Le phishing est une forme d’arnaque dans laquelle des criminels se font passer pour une personne ou une organisation de confiance afin de vous inciter à cliquer sur un lien, télécharger un fichier ou partager des informations sensibles telles que des mots de passe ou des numéros de carte bancaire. Ces arnaques nous parviennent par pratiquement toutes les formes de communication entrantes, y compris les e-mails, les SMS, les publications sur les réseaux sociaux, les appels téléphoniques ou les messages directs. Les arnaques peuvent aussi essayer de vous piéger via votre boîte aux lettres physique – bien que cela soit généralement classé comme une fraude postale.  

Le phishing est la forme la plus courante d’« ingénierie sociale », qui désigne le fait que les attaquants s’appuient sur la tromperie plutôt que sur des compétences de piratage pour réussir.  

La bonne nouvelle : une fois que vous savez quoi repérer, les tentatives de phishing deviennent plus faciles à détecter. C’est encore vrai à l’ère de l’IA et des deepfakes – même si les fautes de frappe et les erreurs grammaticales sont moins fréquentes aujourd’hui, les messages de phishing essaient toujours de créer un sentiment d’urgence.  

À quoi ressemble un message de phishing ? 

Les messages de phishing sont plus convaincants que jamais de nos jours, mais ils essaient presque toujours de créer un sentiment d’urgence et de vous convaincre de faire quelque chose (comme ouvrir un lien, répondre à un SMS, télécharger une pièce jointe ou saisir un mot de passe). Même à l’ère de l’IA, vous pouvez rester attentif aux signaux d’alerte.  

Offres trop belles pour être vraies

Souvent, un message de phishing tente d’inspirer un sentiment d’urgence positif : « Vous avez gagné une glacière hors de prix ! » Les messages promettant de l’argent gratuit, des prix ou des offres exclusives sont souvent des arnaques, surtout si vous ne vous souvenez pas vous être inscrit. Dans de nombreux cas, l’adresse e-mail de l’expéditeur semblera très peu officielle, par exemple avec beaucoup de chiffres et un domaine e-mail étrange. Supprimez et signalez toutefois tout message inattendu qui semble trop beau pour être vrai.

Langage urgent ou menaçant

Les escrocs utilisent aussi des sentiments d’urgence négatifs. Ils essaient de vous précipiter avec des messages comme :

• « Votre compte va être verrouillé ! »

• « Agissez maintenant pour éviter des pénalités ! »

• « Vous faites l’objet d’une enquête ! »

Ignorez, supprimez et signalez les messages de ce type – les vraies organisations, entreprises et agences gouvernementales ne vous contacteront pas par e-mail de cette façon.

Demandes d’informations sensibles

Les organisations légitimes ne demanderont pas de mots de passe, de numéros de Sécurité sociale ni de détails financiers par e-mail ou par SMS. Si vous recevez un message étrange provenant d’une vraie organisation, contactez-la directement pour plus de détails (c.-à-d. pas via les coordonnées figurant dans le message), par exemple via son site officiel.

Demandes inattendues

Soyez extrêmement prudent face à toute demande inattendue :

• Des factures que vous ne reconnaissez pas

• Des demandes de paiement soudaines

• Des messages demandant des cartes-cadeaux ou des virements bancaires

N’envoyez jamais d’argent sous des formes de paiement inhabituelles, comme les cryptomonnaies, les cartes-cadeaux, les virements bancaires ou de l’argent liquide envoyé par coursier – toute demande de paiement de ce type est généralement une arnaque.

Adresses d’expéditeur suspectes

Examinez attentivement l’e-mail de l’expéditeur. De petites fautes d’orthographe ou des domaines inhabituels (comme pavpal.com au lieu de paypal.com) sont un signal d’alerte majeur.

Liens ou pièces jointes étranges

Sur les ordinateurs portables ou de bureau, vous pouvez généralement survoler les liens avant de cliquer pour voir la vraie destination

Ne téléchargez jamais de pièces jointes auxquelles vous ne vous attendiez pas, même si elles proviennent de quelqu’un que vous connaissez. Vérifiez indépendamment que c’est sûr.

Mauvaise rédaction ou mise en forme

Bien que les messages de phishing aient autrefois été faciles à repérer, beaucoup utilisent désormais un langage soigné grâce à l’IA. Malgré cela, des formulations maladroites ou des incohérences devraient faire sonner votre alarme anti-phishing.

Salutations génériques

Les messages qui commencent par « Cher client » plutôt que par votre nom peuvent indiquer une tentative massive de phishing. Là encore, c’est moins courant maintenant avec l’IA, mais c’est quand même quelque chose à surveiller.

Pourquoi les arnaques de phishing semblent-elles si urgentes ?

Le sentiment d’urgence est l’un des plus grands signes d’alerte du phishing.

Les escrocs veulent que vous agissiez vite avant d’avoir le temps de réfléchir.

Ils peuvent créer cette urgence de deux grandes façons.

Urgence positive

• « Vous avez gagné un prix ! »

• « Réclamez votre récompense maintenant ! »

• « Offre à durée limitée ! »

Urgence négative

• « Votre compte a été piraté ! »

• « L’IRS enquête sur vous ! »

• « Vous serez arrêté si vous ne répondez pas ! »

Réfléchissez avant de cliquer

Ces messages sont conçus pour déclencher la panique ou l’excitation, ce qui peut conduire à des décisions rapides et risquées.

Vérification de la réalité : Les organisations légitimes, en particulier les agences gouvernementales comme la police locale ou l’IRS, ne vous contactent pas de cette manière pour des affaires sérieuses.

Prenez quelques secondes pour chaque message

L’une des façons les plus simples d’éviter le phishing est de faire une pause avant d’agir. Prendre ne serait-ce que 5 à 9 secondes avec chaque e-mail peut vous calmer et vous aider à réfléchir plus clairement. Oui, les secondes s’accumulent, mais la tranquillité d’esprit en vaut largement la peine.

Avant de cliquer sur un lien, de répondre ou de télécharger quoi que ce soit, demandez-vous :

• M’attendais-je à ce message ?

• Quelque chose me semble-t-il bizarre ?

• L’expéditeur est-il bien celui qu’il prétend être ?

• Ai-je l’impression que je dois agir vite ?

Si vous n’êtes pas sûr, n’interagissez pas.

Une excellente option est de demander un second avis à un collègue, un ami ou un membre de votre famille.

Aucun message légitime ne nécessite une réponse immédiate.

Qu’est-ce que le spear phishing ?

Certaines attaques de phishing sont plus ciblées. On appelle cela le spear phishing (pensez à viser un poisson savoureux dans la rivière avec une lance spéciale).

Dans ces cas, les escrocs connaissent peut-être déjà des détails vous concernant, comme :

• Votre nom

• Votre poste ou votre entreprise

• Votre adresse e-mail

• Les noms de collègues ou d’amis

Les escrocs utilisent ces informations, souvent recueillies sur les réseaux sociaux ou dans des sources publiques, pour rendre leur message plus crédible.

Vous pouvez toutefois esquiver les lances !

Même si un message semble personnel, restez prudent, surtout s’il contient un sentiment d’urgence ou des demandes inhabituelles.

Le PDG de votre entreprise n’a probablement pas besoin que vous achetiez des cartes-cadeaux.

Que faire si vous recevez un message de phishing

Si vous pensez avoir repéré une tentative de phishing :

Comment protéger votre océan numérique contre les dommages liés au phishing 

Les e-mails de phishing peuvent passer à travers les filtres anti-spam, il est donc important d’adopter de solides habitudes de sécurité qui peuvent vous aider à rester résilient même si vous tombez dans le piège d’un message de phishing : 

Utilisez l’authentification multifacteur (MFA) 

Ajouter une deuxième étape de vérification rend beaucoup plus difficile l’accès à vos comptes pour les attaquants. Ne communiquez jamais votre code MFA à qui que ce soit ! 

Créez des mots de passe forts et uniques 

Utilisez un mot de passe différent pour chaque compte, idéalement d’au moins 16 caractères. Les gestionnaires de mots de passe sont d’une aide précieuse ! 

Gardez vos logiciels à jour 

Les mises à jour corrigent les failles de sécurité que les escrocs essaient d’exploiter. 

Pourquoi le signalement du phishing est important 

Signaler le phishing, ce n’est pas seulement vous protéger – cela aide à protéger tout le monde. 

Les fournisseurs de messagerie et les équipes de sécurité utilisent les signalements pour : 

• Bloquer les messages frauduleux 

• Désactiver les expéditeurs malveillants 

• Améliorer les systèmes de détection 

Votre signalement peut arrêter la prochaine attaque ! 

Une brève pause est votre meilleure défense contre le phishing 

Les arnaques de phishing reposent sur des réactions rapides. Votre meilleure défense, ce sont quelques secondes de réflexion. 

Si quelque chose vous semble bizarre, fiez-vous à votre instinct. Prenez un moment, revérifiez, et en cas de doute, ne cliquez pas ! Pour plus de conseils de sécurité en ligne, inscrivez-vous à notre newsletter par e-mail ! 

FAQ 

Qu’est-ce que le phishing, en termes simples ? 

Le phishing, c’est quand des escrocs utilisent la communication numérique (comme les e-mails ou les SMS) pour essayer de vous pousser à cliquer sur un lien, à télécharger une pièce jointe ou à partager des informations personnelles. 

Comment savoir si un message est du phishing ? 

Les messages qui créent un sentiment d’urgence et les messages inattendus (ou les deux !) sont souvent du phishing. Vous pouvez aussi rechercher des liens suspects et des adresses d’expéditeur qui ne correspondent pas à l’entreprise. 

Que faire si vous cliquez sur un lien de phishing ? 

Signalez l’incident à votre équipe informatique ou sécurité si vous êtes au travail. Déconnectez-vous d’Internet, lancez une analyse de sécurité à l’aide du logiciel de sécurité de votre appareil, et modifiez tous les mots de passe que vous avez communiqués ou que vous pensez autrement avoir pu être compromis. 

Le phishing peut-il se produire par SMS ou sur les réseaux sociaux ? 

Oui. Le phishing peut se produire par SMS (« smishing »), appels téléphoniques (« vishing »), réseaux sociaux ou messages directs, et pas seulement par e-mail. 

Ressources supplémentaires

• Regardez notre webinaire à la demande « Repérez le phishing avant qu’il ne vous hameçonne »

• Comment signaler le phishing dans Gmail

• Apprenez à déjouer les arnaques de phishing grâce aux conseils de cybersécurité d’Accenture

• Rebondissez après une arnaque

• Recevez des alertes sur les arnaques du Better Business Bureau