E-mail. Intelligent. Concentré.
Un e-mail rapide et multiplateforme conçu pour filtrer le bruit.
Définition
💡 E-mail de phishing : message frauduleux conçu pour vous inciter à révéler des informations sensibles comme des mots de passe, des numéros de carte bancaire ou des identifiants de compte. Les escrocs se font passer pour des banques, des entreprises ou des personnes que vous connaissez pour donner à l’e-mail une apparence légitime.
Comment fonctionne le phishing
Quelqu’un vous envoie un e-mail qui semble provenir de votre banque. Objet : "Urgent : activité suspecte sur votre compte." L’e-mail inclut le logo de votre banque, utilise ses couleurs et vous demande de cliquer sur un lien pour vérifier immédiatement votre identité. Vous cliquez, arrivez sur ce qui ressemble exactement à la page de connexion de votre banque, saisissez votre nom d’utilisateur et votre mot de passe, et bam. Vous venez de remettre vos identifiants à un escroc.
C’est ça, le phishing. L’e-mail ne vient pas réellement de votre banque. La page de connexion est fausse. L’escroc a désormais votre mot de passe et peut vider votre compte.
Ces attaques fonctionnent parce qu’elles exploitent l’urgence et la confiance. "Votre compte sera suspendu dans 24 heures." "Nous avons détecté une activité inhabituelle." "Confirmez votre identité maintenant ou perdez l’accès." Ils vous poussent à agir vite sans réfléchir. Et ils deviennent de plus en plus sophistiqués. Les e-mails de phishing modernes ont souvent une grammaire parfaite, des adresses d’expéditeur qui semblent légitimes et une image de marque convaincante. L’époque des arnaques évidentes du "prince nigérian" est en grande partie révolue.
Comment identifier un e-mail de phishing
Un langage urgent ou menaçant est le premier signe révélateur. Les entreprises légitimes ne menacent pas de fermer votre compte si vous ne répondez pas dans les heures qui suivent. Les escrocs créent une urgence artificielle pour contourner votre scepticisme.
Examinez attentivement l’adresse de l’expéditeur. "support@amaz0n.com" (avec un zéro) n’est pas Amazon. "accounts@paypa1.com" (avec le chiffre un) n’est pas PayPal. Survolez le nom de l’expéditeur pour voir la véritable adresse e-mail. Mieux encore, vérifiez les informations d’en-tête de l’e-mail.
Des salutations génériques comme "Cher client" ou "Cher utilisateur" au lieu de votre vrai nom suggèrent un phishing de masse. Même si certaines attaques sophistiquées utilisent bien votre vrai nom, donc ce seul indice n’est pas décisif.
Méfiez-vous des pièces jointes ou des liens inattendus. Votre banque ne va pas vous envoyer une facture sous forme de fichier ZIP. Votre collègue ne vous a probablement pas envoyé un document PDF aléatoire si vous ne vous y attendiez pas. En cas de doute, contactez l’expéditeur supposé par un autre canal avant d’ouvrir quoi que ce soit.
Aucune entreprise légitime ne vous enverra jamais un e-mail vous demandant votre mot de passe, votre numéro de sécurité sociale, les détails de votre carte bancaire ou des codes d’authentification à deux facteurs. Jamais. Si un e-mail vous demande ce genre d’informations, il est faux.
La mauvaise grammaire ou mise en forme est aujourd’hui un indice moins fiable, mais beaucoup d’e-mails de phishing contiennent encore des formulations étranges ou des traductions maladroites. Les entreprises professionnelles relisent leurs e-mails.
Survolez les liens avant de cliquer (ne cliquez pas, contentez-vous de les survoler). Si l’URL affichée ne correspond pas à l’endroit où le lien prétend mener, c’est du phishing. Un lien qui indique "mybank.com" mais pointe en réalité vers "mybank-verify-login-2024.ru" est évidemment faux.
Types d’attaques de phishing
Certaines attaques de phishing sont ciblées, d’autres sont envoyées à grande échelle sans distinction.
Le spear phishing vise des personnes précises avec des informations personnalisées. Les escrocs vous recherchent sur LinkedIn, trouvent vos collègues, remarquent peut-être même que vous venez de commencer un nouvel emploi. Ils rédigent ensuite des messages qui semblent troublant de précision. Bien plus convaincants que des envois génériques.
Il y a aussi le whaling. Là, ils s’en prennent aux dirigeants. Quelqu’un se fait passer pour le PDG et envoie un e-mail au service financier pour demander un virement urgent. Ces attaques coûtent des millions aux entreprises, car les dirigeants ont accès à des sommes importantes.
Le clone phishing est plus sournois. Ils prennent un e-mail légitime que vous avez déjà reçu (par exemple un reçu ou une notification), le copient, remplacent les liens par des liens malveillants, puis le renvoient. Vous le reconnaissez parce que vous avez reçu la vraie version la semaine dernière, donc vous lui faites confiance sans y réfléchir à deux fois.
Vishing et smishing ? Ce ne sont pas des e-mails, mais c’est lié. Le vishing se fait par appels téléphoniques, le smishing par messages texte. Même tactique d’arnaque, canaux différents.
Arnaques de phishing récentes de 2026
Arnaque de phishing Microsoft Power BI
Celle-ci était plutôt astucieuse. Les escrocs ont utilisé la véritable fonctionnalité de notification de Microsoft Power BI pour envoyer des e-mails de phishing depuis de vraies adresses Microsoft. Vous receviez un message affirmant que quelqu’un avait débité de 400 à 700 dollars sur votre compte PayPal, avec un numéro de téléphone à appeler pour contester l’opération.
C’est là que ça devenait grave : lorsque vous appeliez, la personne au bout du fil prétendait venir de Microsoft. Elle vous guidait pour installer un logiciel d’accès à distance afin de "résoudre le problème". Cela leur donnait le contrôle total de votre ordinateur. PCWorld a documenté toute l’attaque au début de 2026.
Les e-mails semblaient légitimes parce qu’ils l’étaient, simplement détournés. C’est ce qui a rendu cette attaque efficace.
Opération Tycoon 2FA
Tycoon 2FA était en gros du phishing en tant que service. Vous payiez un abonnement et obteniez l’accès à une plateforme capable d’envoyer des e-mails de phishing convaincants contournant l’authentification à deux facteurs. À son apogée, elle touchait plus de 500000 organisations par mois avec des dizaines de millions de messages.
Les secteurs de la santé et de l’éducation ont été les plus durement touchés. Plus de 100 membres de Health-ISAC ont été visés par phishing, provoquant de vrais problèmes opérationnels (retards dans la prise en charge des patients dans des hôpitaux de New York, perturbations dans les écoles). Microsoft a recensé 96000 victimes distinctes dans le monde avant que les forces de l’ordre n’y mettent fin en mars 2026.
À la mi-2025, Tycoon était responsable de 62 % de toutes les tentatives de phishing bloquées par Microsoft. En un seul mois, ils ont arrêté plus de 30 millions d’e-mails provenant de cette seule plateforme. Voilà à quoi ressemble aujourd’hui le phishing à l’échelle industrielle.
Attaques ClickFix et faux CAPTCHA
Vous voyez ces vérifications CAPTCHA "Je ne suis pas un robot" ? Les attaquants ont trouvé comment les imiter. Vous arrivez sur ce qui ressemble à une page de vérification légitime, mais au lieu de cliquer sur des cases, vous êtes piégé pour copier et exécuter des commandes PowerShell malveillantes sur votre ordinateur.
The Hacker News a rapporté qu’environ 147000 systèmes ont été infectés entre la fin août 2025 et le début de 2026. Des campagnes récentes ont ciblé des créateurs sur les réseaux sociaux en affirmant qu’ils pouvaient obtenir un badge vérifié. Les victimes regardaient des vidéos explicatives leur montrant comment copier des "jetons d’authentification" depuis les cookies de leur navigateur, ce qui installait en réalité un logiciel de surveillance à distance.
En 2025, 30 % de ces attaques utilisaient de fausses invites de vérification pour installer des outils d’accès à distance. Le taux de réussite ? Assez élevé pour que les attaquants continuent d’utiliser la même méthode.
Pourquoi cela fonctionne-t-il ? Parce que les gens sont habitués à compléter les CAPTCHA sans réfléchir. Vous voyez "vérifiez que vous êtes humain", vous cliquez sans hésiter. C’est précisément ce réflexe qui le rend dangereux.
Que faire si vous recevez un e-mail de phishing
Ne cliquez sur rien. N’ouvrez pas les pièces jointes. Ne suivez pas les liens. Ne répondez pas. Supprimez-le simplement.
Signalez-le : La plupart des clients de messagerie ont un bouton "Signaler comme phishing". Gmail, Outlook et d’autres fournisseurs utilisent ces signalements pour améliorer leurs filtres anti-spam et protéger les autres utilisateurs.
Vérifiez indépendamment : si l’e-mail prétend venir de votre banque, fermez-le et connectez-vous directement à votre banque via son site web ou son application. N’utilisez pas les liens de l’e-mail suspect. Si tout va bien sur votre vrai compte, l’e-mail était faux.
Vérifiez auprès de l’expéditeur : si l’e-mail de phishing prétend venir de quelqu’un que vous connaissez, contactez cette personne par un autre moyen (appelez-la, envoyez-lui un SMS, contactez-la sur Slack). Ne répondez pas directement à l’e-mail suspect.
Que dois-je faire si j’ai déjà cliqué sur un e-mail de phishing ?
Changez immédiatement vos mots de passe, surtout si vous avez saisi des identifiants sur un faux site. Activez l’authentification à deux facteurs si ce n’est pas déjà fait. Surveillez vos comptes pour détecter toute activité non autorisée. Si vous avez saisi des informations de carte bancaire, contactez votre banque pour faire annuler la carte.
Comment vous protéger
SPF, DKIM et DMARC
Si vous contrôlez un domaine, mettez en place SPF, DKIM et DMARC pour empêcher les escrocs d’usurper votre adresse e-mail auprès d’autres personnes. Même si cela ne vous protégera pas contre la réception de tentatives de phishing, cela protège les autres contre les attaques de phishing qui se font passer pour vous.
Activez l’authentification à deux facteurs partout où c’est possible.
Même si quelqu’un vole votre mot de passe par phishing, il ne pourra pas accéder à votre compte sans le second facteur, ce qui fait de vous une cible nettement plus difficile. Restez sceptique face aux e-mails inattendus, surtout aux demandes urgentes impliquant de l’argent ou des identifiants. Quand quelque chose semble louche, c’est généralement le cas—faites confiance à votre instinct.
Gardez vos logiciels à jour.
Les navigateurs modernes et les clients de messagerie intègrent une détection du phishing qui s’améliore à chaque mise à jour ; rester à jour vous permet donc de bénéficier des dernières fonctionnalités de sécurité. Si vous êtes responsable d’une entreprise, effectuez régulièrement des simulations de phishing. Les employés sont souvent le maillon faible de la sécurité, et une formation basée sur des tests réalistes les aide à reconnaître et éviter les vraies attaques.
Envisagez d’utiliser un gestionnaire de mots de passe.
Ces outils ne remplissent automatiquement les mots de passe que sur les sites légitimes ; si votre gestionnaire de mots de passe ne remplit pas automatiquement ce qui ressemble au site de votre banque, c’est un signal d’alarme indiquant que le site est faux. Cette couche de vérification supplémentaire peut repérer des tentatives de phishing qui pourraient autrement vous tromper.
Désactivez le chargement des images distantes
Dans certains clients de messagerie comme Spark Desktop, vous pouvez même désactiver le chargement des images distantes pour une protection supplémentaire : ouvrez Paramètres de Spark Desktop > Général > Charger les images distantes > Désactiver le bouton.
Contenu associé
- Confidentialité dans Spark Mail
- Expressions à éviter dans les e-mails
- La règle des deux minutes pour les e-mails
- Meilleurs clients de messagerie
Termes associés
- E-mail indésirable
- Usurpation d’e-mail
- Authentification à deux facteurs
- Authentification des e-mails