Phishing : reconnaître un mail piégé en 30 secondes

Le phishing — ces mails qui imitent votre banque, La Poste, Microsoft, votre RH — c’est toujours le vecteur numéro 1 de compromission des comptes en 2026. Pas un truc de hacker dans un sous-sol : juste un mail qui vous fait cliquer au mauvais moment.

Bonne nouvelle : 95% des phishings se repèrent en 30 secondes si on sait où regarder. Voilà la check-list qu’on applique nous-mêmes.

1. L’expéditeur réel, pas le nom affiché

Le nom qui apparaît à côté de “De :” peut être n’importe quoi. C’est juste un libellé. Ce qui compte, c’est l’adresse mail derrière.

De : Service Client UBS <noreply@ubs-securite-2024.info>

Le nom dit “UBS”. L’adresse dit ubs-securite-2024.info. Une banque n’utilisera jamais un domaine fantaisiste. Toujours regarder ce qui est entre < et >.

2. Le domaine, pas le sous-domaine

Astuce classique des attaquants : utiliser un domaine qui ressemble au vrai.

Légitime	Piège
support@apple.com	support@apple.security-check.com
info@laposte.fr	info@laposte-fr.com
noreply@microsoft.com	noreply@m1crosoft.com

Le domaine, c’est la partie juste avant le .com/.fr, pas tout ce qui précède. security-check.com n’a rien à voir avec Apple.

3. L’urgence artificielle

Les mails légitimes vous laissent du temps. Les phishings vous mettent la pression :

• “Votre compte sera suspendu dans 24h”
• “Action requise immédiatement”
• “Dernière chance de confirmer vos informations”

Cette urgence est volontaire : on veut que vous cliquiez avant de réfléchir. Si un mail vous stresse, c’est un signal — pas une raison de cliquer.

4. Le lien qu’on n’a pas cliqué

Avant de cliquer, survolez le lien (sur ordinateur) ou appuyez longuement (sur mobile). L’URL réelle apparaît.

Texte affiché : https://www.ma-banque.ch/connexion
URL réelle    : https://ma-banque.ch.malicious-site.ru/login

Si l’URL réelle ne correspond pas au texte, stop.

5. Les pièces jointes inattendues

Un PDF de “facture” que vous n’attendiez pas. Un .zip “important”. Un Word qui demande d’activer les macros.

Règle simple : si vous n’avez rien demandé, ne cliquez pas. Appelez l’expéditeur sur un canal de confiance (téléphone, autre application) pour vérifier.

6. Les fautes et la mise en page

Les phishings de masse sont souvent traduits automatiquement et bâclés graphiquement. Fautes d’orthographe, accents bizarres, logos pixelisés, espacements louches : tout ça doit éveiller votre attention.

⚠️ Attention : les phishings ciblés (spear phishing) sont au contraire très soignés. L’absence de fautes ne veut donc pas dire que c’est légitime.

En cas de doute

Ne cliquez jamais sur le lien dans le mail. Allez sur le site directement en tapant l’URL dans votre navigateur, ou en passant par votre appli officielle.

Si c’était un vrai message, le site/appli vous montrera la même information. Si c’était un piège, vous l’avez évité.

Que faire si on a déjà cliqué ?

Pas de panique. Étapes dans l’ordre :

1. Si vous avez tapé un mot de passe : changez-le immédiatement, partout où il était utilisé.
2. Activez la 2FA sur le compte concerné si ce n’était pas déjà fait.
3. Vérifiez les connexions actives dans les paramètres du compte (Google, Microsoft, etc.).
4. Surveillez vos relevés bancaires pendant les 30 prochains jours.
5. Signalez le phishing : Signal Spam, votre service IT, ou la banque concernée.

Le pire ennemi à ce moment-là, c’est la honte qui vous fait ne rien dire. Ça arrive à tout le monde. Même à nous.