Chaque jour, des millions de Français reçoivent dans leur boîte mail des messages qui ne viennent pas de qui ils prétendent être. Un logo familier, une formulation urgente, un lien qui ressemble à s’y méprendre à celui d’une vraie banque : le phishing est devenu la première menace numérique pour les particuliers comme pour les entreprises.
Il représente la première menace pour les particuliers avec 38 % des demandes d’assistance en France.
Et malgré la sensibilisation croissante,
les utilisateurs ont été trois fois plus exposés au risque de tomber sur des pages de phishing en 2024 que l’année précédente, avec 8,4 utilisateurs sur 1 000 qui ont cliqué sur un lien d’hameçonnage chaque mois.
Comprendre les arnaques par email, c’est déjà leur résister à moitié. Ce panorama recense 15 typologies concrètes de mails frauduleux, chacune avec ses signaux d’alerte propres, pour vous aider à identifier les pièges avant d’y tomber.
Qu’est-ce qu’un mail de phishing ? Bases et mécanique de l’arnaque
L’hameçonnage, ou phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but d’usurper une identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance (banque, administration, entreprise) afin de lui soutirer des informations personnelles : mot de passe, numéro de carte de crédit, date de naissance…
Les escrocs se font souvent passer pour des banques, des organismes publics ou de grandes enseignes bien connues. En général, ce type d’envoi massif de mails vise plusieurs milliers d’adresses de messagerie.
Ce qui rend l’exercice particulièrement retors, c’est que
les textes sont parfaits, les logos soignés, les domaines trompeurs, les signatures cohérentes, grâce aux modèles d’IA et aux kits de campagne accessibles à bas coût.
Oubliez les fautes d’orthographe comme seul critère de détection :
l’intelligence artificielle a démultiplié l’efficacité des attaques (deepfakes, voix clonées, emails parfaitement rédigés), si bien que les victimes ne peuvent plus se fier aux critères traditionnels de détection.
Pour comment reconnaître un phishing, il faut aller au-delà des apparences et analyser systématiquement plusieurs éléments : l’expéditeur réel, l’URL de destination, le prétexte invoqué, et la nature de la demande. Passons en revue les 15 arnaques les plus répandues.
Exemples de mails de phishing : 15 arnaques courantes à connaître
1. Fausse alerte de sécurité (banque, PayPal, service de paiement…)
Les attaques par hameçonnage sont le plus souvent dirigées vers les sites sensibles tels que les sites bancaires. En reprenant le même formalisme et en utilisant une adresse mail très similaire, des arnaqueurs se font passer pour une banque en envoyant des mails frauduleux. Dans la plupart des cas, ces mails prétendent à une fraude ou à la validation d’une opération et requièrent toutes les informations personnelles de leurs faux clients.
Signaux d’alerte : l’adresse de l’expéditeur ne correspond pas au domaine officiel de la banque (ex. : « contact@credit-agr1cole.com »), le mail réclame vos coordonnées bancaires complètes, le lien pointe vers un sous-domaine inconnu.
2. Demande urgente de vérification de compte
Les cybercriminels exploitent des mécanismes psychologiques récurrents, notamment l’urgence artificielle : « Dernier avis avant suspension », « Répondez dans les 10 minutes », « Votre compte sera fermé ce soir ».
Ce scénario imite aussi bien une messagerie que la page d’un site de streaming ou d’un service en ligne.
Les demandes de « vérification de compte » représentent environ 19 % de ces approches frauduleuses, un angle d’attaque très exploité.
Signaux d’alerte : délai imposé très court, demande de mot de passe ou de code à usage unique par email (aucun service légitime ne procède ainsi).
3. Factures ou notifications de paiement impayé
Un email annonce une facture en attente, un abonnement à régulariser, ou des frais de retard imminents.
Des emails frauduleux (« Slamming ») ciblent les professionnels en créant un sentiment d’urgence pour obtenir des paiements.
La pièce jointe est souvent un fichier PDF ou Word piégé, et
la menace financière est systématiquement évoquée : frais de dossier, majoration, pénalités, saisie annoncée.
Signaux d’alerte : vous n’avez aucun abonnement avec l’expéditeur, la facture est vague (sans numéro client précis), la pièce jointe est inattendue.
4. Faux gain ou loterie inattendue
Un inconnu vous envoie un email pour vous proposer de récupérer un gain à une loterie. Vous êtes invité à communiquer vos coordonnées, puis il vous sera demandé de verser une avance ou des frais quelconques, sans que vous n’obteniez rien en retour.
Le mécanisme est vieux comme le spam mais toujours actif, avec des variantes plus sophistiquées imitant des concours de grandes marques.
Signaux d’alerte : vous n’avez participé à aucun jeu, on vous demande de payer des frais pour « libérer » votre gain, l’adresse expéditeur est générique.
5. Fausse livraison de colis
Un email annonce un colis bloqué en douane ou un problème de livraison, vous invitant à payer quelques centimes pour le débloquer.
Ces messages usurpent souvent l’identité d’administrations, banques ou services de livraison pour pousser les victimes à agir rapidement.
Le règlement entraîne la capture des coordonnées bancaires, et parfois l’installation d’un logiciel malveillant.
Signaux d’alerte : vous n’attendez pas de colis, le lien ne pointe pas vers le site officiel du transporteur, on vous demande vos données de carte bancaire pour « quelques centimes ».
6. Offre d’emploi ou recrutement suspect
Vous recevez une proposition d’emploi séduisante sans avoir postulé, souvent d’une entreprise connue. Le processus demande rapidement des documents personnels (carte d’identité, RIB) pour un « dossier de recrutement » fictif.
Cybermalveillance.gouv.fr a identifié les offres d’emploi frauduleuses d’opérateur marketing sur Internet comme l’une des menaces actives en 2024.
Signaux d’alerte : offre non sollicitée, demande prématurée de documents officiels, adresse email du recruteur sur un domaine gratuit (gmail, yahoo…).
7. Fausse enquête ou mise à jour de données personnelles
Les demandes de mise à jour ou de confirmation de données personnelles (identifiants, mots de passe, coordonnées bancaires) font partie des exemples les plus susceptibles d’être rencontrés en cas de mail frauduleux.
L’email prétexte une mise à jour réglementaire ou une vérification de sécurité.
Signaux d’alerte : aucun organisme légitime ne demande vos mots de passe par email, la demande manque de personnalisation (pas de prénom, pas de numéro client).
8. Imitation de services publics (impôts, Assurance Maladie…)
Depuis début 2026, une nouvelle vague de phishing cible les assurés français. Des faux e-mails imitant parfaitement l’Assurance Maladie visent à récupérer des coordonnées bancaires ou des informations personnelles.
La Direction Générale des Finances Publiques est également très imitée, avec de faux remboursements fiscaux.
Signaux d’alerte : l’administration fiscale et l’Assurance Maladie ne demandent jamais de coordonnées bancaires par email, l’URL n’est pas en « .gouv.fr ».
9. Piratage de la boîte mail d’un contact connu
Même des personnes expérimentées peuvent se faire piéger, car les messages paraissent crédibles et proviennent parfois de comptes réels piratés.
Un ami ou collègue vous envoie un lien, une demande d’aide financière, ou un document à ouvrir : c’est en réalité son compte compromis qui sert de vecteur.
Signaux d’alerte : le style d’écriture est inhabituel, la demande est inhabituelle (argent, clic urgent), aucun contexte n’explique l’envoi.
10. Fraude au remboursement fiscal ou allocation
Les procédés les plus courants incluent le renforcement fictif de la sécurité d’un compte ou le tirage au sort. Dans la plupart des cas, l’auteur de l’hameçonnage a l’intention de collecter et d’utiliser vos données personnelles et/ou bancaires.
Les faux remboursements de la DGFIP ou de la CAF sont particulièrement efficaces car ils jouent sur l’attente légitime d’une somme.
Signaux d’alerte : l’administration ne prévient jamais d’un remboursement par email en demandant les coordonnées bancaires, le montant annoncé ne correspond à aucune démarche en cours.
11. Phishing ciblant les entreprises : faux fournisseur et fraude au PDG
La fraude au président se produit lorsque des criminels se font passer pour des cadres supérieurs (souvent le PDG ou le directeur financier) afin de tromper les employés et de les inciter à transférer de l’argent. Ces attaques exploitent la confiance que les employés accordent à la haute direction et l’urgence des demandes.
Côté fournisseur,
l’attaque peut prendre la forme d’une demande de modification des coordonnées bancaires d’un fournisseur, le but étant que le prochain règlement vienne alimenter le compte bancaire des cybercriminels.
Les attaques ciblées contre des dirigeants, comme les attaques BEC (Business Email Compromise), ont augmenté de 17 % entre 2021 et 2023 en France.
Signaux d’alerte : demande de virement urgente avec injonction de confidentialité, changement de RIB reçu uniquement par email sans confirmation téléphonique.
12. Invitation à consulter un document en ligne
Un email vous notifie qu’un document a été partagé avec vous sur un service cloud. Le lien mène vers une fausse page de connexion.
En 2024, le nombre d’attaques visant à dérober les mots de passe des utilisateurs a atteint un record, particulièrement concernant les comptes Google, Facebook et Amazon.
Signaux d’alerte : notification inattendue d’un expéditeur inconnu, l’URL de connexion ne correspond pas au domaine officiel du service cloud.
13. Simulations de services cloud (Google, Microsoft, Dropbox…)
Microsoft, Apple, Google et LinkedIn concentreraient à eux seuls 67 % de toutes les tentatives de phishing dans le monde.
Ces mails imitent les notifications de réinitialisation de mot de passe, les alertes de connexion suspecte ou les demandes de validation de compte. La page de phishing reproduit fidèlement l’interface du vrai service.
Signaux d’alerte : vérifiez toujours l’URL complète avant de saisir un identifiant, un service légitime ne vous demande pas de saisir votre ancien mot de passe par email.
14. Tentatives de récupération de mot de passe non sollicitées
Vous recevez un email de « réinitialisation de mot de passe » que vous n’avez pas demandé.
Une approche souvent utilisée est d’indiquer à la victime que son compte a été désactivé à cause d’un problème et que la réactivation ne sera possible qu’en cas d’action de sa part. Le message fournit alors un lien qui dirige vers une page Web qui ressemble à s’y méprendre au vrai site.
Signaux d’alerte : vous n’avez initié aucune demande de mot de passe, le lien dans l’email pointe vers un domaine légèrement différent (ex. : microsofft.com), ignorez l’email et connectez-vous directement au site officiel.
15. Escroquerie sentimentale ou « arnaque au sentiment »
Parmi les arnaques les plus destructrices, les escroqueries sentimentales continuent de faire des victimes. Ces fraudes reposent sur une manipulation progressive et ce type d’escroquerie peut durer des semaines ou des mois avant la demande finale.
L’escroc établit un lien affectif solide avant de demander une aide financière urgente.
Signaux d’alerte : personne que vous n’avez jamais rencontrée physiquement, profil trop parfait, demande d’argent ou de bons cadeaux, prétexte médical ou professionnel invoqué pour justifier l’urgence.
Comment repérer un mail de phishing ? La grille d’analyse à appliquer
Analyse de l’expéditeur et des liens
Le premier réflexe est d’examiner l’adresse email réelle de l’expéditeur, pas seulement le nom affiché.
Si elle ne correspond pas exactement au site concerné, il s’agit très certainement d’un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper.
Passez votre curseur sur les liens sans cliquer : l’URL affichée en bas du navigateur révèle la vraie destination.
L’utilisation de services de raccourcissement d’URL ou d’adresses peu lisibles est un signal d’alerte.
Pour approfondir l’analyse des signes révélateurs dans le corps du message, consultez notre guide sur les phishing par email signes qui ne trompent pas, qui détaille les indices visuels et rédactionnels à repérer.
Failles dans le texte, mise en page et mécanismes de pression
Même si les textes sont aujourd’hui souvent bien rédigés,
les fautes d’orthographe répétées dans le nom de la marque, les accords approximatifs, ou un langage trop informel pour un organisme officiel restent des indices.
Plus important encore : la demande elle-même.
De façon générale, méfiez-vous de tout message qui vous incite à communiquer des informations personnelles ou bancaires.
Tout email qui combine urgence, confidentialité et demande d’action financière ou de saisie d’identifiants doit déclencher une vérification immédiate.
Pièces jointes et annexes dangereuses
Au moindre doute, ne donnez aucune information et ne cliquez pas sur les liens qui peuvent vous amener sur un site frauduleux. N’ouvrez pas non plus les pièces jointes qui pourraient contenir un virus.
Le phishing classique domine toujours : 56 % des attaques contiennent un lien malveillant, 25 % exploitent des QR codes (quishing) et 19 % une pièce jointe.
Les formats les plus dangereux sont les fichiers Office avec macros, les PDF avec liens intégrés et les exécutables déguisés.
Bonnes pratiques pour éviter de tomber dans le piège
La règle d’or : vérifier avant d’agir. Si un email prétend venir de votre banque ou d’une administration, fermez le message et connectez-vous directement au site officiel en tapant l’URL dans votre navigateur.
Vous pouvez contacter le prétendu expéditeur à ses coordonnées habituelles pour vérifier sa démarche.
Côté outils, votre messagerie intègre généralement des filtres anti-spam activables.
La bonne stratégie combine une configuration de messagerie solide (SPF/DKIM/DMARC), une authentification multi-facteur (MFA), un filtrage avancé et une formation continue orientée comportements.
L’activation du double facteur d’authentification sur vos comptes importants limite les dégâts même si vos identifiants sont capturés.
Pour une vue d’ensemble des bonnes pratiques de protection, l’article sur la cybersecurite protection donnees phishing vie privee détaille les gestes essentiels à adopter au quotidien.
44 % des adultes pensent qu’un email avec une marque familière est sûr, alors que ce sont précisément les marques les plus usurpées par les cybercriminels.
La familiarité visuelle est le principal levier de manipulation : un logo reconnu ne prouve rien.
En cas de doute ou d’incident : comment réagir et à qui signaler ?
Vous avez cliqué sur un lien ou saisi des informations ? Chaque minute compte.
Si vous avez malencontreusement communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites où vous utilisiez ce mot de passe compromis.
Si des données bancaires ont été transmises,
contactez au plus vite votre banque, surveillez votre compte et contestez tout débit frauduleux. Faites opposition carte immédiatement via le service interbancaire au 0 892 705 705 (ouvert 7 jours/7 et 24h/24).
Pour signaler le mail frauduleux, plusieurs canaux existent.
Vous pouvez le signaler sur la plateforme Signal Spam, un organisme composé d’experts en cybersécurité associé à la CNIL qui identifie les principaux émetteurs de spams et agit contre les cybercriminels au niveau national.
Vous pouvez également signaler un mail frauduleux ou un site au contenu illicite sur la plateforme PHAROS (Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements) à l’adresse www.internet-signalement.gouv.fr.
Le dispositif 17Cyber est un service public d’assistance en ligne pour toutes les victimes d’actes de cybermalveillance. Il permet d’établir un diagnostic en ligne et de recevoir des conseils personnalisés, et d’être mis en relation via un tchat avec un policier ou un gendarme spécialisé.
La plateforme Info Escroqueries du ministère de l’Intérieur est joignable au 0 805 805 817 (appel et service gratuits de 9h à 18h30 du lundi au vendredi).
Signaler les messages frauduleux, c’est contribuer à la lutte contre le phishing et permettre d’éviter que d’autres personnes n’en soient victimes.
Chaque signalement alimente les bases de données des autorités et peut mener à la désactivation de sites frauduleux.
Environ 60 % des cyberattaques recensées en France en 2024 ont commencé par une tentative de phishing. Cette technique reste la plus utilisée, probablement parce qu’elle permet de contourner les systèmes de sécurité en ciblant directement l’utilisateur.
La technologie seule ne peut pas tout faire : la dernière ligne de défense, c’est toujours la capacité à s’arrêter une seconde avant de cliquer. Dans un paysage où
des modèles de langage permettent la création d’emails de phishing parfaits sans fautes, avec la démocratisation de la cybercriminalité via des kits prêts à l’emploi accessibles sans compétences techniques
, la question n’est plus de savoir si vous recevrez un jour un email frauduleux convaincant, mais quand.