Recevoir un email qui imite parfaitement votre banque, un SMS qui réclame une mise à jour urgente de votre carte vitale, un message des impôts menaçant de saisie… Le phishing frappe chaque jour des milliers de Français. Mais entre le moment où vous repérez l’arnaque et celui où vous agissez vraiment, il y a souvent un vide : que faire concrètement ? Qui appeler, où cliquer, quoi transmettre ? Ce guide exhaustif répond à ces questions une par une, canal par canal.
Pourquoi signaler un phishing change vraiment les choses
Signaler les messages frauduleux, c’est contribuer à la lutte contre le phishing et permettre d’éviter que d’autres personnes n’en soient victimes. Cela peut aussi aider à identifier et faire arrêter les escrocs à l’origine de l’arnaque.
Ce n’est pas une démarche symbolique. Derrière chaque signalement, il y a une chaîne d’action concrète.
Les tentatives d’hameçonnage se multiplient et se sophistiquent.
Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.
Les entreprises ne sont pas épargnées :
entre 2025 et 2026, environ 73 % des dirigeants déclarent avoir été directement ciblés par des attaques liées à l’IA.
Même quand on n’est pas tombé dans le piège, le signalement reste utile.
Si vous avez identifié un email comme étant un mail frauduleux, il est important de le signaler que vous soyez ou non tombé dans le piège.
Le raisonnement est simple : un message non signalé continuera de circuler. Signalé, il peut être bloqué, son auteur identifié, et des dizaines d’autres victimes potentielles épargnées.
Reconnaître ce qui mérite d’être signalé
Avant d’agir, encore faut-il être sûr d’avoir affaire à du phishing.
Comment reconnaître un phishing
passe par quelques réflexes bien établis. Les signaux les plus courants tiennent souvent à l’adresse de l’expéditeur, au ton du message et aux liens qu’il contient.
Tout message ou appel qui combine urgence artificielle, pression émotionnelle et demande d’information sensible mérite une vigilance accrue et un signalement, surtout lorsqu’il existe un lien avec une plateforme en ligne, un site ou un service numérique identifiable.
Côté email,
les signes du phishing par email
incluent notamment des domaines légèrement modifiés, des pièces jointes douteuses et des demandes de codes ou de mots de passe.
Les cas particuliers méritent attention.
Une part importante des arnaques repose sur l’usurpation d’identité : faux conseillers financiers, faux avocats, faux agents publics, fausses plateformes d’investissement.
Du côté bancaire,
l’hameçonnage usurpant l’identité d’établissements bancaires est une méthode récurrente. Les messages trompeurs tentent d’inciter les victimes à communiquer les informations de connexion à leur compte bancaire en ligne et/ou leur numéro de carte de paiement, sous couvert d’un renforcement de la sécurité de leur compte.
Pour les SMS, la logique est identique mais le format change.
Le phishing par SMS est également appelé smishing. Il s’agit d’une méthode utilisée par les cybercriminels pour tromper leurs victimes en usurpant par SMS l’identité d’un tiers connu comme des administrations, des banques, des services de livraison ou des services en ligne.
Les canaux officiels pour signaler un phishing en France
Pharos : la porte d’entrée vers la police judiciaire
En France, PHAROS (Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements) est le dispositif officiel mis en place par le gouvernement pour permettre aux citoyens de signaler des contenus illicites sur internet.
PHAROS est une plateforme en ligne créée en 2009, gérée par la police nationale et la gendarmerie nationale, sous l’égide du Ministère de l’Intérieur.
Au sein de cette plateforme, des policiers et des gendarmes reçoivent, analysent et recoupent des centaines de milliers de signalements dans une base de données, pour permettre d’identifier l’hébergeur, l’éditeur puis l’auteur.
Le signalement n’est donc pas un simple formulaire qui disparaît dans le vide.
Chaque signalement reçu entre dans un processus d’analyse, de qualification juridique et de recoupement, pouvant déboucher sur des enquêtes et des retraits de contenus.
Pour utiliser Pharos, rendez-vous sur internet-signalement.gouv.fr.
Sur Pharos, vous pouvez signaler un contenu illicite précis en remplissant un formulaire guidé en quatre étapes.
Cette plateforme du ministère de l’Intérieur ne permet pas de signaler un mail de phishing à proprement dit. En revanche, elle offre la possibilité de signaler certains types de phishing via la rubrique « Escroquerie », comme l’escroquerie à la livraison de colis ou l’escroquerie à la loterie.
Point important à noter :
sauf exception, Pharos ne vous contactera pas et vos données seront conservées deux ans. Si vous êtes victime et que vous déposez une plainte (physique en commissariat ou en gendarmerie), ce signalement peut être transmis au service en charge de l’enquête.
Pour les escroqueries en ligne nécessitant une plainte formelle,
Pharos oriente vers la plateforme spécialisée THESEE (Traitement harmonisé des enquêtes et des signalements de e-escroqueries) qui reçoit les plaintes directement en ligne.
Les signalements sur la plateforme PHAROS sont, après vérification, orientés vers un service d’enquête. Une enquête pénale peut être ouverte, sous l’autorité du procureur de la République.
Et si les serveurs frauduleux se trouvent à l’étranger ?
Si le contenu signalé est illicite mais conçu à l’étranger, il est transmis à Interpol qui l’oriente vers les autorités judiciaires du pays concerné.
Signal Spam : le réflexe pour les emails
Signal Spam est un organisme composé d’experts en cybersécurité et associé à la CNIL qui identifie les principaux émetteurs de spams et agit contre les cybercriminels au niveau national, en collaboration avec les autorités publiques et les opérateurs des services de messagerie.
La procédure est accessible à tous.
Inscrivez-vous gratuitement sur www.signal-spam.fr, téléchargez une extension pour votre logiciel de messagerie (Thunderbird, Outlook ou Mail pour Mac) ou votre navigateur web. Signalez ensuite en un clic.
Grâce aux alertes reçues de la plateforme Signal Spam, la CNIL déclenche des enquêtes et contrôles sur place et peut être amenée à sanctionner les spammeurs.
Si vous ne souhaitez pas installer d’extension, une alternative manuelle existe.
Pour signaler un mail de phishing sans le module de signalement automatique, il faut fournir le code source de l’email. Il s’agit d’informations techniques qui vont permettre d’identifier l’auteur du message. Le code source d’un email est composé de deux éléments : les en-têtes (la partie technique invisible) et le corps du message (le contenu que vous lisez).
Avec l’extension Signal Spam, il devient possible de signaler tout e-mail perçu comme spam depuis sa messagerie, quelle qu’elle soit (Orange, Free, Gmail, SFR, Yahoo, Hotmail, Outlook.com, La Poste, AOL, OVH), consultée depuis un navigateur internet en un clic.
Alerter sa banque : urgence et méthode
Le phishing bancaire appelle une réaction plus rapide encore, car des fonds peuvent être prélevés à tout moment.
Si vous avez transmis vos coordonnées bancaires et craignez une fraude, contactez immédiatement votre banque pour signaler la situation et obtenir de l’aide sur les mesures de sécurité à prendre, comme l’opposition.
Si vous êtes victime d’une fraude au moyen de paiement, réagissez rapidement : faites opposition au moyen de paiement auprès de votre banque par les canaux sécurisés habituels. Dans le cas de la carte, vous pouvez aussi appeler le numéro spécial du serveur interbancaire au 0 892 705 705 (ouvert 24h/24, 7j/7).
Après l’opposition, la démarche se poursuit.
Il est recommandé de signaler les cas de fraude aux moyens de paiement aux forces de l’ordre, en privilégiant les démarches sur la plateforme Perceval pour les fraudes à la carte bancaire sur Internet et Thésée pour les autres arnaques et escroqueries, notamment dans le cas des fraudes au virement.
Vous devez également demander à votre banque le remboursement des opérations frauduleuses dans un délai maximal de 13 mois après le débit.
La rapidité de votre réaction est votre meilleur atout pour minimiser le préjudice financier.
Signaler via Gmail, Outlook et les autres messageries
Les grands fournisseurs de messagerie intègrent leurs propres outils de signalement, qui alimentent directement leurs systèmes de filtrage.
Google utilise des fonctionnalités de sécurité avancée pour vous avertir de la présence de messages ou contenus dangereux, ou de sites Web trompeurs.
Sur Gmail, la procédure est simple :
sur un ordinateur, accédez à Gmail, ouvrez le message, cliquez sur « Plus » à côté du bouton Répondre, puis cliquez sur « Signaler comme hameçonnage ».
Sur Outlook, la logique est similaire.
Dans la liste des messages, sélectionnez le message à signaler, puis au-dessus du volet de lecture, sélectionnez Report puis Report phishing pour signaler l’expéditeur.
Il est également possible de signaler un mail de phishing à Google Safe Browsing et Microsoft Security Intelligence. Si après analyse les signalements sont reconnus comme étant du phishing, les navigateurs de Google (Chrome, Safari, Firefox) et Microsoft (Edge) affichent une page d’avertissement.
Signaler et supprimer un mail suspect ne vous empêchera pas de recevoir d’autres types de mails frauduleux. Vous pouvez cependant signifier à votre fournisseur de messagerie le type de mails qui vous intéressent et ceux que vous ne voulez pas voir.
Ces signalements individuels s’agrègent pour améliorer les filtres anti-spam pour tous les utilisateurs.
Le 33700 pour les SMS frauduleux
Si vous avez reçu un message suspect par SMS ou par MMS, signalez-le sur la plateforme 33700 ou par SMS au 33700 (service gratuit).
En retour de votre signalement, vous devriez recevoir un SMS vous demandant d’envoyer au 33700 le numéro depuis lequel vous avez reçu le contenu frauduleux. Ces informations seront transmises aux opérateurs qui pourront faire bloquer l’émetteur du message.
Cet envoi est gratuit sur Bouygues Telecom, Orange et SFR ; sur les autres opérateurs, il coûte le prix d’un SMS normal.
Les étapes pratiques selon votre situation
Pas-à-pas pour signaler via Pharos
La démarche sur internet-signalement.gouv.fr est guidée.
Le portail officiel de signalement des contenus illicites de l’internet permet de transmettre, en quelques minutes, à la plateforme Pharos, des contenus ou des comportements illicites lors d’une navigation en ligne.
Concrètement, vous choisissez la catégorie de votre signalement (escroquerie, spam, fraude), puis vous renseignez l’URL du site frauduleux ou décrivez les faits, avant de valider.
La personne qui signale peut indiquer si elle est victime ; dans ce cas, un dépôt de plainte est nécessaire au commissariat de police ou en gendarmerie.
Alerter sa banque rapidement : les bons canaux
Trois canaux s’offrent à vous pour contacter votre banque en urgence. D’abord, l’application bancaire officielle ou l’espace client en ligne via l’URL habituelle, jamais via un lien reçu par email. Ensuite, le numéro de téléphone de votre conseiller ou du service client figurant au dos de votre carte.
Jamais un conseiller de votre banque ne vous demandera de lui communiquer votre mot de passe, des codes de confirmation ou d’effectuer des actions de validation sur votre application bancaire pour de supposées fraudes en cours sur vos comptes.
Si vous avez communiqué vos données et observez des débits suspects,
il faut déposer plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez.
Avant de compléter votre signalement Perceval, préparez les documents nécessaires : numéro d’opposition transmis par votre banque, numéro de carte bancaire concernée, relevés bancaires avec les transactions frauduleuses, et détails des achats suspects.
Quelles preuves conserver impérativement
Dans tous les cas, veillez à conserver les preuves et, en particulier, le message d’hameçonnage reçu.
Concrètement, cela signifie : ne pas supprimer l’email ou le SMS avant d’avoir fait votre signalement, prendre des captures d’écran des pages frauduleuses visitées, noter les URLs complètes affichées dans votre navigateur, et conserver les éventuels justificatifs d’opposition bancaire.
Conservez les preuves, en particulier le message malveillant reçu et les informations du site Internet malveillant visité, notamment l’adresse du site et les captures d’écran.
Le signalement, comme la plainte, vous permettent d’obtenir un récépissé, c’est-à-dire un document attestant de l’enregistrement de votre déclaration.
Ce récépissé est précieux pour les démarches de remboursement auprès de votre banque.
Ce qui se passe après votre signalement
Beaucoup hésitent à signaler parce qu’ils ne savent pas si leur geste aura un effet concret. La réalité est que ces signalements ont une valeur opérationnelle réelle.
Si une vérification est possible sur internet, le contenu signalé est tout d’abord visualisé, puis sa qualification juridique est établie. S’il est illicite, le signalement est orienté vers un service d’enquête de la police nationale, de la gendarmerie nationale, des douanes ou de la DGCCRF.
PHAROS dépend aussi de la coopération des plateformes privées (réseaux sociaux, hébergeurs) et des procédures judiciaires. Certaines suppressions de contenus peuvent être rapides, mais d’autres nécessitent des démarches légales plus complexes, en particulier lorsque les serveurs sont hébergés à l’étranger.
Sur la question d’une réponse personnelle :
sauf exception, Pharos ne vous contactera pas.
Le signalement simple reste anonyme. Si vous souhaitez être tenu informé et que votre dossier soit traité en tant que victime,
la plainte est l’acte par lequel vous informez l’autorité judiciaire. En déposant plainte, vous devez donner votre identité. Cette démarche vous engage et les enquêteurs peuvent vous contacter.
Pour les escroqueries bancaires avérées,
votre demande sera traitée par la gendarmerie nationale et vous recevrez sous quelques heures un email accusant réception de la déclaration.
Enfin, si vous avez besoin d’aide dans vos démarches,
vous pouvez contacter la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits de 9h à 18h30 du lundi au vendredi).
Après le signalement : sécuriser ses comptes
Signaler est une première étape. Ce qui suit est tout aussi important, surtout si vous avez interagi avec le message frauduleux.
Si vous avez malencontreusement communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis.
Conservez tous les éléments de preuve (e-mails, liens) et signalez l’incident sur la plateforme gouvernementale Pharos pour aider à identifier les fraudeurs.
Une fois cette urgence gérée, pensez à activer la double authentification sur les comptes sensibles (messagerie, banque, réseaux sociaux), vérifiez vos relevés bancaires sur les semaines suivantes, et consultez cybermalveillance.gouv.fr pour un accompagnement personnalisé.
Informer son entourage mérite aussi réflexion. Un ami, un collègue ou un parent qui reçoit le même email frauduleux un jour plus tard sera mieux armé s’il a été prévenu.
Signalez également le message frauduleux que vous avez reçu à l’organisme dont l’identité est usurpée afin qu’il puisse engager les poursuites nécessaires.
Banques, administrations et opérateurs disposent tous de cellules dédiées à ces signalements et peuvent agir directement contre les campagnes en cours.
Pour aller plus loin sur la protection de vos données après une tentative d’hameçonnage, notre guide sur la cybersecurite protection donnees phishing vie privee vous accompagne dans toutes les étapes pour limiter l’impact d’une éventuelle compromission. La question à se poser n’est pas tant « est-ce que mon signalement va servir ? » mais plutôt : que se passerait-il si personne ne signalait jamais rien ?