  • Commande d’articles que vous n’avez pas achetés
  • Adresses email légèrement différentes des domaines officiels
  • Les liens ne correspondent pas aux URL des sites officiels
  • Mauvais formatage ou grammaire

3. Arnaques aux prix et loteries

Le stratagème : Félicitations ! Vous avez gagné un prix, une loterie ou une carte-cadeau à laquelle vous n’avez jamais participé.

Exemple :

Objet : “Félicitations ! Vous avez gagné une carte-cadeau Amazon de 500 €”

Vous avez été sélectionné au hasard comme gagnant ! Réclamez votre prix en cliquant ici et en entrant vos informations.

Pourquoi ça marche :

  • Exploite le désir d’argent gratuit
  • Crée un enthousiasme qui annule la prudence
  • Semble nécessiter une action rapide

Signaux d’alerte :

  • Gagner des concours auxquels vous n’avez jamais participé
  • Demandes d’informations personnelles pour réclamer le prix
  • Nécessite des “petits frais de traitement”
  • Offres trop belles pour être vraies

4. Phishing bancaire et d’institutions financières

Le stratagème : L’email semble provenir de votre banque concernant une activité suspecte ou des mises à jour requises.

Exemple :

Objet : “Alerte de sécurité : Tentative de connexion non autorisée”

Nous avons détecté une connexion suspecte depuis un appareil inconnu. Veuillez vérifier votre compte immédiatement pour empêcher tout accès non autorisé.

Pourquoi ça marche :

  • La sécurité bancaire est importante pour tout le monde
  • Crée la peur d’une compromission de compte
  • Apparaît officiel avec logos et image de marque

Signaux d’alerte :

  • Email provenant d’adresses ne correspondant pas au domaine de la banque
  • Vous demande de cliquer sur des liens pour vérifier
  • Demande des informations sensibles par email
  • Informations de compte génériques (pas vos détails de compte réels)

5. Arnaques au support technique

Le stratagème : L’email prétend provenir de Microsoft, Apple ou d’entreprises d’antivirus concernant des problèmes de sécurité.

Exemple :

Objet : “Alerte de sécurité Microsoft : Virus détecté”

Nos systèmes ont détecté un malware sur votre appareil. Téléchargez cet outil de sécurité immédiatement ou appelez notre numéro de support.

Pourquoi ça marche :

  • Peur des virus informatiques
  • Semble vous aider
  • Utilise une image de marque d’apparence officielle

Signaux d’alerte :

  • Avertissements de sécurité non sollicités par email
  • Numéros de téléphone à appeler (les entreprises technologiques ne fonctionnent pas ainsi)
  • “Outils de sécurité” téléchargeables
  • Pression pour agir immédiatement

Principales usurpations de marques

Microsoft - 35 % de tout le phishing

Microsoft est la marque la plus usurpée dans les attaques de phishing :

  • Fausses pages de connexion Office 365
  • Emails “Votre mot de passe expire”
  • Notifications de partage de fichiers OneDrive
  • Fausses demandes de vérification de compte

Ce que font les vrais emails Microsoft :

  • Ne jamais demander de mots de passe par email
  • N’envoient pas de liens de connexion
  • Utilisent des domaines officiels cohérents
  • Incluent vos informations de compte réelles

Phishing Amazon

Tactiques courantes :

  • Fausses confirmations de commande
  • Messages “Compte suspendu”
  • Avis d’expiration d’abonnement Prime
  • Problèmes de livraison de colis

Ce que font les vrais emails Amazon :

  • Affichent les commandes réelles dans votre compte
  • Utilisent le domaine amazon.fr (pas amazon-secure.com)
  • Incluent des numéros de commande que vous pouvez vérifier
  • Ne demandent jamais d’informations de paiement par email

Phishing d’institutions bancaires

Toutes les grandes banques sont fréquemment usurpées :

  • BNP Paribas, Crédit Agricole, Société Générale, etc.
  • Sociétés de cartes de crédit (Visa, Mastercard, Amex)
  • Processeurs de paiement (PayPal, Venmo, Lydia)

Ce que font les vraies banques :

  • Contact initial par courrier, pas par email
  • Ne demandent jamais de mots de passe ou de numéros de compte complets
  • N’envoient pas de liens de connexion par email
  • Utilisent la messagerie sécurisée dans leur application/site web

L’anatomie d’un email de phishing

Signal d’alerte n°1 : Adresse de l’expéditeur

Ce qu’il faut vérifier :

  • Survolez le nom de l’expéditeur pour voir l’adresse email réelle
  • Recherchez de légères fautes d’orthographe (paypa1.com au lieu de paypal.com)
  • Fournisseurs d’email gratuits pour des emails “professionnels”
  • Caractères supplémentaires ou tirets (pay-pal.com, paypal-secure.com)

Exemples de fausses adresses :

Signal d’alerte n°2 : Formules génériques

Les entreprises légitimes utilisent votre nom :

  • ❌ “Cher client”
  • ❌ “Cher utilisateur”
  • ❌ “Cher titulaire de compte”
  • ✅ “Cher Jean Dupont”

Signal d’alerte n°3 : Langage urgent

Les escrocs créent une urgence artificielle :

  • “Agissez dans les 24 heures”
  • “Action immédiate requise”
  • “Votre compte sera fermé”
  • “Vérifiez maintenant ou perdez l’accès”

Vérification de la réalité : Les entreprises légitimes donnent des délais raisonnables et plusieurs notifications.

Signal d’alerte n°4 : Liens suspects

Comment vérifier les liens en toute sécurité :

  1. Survolez le lien sans cliquer (ordinateur)
  2. Appuyez longuement sur le lien pour prévisualiser (mobile)
  3. Vérifiez si le texte affiché correspond à l’URL réelle
  4. Recherchez des noms de domaine légitimes

Exemple de non-correspondance de lien :

Signal d’alerte n°5 : Mauvaise grammaire et orthographe

Bien que l’IA ait amélioré la rédaction des arnaques, des erreurs se produisent encore :

  • Formulation maladroite
  • Capitalisation incohérente
  • Fautes d’orthographe
  • Artefacts de traduction

Signal d’alerte n°6 : Pièces jointes inhabituelles

Soyez méfiant envers :

  • Pièces jointes inattendues d’expéditeurs “connus”
  • Types de fichiers : .exe, .scr, .zip, .js, .iso
  • “Facture.pdf.exe” (doubles extensions)
  • Documents protégés par mot de passe de sources inconnues

Signal d’alerte n°7 : Demandes d’informations sensibles

Les entreprises légitimes ne demandent jamais par email :

  • Mots de passe ou codes PIN
  • Numéros de sécurité sociale
  • Numéros de carte de crédit (numéro complet)
  • Identifiants de compte
  • Copies de documents d’identité

Signal d’alerte n°8 : Trop beau pour être vrai

Si ça semble incroyable, c’est probablement le cas :

  • “Vous avez gagné 10 000 € !”
  • “iPhone gratuit pour répondre à un sondage”
  • “Héritage d’un parent inconnu”
  • “Travail à domicile - gagnez 5000 €/semaine”

Signal d’alerte n°9 : Informations incohérentes

Vérifiez les incohérences :

  • L’email dit “Votre compte Apple” mais vous n’en avez pas
  • Nom de banque que vous n’utilisez pas
  • Services auxquels vous ne vous êtes jamais abonné
  • Commandes que vous n’avez jamais passées

Procédures de vérification

Avant de cliquer sur N’IMPORTE QUEL lien :

Étape 1 : Pause Ne cliquez pas immédiatement, même si cela semble urgent.

Étape 2 : Vérifiez l’expéditeur Vérifiez l’adresse email réelle, pas seulement le nom affiché.

Étape 3 : Vérifiez de manière indépendante

  • Tapez l’adresse du site de l’entreprise vous-même
  • Utilisez plutôt l’application officielle
  • Appelez en utilisant le numéro du site web officiel de l’entreprise
  • Vérifiez votre compte directement (pas via le lien de l’email)

Étape 4 : Recherchez les signaux d’alerte Passez en revue la liste ci-dessus—des signaux d’alerte ?

Étape 5 : En cas de doute, ne le faites pas Si quelque chose semble étrange, ne cliquez pas. Supprimez-le.

Pratiques sûres :

Pour les comptes importants :

  • Enregistrez les sites officiels dans vos favoris
  • Utilisez les applications officielles au lieu des liens email
  • Activez l’authentification à deux facteurs
  • Configurez des alertes de compte pour les activités inhabituelles

Pour les liens email :

  • Ne cliquez jamais sur les liens dans les emails non sollicités
  • Tapez les URL manuellement
  • Utilisez les favoris pour les sites fréquents
  • Vérifiez via des canaux indépendants

Pour les pièces jointes :

  • N’ouvrez pas les pièces jointes inattendues
  • Scannez d’abord avec un antivirus
  • Vérifiez l’expéditeur par une méthode alternative
  • En cas de doute, demandez directement à l’expéditeur (pas par réponse)

Exemples concrets

Exemple 1 : Le phishing PayPal

Email reçu :

De : PayPal Security <[email protected]>
Objet : Urgent : Vérifiez votre compte

Cher client précieux,

Nous avons détecté une activité inhabituelle. Cliquez ici pour vérifier dans les 24 heures
ou votre compte sera limité.

[Vérifier le compte maintenant]

Signaux d’alerte :

  1. Mauvais domaine (paypal-verify.com)
  2. Formule générique
  3. Délai urgent de 24 heures
  4. Lien pour vérifier le compte

Action correcte :

  • Ne cliquez pas sur le lien
  • Connectez-vous à PayPal directement via le navigateur
  • Vérifiez les notifications réelles là-bas

Exemple 2 : La commande Amazon

Email reçu :

De : Amazon <[email protected]>
Objet : Votre commande d'iPhone 15 a été expédiée

Commande #123-4567890-1234567
iPhone 15 Pro - 1 199,99 €

Suivez votre colis ou annulez si vous n'avez pas commandé ceci.

Signaux d’alerte :

  1. Mauvais domaine (.net au lieu de .fr)
  2. Article coûteux que vous n’avez pas commandé
  3. Conçu pour créer la panique

Action correcte :

  • Connectez-vous directement au compte Amazon
  • Vérifiez les commandes réelles
  • Ne cliquez pas sur les liens email

Exemple 3 : L’alerte de sécurité Microsoft

Email reçu :

De : Microsoft Security Team <[email protected]>
Objet : Alerte de sécurité : Mot de passe expirant

Votre mot de passe expirera dans 2 heures. Cliquez ici pour le renouveler ou
vous perdrez l'accès à votre compte.

Signaux d’alerte :

  1. Mauvais domaine (microsoft-365.com)
  2. Urgence artificielle de 2 heures
  3. Les mots de passe n’expirent pas en heures
  4. Lien pour “renouveler” le mot de passe

Action correcte :

  • Ignorez l’email
  • Microsoft ne fonctionne pas ainsi
  • Changez le mot de passe directement si vous êtes inquiet

Ce que font réellement les entreprises légitimes

Elles NE font PAS :

  • Envoyer des emails non sollicités avec des liens de connexion
  • Demander des informations sensibles par email
  • Créer une urgence artificielle (heures/jours)
  • Menacer de suspension de compte sans avertissement
  • Demander des mots de passe ou des numéros de compte complets
  • Envoyer des liens de vérification par email

Elles font :

  • Utiliser votre nom réel
  • Envoyer des messages sécurisés via leur application/site web
  • Fournir des délais raisonnables
  • Envoyer plusieurs notifications avant les actions
  • Utiliser des domaines email officiels cohérents
  • Inclure des détails de compte vérifiables

Si vous avez cliqué sur un lien de phishing

Actions immédiates :

  1. N’entrez pas d’informations - Fermez le navigateur immédiatement
  2. Changez les mots de passe - Pour le compte concerné (depuis un appareil sécurisé)
  3. Activez la 2FA - Si pas déjà active
  4. Surveillez les comptes - Vérifiez l’activité non autorisée
  5. Lancez un scan antivirus - Vérifiez les malwares
  6. Signalez-le - Transférez à [email protected]

Dans les 24 heures :

  1. Vérifiez les relevés bancaires - Recherchez les frais non autorisés
  2. Surveillez le crédit - Surveillez les signes d’usurpation d’identité
  3. Mettez à jour les mots de passe - Pour les comptes utilisant le même mot de passe
  4. Alertez les contacts - Si votre email a été compromis

Points clés à retenir

  • 989 123 attaques de phishing observées au quatrième trimestre 2024
  • 70 % proviennent de fournisseurs d’email gratuits comme Gmail
  • Microsoft est la marque la plus usurpée (35 % des attaques)
  • Vérifiez toujours de manière indépendante avant de cliquer sur des liens
  • Survolez les liens pour voir la destination réelle
  • Formules génériques et langage urgent sont des signaux d’alerte
  • Les entreprises légitimes ne demandent jamais de mots de passe par email
  • Tapez les URL manuellement au lieu de cliquer sur les liens email
  • Activez la 2FA sur tous les comptes importants
  • En cas de doute, ne cliquez pas - vérifiez via les canaux officiels

Rappel : Les escrocs sont des professionnels qui créent des emails convaincants. Même les personnes averties en technologie peuvent être trompées lorsqu’elles sont prises au mauvais moment. La meilleure défense est de faire une pause, de vérifier et de ne jamais faire confiance aux liens email pour les actions sensibles.

Prochain chapitre : Nous explorerons le smishing (phishing par SMS) - les arnaques par SMS qui ont un taux de réussite encore plus élevé que le phishing par email.

Auteur:
How To Use Internet
Dernière mise à jour:
30/11/2025