Le phishing est un type d’escroquerie dans lequel des criminels se font passer pour une personne ou une organisation de confiance afin de vous inciter à cliquer sur un lien, à télécharger un fichier ou à partager des informations sensibles telles que des mots de passe ou des numéros de carte de crédit. Ces arnaques nous parviennent par pratiquement tous les moyens de communication entrants, y compris les e-mails, les SMS, les publications sur les réseaux sociaux, les appels téléphoniques ou les messages directs. Les escroqueries peuvent également tenter de vous piéger via votre boîte aux lettres physique – bien que cela soit généralement classé comme de la fraude postale.  

Le phishing est la forme la plus courante d’« ingénierie sociale », qui désigne le fait que les attaquants s’appuient sur la tromperie plutôt que sur des compétences de piratage pour réussir.  

La bonne nouvelle : une fois que vous savez quoi repérer, les tentatives de phishing deviennent plus faciles à identifier. Cela est toujours vrai à l’ère de l’IA et des deepfakes – même si les fautes de frappe et les erreurs grammaticales sont moins fréquentes aujourd’hui, les messages de phishing cherchent toujours à créer un sentiment d’urgence.  

À quoi ressemble un message de phishing ?

Les messages de phishing sont aujourd’hui plus convaincants que jamais, mais ils essaient presque toujours de créer un sentiment d’urgence et de vous convaincre de faire quelque chose (comme ouvrir un lien, répondre à un SMS, télécharger une pièce jointe ou saisir un mot de passe). Même à l’ère de l’IA, vous pouvez rester attentif aux signaux d’alerte.  

Des offres trop belles pour être vraies

Souvent, un message de phishing tente d’inspirer un sentiment d’urgence positif : « Vous avez gagné une glacière coûteuse ! » Les messages promettant de l’argent gratuit, des prix ou des offres exclusives sont souvent des arnaques, surtout si vous ne vous souvenez pas vous être inscrit. Dans de nombreux cas, l’adresse e-mail de l’expéditeur semblera très peu officielle, avec beaucoup de chiffres et un domaine inhabituel. Supprimez et signalez tout message inattendu qui semble trop beau pour être vrai.

Un langage urgent ou menaçant

Les escrocs utilisent aussi des sentiments négatifs d’urgence. Ils essaient de vous précipiter avec des messages comme :

• « Votre compte sera bloqué ! »

• « Agissez maintenant pour éviter des pénalités ! »

• « Vous êtes sous enquête ! »

Ignorez, supprimez et signalez ce type de messages – les vraies organisations, entreprises et agences gouvernementales ne vous contacteront pas ainsi par e-mail.

Demandes d’informations sensibles

Les organisations légitimes ne vous demanderont pas de mots de passe, de numéros de Sécurité sociale ou de détails financiers par e-mail ou SMS. Si vous recevez un message étrange d’une vraie organisation, contactez-la directement pour obtenir plus de détails (c’est-à-dire pas via les coordonnées figurant dans le message), par exemple via son site officiel.

Demandes inattendues

Soyez extrêmement prudent face à toute demande inattendue :

• Factures que vous ne reconnaissez pas

• Demandes de paiement soudaines

• Messages demandant des cartes-cadeaux ou des virements bancaires

N’envoyez jamais d’argent sous des formes de paiement inhabituelles, comme la cryptomonnaie, les cartes-cadeaux, les virements bancaires ou de l’argent liquide envoyé par coursier – toute demande de paiement de ce type est généralement une escroquerie.

Adresses d’expéditeur suspectes

Examinez attentivement l’adresse e-mail de l’expéditeur. De petites fautes d’orthographe ou des domaines inhabituels (comme pavpal.com au lieu de paypal.com) sont un signal d’alerte majeur.

Liens ou pièces jointes étranges

Sur les ordinateurs portables ou de bureau, vous pouvez généralement survoler les liens avant de cliquer pour voir la véritable destination

Ne téléchargez jamais de pièces jointes que vous n’attendiez pas, même si elles proviennent de quelqu’un que vous connaissez. Vérifiez de manière indépendante que c’est sans danger.

Rédaction ou mise en forme médiocre

Autrefois, les messages de phishing étaient faciles à repérer, mais beaucoup utilisent désormais un langage soigné grâce à l’IA. Malgré cela, des formulations maladroites ou des incohérences devraient faire tressaillir votre instinct de détection du phishing.

Salutations génériques

Les messages qui commencent par « Cher client » plutôt que par votre nom peuvent indiquer une tentative de phishing de masse. Là encore, c’est moins fréquent aujourd’hui avec l’IA, mais cela reste un point à surveiller.

Pourquoi les escroqueries de phishing semblent-elles si urgentes ?

Un sentiment d’urgence est l’un des plus grands signes d’alerte du phishing.

Les escrocs veulent que vous agissiez vite avant d’avoir le temps de réfléchir.

Ils peuvent créer cette urgence de deux façons principales.

Urgence positive

• « Vous avez gagné un prix ! »

• « Réclamez votre récompense maintenant ! »

• « Offre à durée limitée ! »

Urgence négative

• « Votre compte a été piraté ! »

• « L’IRS vous enquête ! »

• « Vous serez arrêté si vous ne répondez pas ! »

Réfléchissez avant de cliquer

Ces messages sont conçus pour déclencher la panique ou l’excitation, deux émotions qui peuvent conduire à des décisions rapides et risquées.

Retour à la réalité : Les organisations légitimes, en particulier les agences gouvernementales comme la police locale ou l’IRS, ne vous contactent pas de cette manière pour des sujets sérieux.

Prenez quelques secondes pour chaque message

L’une des façons les plus simples d’éviter le phishing est de faire une pause avant d’agir. Prendre seulement 5 à 9 secondes pour chaque e-mail peut vous calmer et vous aider à réfléchir plus clairement. Oui, les secondes s’accumulent, mais la tranquillité d’esprit en vaut largement la peine.

Avant de cliquer sur un lien, de répondre ou de télécharger quoi que ce soit, demandez-vous :

• Attendais-je ce message ?

• Y a-t-il quelque chose qui semble anormal ?

• L’expéditeur est-il bien celui qu’il prétend être ?

• Est-ce que j’ai l’impression de devoir agir vite ?

Si vous avez un doute, n’engagez pas la conversation.

Une excellente démarche consiste à demander un deuxième avis à un collègue, un ami ou un membre de votre famille.

Aucun message légitime ne nécessite une réponse instantanée.

Qu’est-ce que le spear phishing ?

Certaines attaques de phishing sont plus ciblées. On parle alors de spear phishing (pensez à une lance dirigée vers un poisson savoureux dans la rivière).

Dans ces cas, les escrocs connaissent peut-être déjà des détails vous concernant, comme :

• Votre nom

• Votre travail ou votre entreprise

• Votre adresse e-mail

• Les noms de vos collègues ou amis

Les escrocs utilisent ces informations, souvent recueillies sur les réseaux sociaux ou à partir de sources publiques, pour rendre leur message plus crédible.

Vous pouvez cependant esquiver les lances !

Même si un message semble personnel, restez prudent, surtout s’il contient un sentiment d’urgence ou des demandes inhabituelles.

Le PDG de votre entreprise n’a probablement pas besoin que vous achetiez des cartes-cadeaux.

Que faire si vous recevez un message de phishing

Si vous pensez avoir repéré une tentative de phishing :

1. Ne cliquez pas et ne répondez pas

Ne cliquez pas sur les liens, ne téléchargez pas les pièces jointes et ne répondez pas. Même les liens ou boutons « se désabonner » peuvent être malveillants.

2. Signalez le message

Au travail : Signalez-le à votre équipe informatique ou de sécurité

À la maison : Utilisez la fonctionnalité « Signaler un phishing » de votre fournisseur de messagerie

• Signaler un phishing dans Outlook. 

• Signaler un phishing dans Gmail.   

• Signaler un phishing dans Mac Mail. 

3. Bloquez l’expéditeur

Empêchez les futurs messages provenant de la même source.

4. Supprimez le message

Retirez-le de votre boîte de réception une fois qu’il a été signalé. Cela vous évite de cliquer accidentellement dessus à l’avenir.

Comment protéger votre océan numérique contre les dommages causés par le phishing 

Les e-mails de phishing peuvent passer à travers les filtres anti-spam, il est donc important d’adopter de bonnes habitudes de sécurité qui peuvent vous aider à rester résilient même si vous tombez dans le piège d’un message de phishing : 

Utilisez l’authentification multifacteur (MFA) 

Ajouter une deuxième étape de vérification rend beaucoup plus difficile l’accès de vos comptes par des attaquants. Ne donnez jamais votre code MFA à qui que ce soit ! 

Créez des mots de passe forts et uniques 

Utilisez un mot de passe différent pour chaque compte, idéalement d’au moins 16 caractères. Les gestionnaires de mots de passe sont d’une aide précieuse ! 

Gardez vos logiciels à jour 

Les mises à jour corrigent les vulnérabilités de sécurité que les escrocs tentent d’exploiter. 

Pourquoi le signalement du phishing est important 

Signaler un phishing ne sert pas seulement à vous protéger – cela aide à protéger tout le monde. 

Les fournisseurs de messagerie et les équipes de sécurité utilisent les signalements pour : 

• Bloquer les messages frauduleux 

• Fermer les expéditeurs malveillants 

• Améliorer les systèmes de détection 

Votre signalement peut empêcher la prochaine attaque ! 

Faire une courte pause est votre meilleure défense contre le phishing 

Les escroqueries de phishing reposent sur des réactions rapides. Votre meilleure défense consiste à prendre quelques secondes pour réfléchir. 

Si quelque chose vous semble suspect, faites confiance à votre instinct. Prenez un moment, vérifiez à nouveau, et en cas de doute, ne cliquez pas ! Pour plus de conseils de sécurité en ligne, inscrivez-vous à notre newsletter par e-mail ! 

FAQ 

Qu’est-ce que le phishing en termes simples ? 

Le phishing, c’est lorsque des escrocs utilisent des communications numériques (comme un e-mail ou un SMS) pour essayer de vous tromper afin que vous cliquiez sur un lien, téléchargiez une pièce jointe ou partagiez des informations personnelles. 

Comment savoir si un message est un phishing ? 

Les messages qui créent un sentiment d’urgence et les messages inattendus (ou les deux !) sont souvent du phishing. Vous pouvez aussi rechercher des liens suspects et des adresses d’expéditeur qui ne correspondent pas à l’entreprise. 

Que devez-vous faire si vous cliquez sur un lien de phishing ? 

Signalez l’incident à votre équipe informatique ou de sécurité si vous êtes au travail. Déconnectez-vous d’Internet, lancez une analyse de sécurité avec le logiciel de sécurité de votre appareil et modifiez tous les mots de passe que vous avez envoyés ou que vous pensez autrement pouvoir être compromis. 

Le phishing peut-il se produire par SMS ou sur les réseaux sociaux ? 

Oui. Le phishing peut se produire par SMS (« smishing »), appels téléphoniques (« vishing »), réseaux sociaux ou messages directs, et pas seulement par e-mail. 

Ressources supplémentaires

• Regardez notre webinaire à la demande « Repérez le phishing avant qu’il ne vous hameçonne »

• Comment signaler un phishing dans Gmail

• Découvrez comment déjouer les escroqueries de phishing grâce aux conseils en cybersécurité d’Accenture

• Rebondir après une escroquerie

• Recevez des alertes sur les arnaques du Better Business Bureau