Chaque jour, des millions de Français reçoivent un message qui ressemble à leur banque, à leur opérateur téléphonique ou à l’administration fiscale. Un lien, un formulaire, quelques secondes de distraction, et c’est fini. Le phishing, ou hameçonnage, est aujourd’hui la cybermenace numéro un en France. Pas parce que c’est la plus spectaculaire, mais parce que c’est la plus efficace. cybersecurite protection donnees phishing vie privee : comprendre le phishing, c’est la première brique de toute défense numérique sérieuse.
Ce guide couvre l’essentiel : ce qu’est vraiment le phishing aujourd’hui (bien au-delà des faux emails truffés de fautes), comment identifier le phishing par email signes qui ne trompent pas, que faire après avoir cliqué sur un lien de phishing, comment signaler un phishing (pharos, plateforme, banque), et les ressources officielles pour signaler et se protéger. Pour mieux comprendre ces menaces, découvrez nos exemples de mails de phishing et arnaques courantes.
Qu’est-ce que le phishing et pourquoi est-ce aussi dangereux ?
Définition et mécanique de l’arnaque
Le phishing (hameçonnage) désigne les tentatives de tromper un utilisateur pour lui soutirer ses identifiants ou l’inciter à cliquer sur un lien piégé.
L’image est parlante : comme à la pêche, le cybercriminel lance des leurres dans l’espoir que quelqu’un morde.
Le phishing est une forme d’ingénierie sociale où les attaquants poussent leurs victimes à révéler des informations sensibles ou à installer des logiciels malveillants tels que des virus, ransomwares ou adwares.
L’hameçonnage est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.
Ce qui rend le phishing redoutable n’est pas sa technicité, mais sa psychologie. Il n’exploite pas une faille logicielle, il exploite la confiance humaine. Et sur ce terrain, les cybercriminels sont devenus experts. C’est pourquoi savoir comment reconnaître un phishing devient une compétence essentielle pour tout internaute.
Des chiffres qui donnent le vertige
Le phishing représente la première menace pour les particuliers avec 38 % des demandes d’assistance en France.
La plateforme Cybermalveillance.gouv.fr a vu son audience croître de façon significative pour atteindre 5,4 millions de visiteurs uniques (+47 %) et enregistrer plus de 420 000 demandes d’assistance en 2024 (+49,9 %).
Le phishing reste le vecteur d’attaque dominant (60 %), suivi par l’exploitation de failles (47 %) et les dénis de service (41 %), selon le Baromètre CESIN 2025.
À l’échelle mondiale, 74 % des vols de données ont été réalisés via du phishing.
Ces chiffres révèlent une réalité simple : quelle que soit la robustesse technique d’un système, la porte d’entrée préférée des attaquants reste l’humain.
Et la tendance s’aggrave.
L’état de la menace sur l’année 2024 met en évidence une véritable prolifération des arnaques en ligne, due en partie à la facilité d’accès aux outils malveillants par une cyberdélinquance sans compétence particulière.
Reconnaître un phishing : les vrais signaux d’alerte en 2025
Oubliez l’image du mail bourré de fautes envoyé depuis un prince nigérian. Les attaques modernes sont autrement plus sophistiquées.
Les pages d’hameçonnage sont aujourd’hui quasi parfaites : logos, charte graphique, typographies et même interactions imitées.
Pourtant, certains indices persistent.
Indices techniques : ce que l’on vérifie avant de cliquer
Le premier réflexe, c’est l’URL.
Si elle ne correspond pas exactement au site concerné, il s’agit très certainement d’un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper.
Sur un écran d’ordinateur, survoler un lien sans cliquer suffit à afficher l’adresse réelle de destination. Sur mobile, c’est plus compliqué, les petits écrans masquent les détails suspects.
Si le message contient un lien, vous ne devez pas cliquer dessus. Depuis votre ordinateur, vous pouvez placer le curseur de votre souris sur ce lien, l’adresse vers laquelle vous risquez d’être renvoyé s’affichera entièrement. Vous pourrez comparer cette adresse internet (URL) avec celle du véritable site.
Autre signal concret : l’adresse de l’expéditeur. Un message prétendant venir d’une grande institution mais envoyé depuis un domaine générique (gmail, hotmail, ou un domaine fantaisiste) est un indicateur fort.
Aucune administration ou société commerciale sérieuse ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone.
Cette règle, simple et absolue, reste la meilleure boussole.
Indices psychologiques : l’urgence et la peur comme armes
Le phishing joue sur des leviers émotionnels très précis.
Un email qui vous presse de prendre une action immédiate est un signal d’alerte majeur d’une tentative de phishing.
La menace d’un compte bloqué, d’une amende à payer sous 24 heures, d’un colis en souffrance ou d’un remboursement à réclamer d’urgence : toutes ces mises en scène visent à court-circuiter la réflexion.
L’ingénierie sociale dont les escrocs font preuve s’appuie désormais sur de plus nombreuses thématiques et approches contextualisées, élargissant de fait le champ d’action de la menace. Par exemple, l’hameçonnage se décline en de multiples formes allant de la livraison de colis à la fraude au RIB, en passant par l’accusation d’infraction pédopornographique, ou encore la fraude au faux conseiller bancaire.
Un témoignage recueilli par Cybermalveillance.gouv.fr illustre parfaitement ce mécanisme :
« Quand j’étais en arrêt maladie, j’ai reçu un mail de la sécurité sociale qui m’annonçait un remboursement de plus de 200 euros. J’ai cliqué sur le lien et je suis arrivé sur un site qui avait l’air officiel. Ce site me proposait d’être remboursé immédiatement si je donnais mon numéro de carte bancaire. Je ne me suis pas méfié et je l’ai fait mais le remboursement n’est jamais arrivé. J’ai contacté la sécurité sociale et le conseiller m’a annoncé que je m’étais fait arnaquer. J’ai immédiatement prévenu ma banque pour bloquer ma carte, mais plusieurs prélèvements avaient déjà été faits sur mon compte. »
Le contexte personnel (arrêt maladie, attente d’un remboursement) a rendu le piège presque irresistible.
Pour aller plus loin sur les signaux d’identification, consultez notre guide comment reconnaitre un phishing, qui détaille les indicateurs les plus fiables, et notre article dédié au phishing par email signes qui ne trompent pas pour les spécificités de la messagerie électronique.
Les différentes formes de phishing à connaître
Les techniques et vecteurs de phishing incluent les spams par email, le vishing (hameçonnage vocal), le spear phishing ciblé, le smishing (SMS), le quishing (QR code) et les attaques AiTM contournant l’authentification à deux facteurs.
Un panorama qui s’est élargi en quelques années.
Phishing par email : toujours le vecteur dominant
Le phishing classique domine toujours avec 56 % des attaques contenant un lien malveillant, 25 % exploitant des QR codes (quishing) et 19 % une pièce jointe.
L’email reste le canal le plus utilisé, mais ses méthodes évoluent vite.
Près de 72 % des campagnes de phishing observées en mai 2025 utilisaient des pièces jointes HTML, PDF ou ZIP.
Ces fichiers sont particulièrement dangereux car ils contournent les filtres classiques en n’intégrant pas d’URL directement dans le corps du message.
Le rôle de l’intelligence artificielle est ici central.
Les outils d’IA générative permettent aux attaquants d’affiner rapidement leurs messages et de perfectionner les campagnes de phishing, de smishing et de vishing pour obtenir un contenu hautement personnalisé et d’apparence naturelle, désormais plus difficile que jamais à détecter.
L’IA retire les deux barrières historiques du phishing : le niveau linguistique et le temps nécessaire pour produire les campagnes.
Résultat : les fautes d’orthographe ne sont plus un signe fiable d’arnaque.
Smishing : quand le danger arrive par SMS
Le smishing est un type d’attaque de phishing qui utilise des messages texte depuis un téléphone pour délivrer un message-appât. La victime est généralement invitée à cliquer sur un lien, appeler un numéro de téléphone ou contacter une adresse email fournie par l’attaquant.
La brièveté des SMS, leur caractère crédible, la difficulté à identifier facilement leur auteur et le phénomène assez récent du smishing tendent plus à attiser la curiosité qu’à susciter la méfiance. Par ailleurs, il est plus difficile d’identifier un site Internet malveillant sur un téléphone mobile après avoir cliqué sur un lien reçu par SMS.
Un colis en attente, une alerte bancaire, un avis d’infraction : les thèmes varient, mais le mécanisme reste identique. Pour tout savoir sur ce vecteur, notre article phishing sms smishing comment se proteger couvre les cas les plus fréquents en France.
Vishing : l’arnaque par téléphone
Les attaques de vishing ont augmenté de 442 % entre le premier et le second semestre 2024.
Ce chiffre est vertigineux.
Les attaquants utilisent la voix sur IP (VoIP) pour passer des appels automatisés à un grand nombre de personnes, parfois avec des synthétiseurs texte-voix, prétendant à une activité frauduleuse sur les comptes des victimes. Ils usurpent le numéro d’appel pour qu’il semble venir d’une banque ou d’une institution légitime. La victime est ensuite invitée à saisir des informations sensibles ou mise en relation avec une personne qui utilise des techniques d’ingénierie sociale.
Grâce à l’IA et aux technologies de synthèse vocale, les escrocs peuvent imiter la voix d’un proche, d’un collègue ou d’un dirigeant d’entreprise pour soutirer des informations ou de l’argent.
Un cas concret illustre l’ampleur du risque :
en 2024, un employé d’une société asiatique a transféré 25 millions de dollars à des escrocs après une visioconférence deepfake où il pensait parler à ses collègues.
Spear phishing et attaques ultra-ciblées
Le spear phishing désigne des attaques hautement ciblées. Le message fait référence à des projets réels, des collègues ou des détails issus des réseaux sociaux de la victime pour sembler légitime.
Avec le spear phishing, l’attaquant doit disposer d’informations préalables sur sa cible, comme son nom complet, son numéro de téléphone et son adresse. Ces attaques peuvent prendre la forme d’emails, de SMS ou d’appels. La victime est facilement convaincue car l’attaquant détient des informations sur elle qui le font paraître légitime et digne de confiance.
On assiste à la montée en puissance du spear phishing : des attaques ultra-ciblées, construites à partir d’informations professionnelles accessibles en ligne.
Les données publiées sur LinkedIn, les informations d’annuaires d’entreprises, les réseaux sociaux : tout est exploitable pour personnaliser une attaque.
Conséquences d’une attaque réussie : de la perte bancaire à l’usurpation d’identité
Cliquer sur le mauvais lien peut déclencher une cascade de problèmes.
Ces messages frauduleux visent à voler vos données personnelles comme votre identité, vos mots de passe, vos coordonnées de carte bancaire, ou encore à vous faire installer un virus.
À court terme, le vol de données bancaires est la conséquence la plus immédiate.
S’il détient certaines de vos informations bancaires et que des débits ont eu lieu sur votre compte, vous devez contacter votre banque afin de faire opposition, de contester les opérations effectuées et d’obtenir un remboursement.
Mais les dommages ne s’arrêtent pas là.
Les attaquants utilisent des comptes et mots de passe volés lors d’une précédente attaque ou achetés sur le Dark Web pour pénétrer de façon légitime dans le système d’information d’une organisation et y commettre des actes illégitimes. D’où l’importance de suivre avec précision les affaires de vols de données : même si les victimes directes sont des organisations tierces, ces dernières peuvent posséder des données d’autres organisations, alors concernées indirectement.
Pour les entreprises, les dommages collatéraux sont souvent dévastateurs.
En France, 61 % des entreprises déclarent avoir subi des conséquences commerciales telles que des baisses de production ou des retards de livraison suite à une attaque par phishing.
En 2024, des violations de données personnelles massives ont touché de nombreuses organisations (Viamedis-Almerys, France Travail, Fédération Française de Football, Free…). Ces fuites de données suscitent de fortes inquiétudes sur l’utilisation qui pourrait en être faite (hameçonnage, piratage de compte, tentative d’escroquerie ou d’usurpation d’identité).
Sans oublier le ransomware.
Les logiciels malveillants se cachent désormais dans des fichiers PDF ou ZIP, hébergés sur des plateformes légitimes pour échapper aux radars. Certains chevaux de Troie s’activent dès l’ouverture, siphonnant les informations du poste ou injectant un ransomware dans les réseaux de l’entreprise.
Comment réagir si vous avez cliqué sur un lien de phishing ?
La panique est mauvaise conseillère. Si vous réalisez avoir mordu à l’hameçon, chaque seconde compte mais les bons réflexes, dans le bon ordre, permettent de limiter les dégâts.
Les mesures immédiates, dans l’ordre
La première mesure à prendre, et la plus importante, est de déconnecter immédiatement votre appareil d’internet. La meilleure façon de le faire est de débrancher le câble internet de votre ordinateur ou de votre portable.
Cette coupure stoppe la transmission de données et empêche l’installation de logiciels malveillants supplémentaires.
Ensuite, agissez sur vos accès.
Si vous avez communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis.
La réutilisation des mots de passe est précisément ce que les cybercriminels exploitent dans un second temps.
Faites opposition immédiatement : si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites immédiatement opposition auprès de votre organisme bancaire ou financier.
Lancez ensuite un scan antivirus complet de votre appareil avant de le reconnecter à internet.
Si l’incident concerne une messagerie ou un appareil professionnel,
vous devez informer le service informatique de l’entreprise ou de l’administration pour laquelle vous travaillez.
Ne tardez pas : dans un contexte d’entreprise, une compromission non signalée peut se propager à l’ensemble du réseau. Notre guide complet que faire apres avoir clique sur un lien de phishing détaille toutes les étapes d’urgence selon chaque scénario.
Signaler : les plateformes officielles françaises
Il existe plusieurs façons de signaler un mail ou SMS frauduleux aux services compétents : signaler le message à Signal Spam ou au 33700 pour les SMS, alerter l’entité dont l’identité est usurpée, signaler le site frauduleux de phishing à Phishing Initiative, informer les autorités. Dans tous les cas, veillez à conserver les preuves, et en particulier, le message d’hameçonnage reçu.
- Cybermalveillance.gouv.fr : la plateforme nationale pour obtenir des conseils personnalisés et contacter un professionnel référencé
- Signal Spam (signal-spam.fr) : pour signaler les emails frauduleux
- Le 33700 :
pour tout message suspect reçu par SMS ou MMS (service gratuit) - Phishing Initiative (phishing-initiative.fr) : pour signaler les URL frauduleuses et accélérer leur blocage dans les navigateurs
- Info Escroqueries :
contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits du lundi au vendredi de 9h à 18h30)
Si vous constatez des opérations frauduleuses réalisées avec votre carte bancaire, déposez plainte au commissariat de police ou à la brigade de gendarmerie, ou par écrit au procureur de la République du tribunal judiciaire dont vous dépendez, en fournissant toutes les preuves en votre possession.
Prévenir le phishing : protections techniques et bonnes pratiques
Les configurations à mettre en place
La défense technique commence par des actions simples.
Les bonnes pratiques semblent être connues et les règles de sécurité « basiques » appliquées par une majorité, avec 85 % des sondés déclarant faire des vérifications avant d’acheter ou de payer sur internet et 8 Français sur 10 qui indiquent faire régulièrement des mises à jour des appareils et applications sur leur PC.
C’est bien. Mais ça ne suffit plus.
Les campagnes de phishing modernes ciblent de plus en plus les systèmes d’authentification à deux facteurs (MFA), et pas seulement les mots de passe. Les attaquants utilisent des pages de connexion usurpées et des outils de relai en temps réel pour capturer à la fois les identifiants et les codes à usage unique.
Activer la double authentification reste indispensable, mais ne constitue plus une protection absolue.
Côté navigateur, les outils intégrés de Google Safe Browsing et des solutions équivalentes permettent d’être alerté avant d’accéder à un site signalé.
Si les signalements effectués sont reconnus comme étant du phishing, les navigateurs de Google (Chrome, Safari, Firefox…) et Microsoft (IE, Edge) affichent une page d’alerte à l’attention de l’internaute lorsqu’ils ouvrent la page.
Les bonnes pratiques au quotidien
La règle d’or, que l’on ne répétera jamais assez :
au moindre doute, il ne faut donner aucune information et ne cliquer sur aucun lien. Ils pourraient vous rediriger vers un site frauduleux. De même, si le mail suspect contient une pièce jointe, ne l’ouvrez pas, elle pourrait abriter un virus.
Quelques habitudes concrètes à installer :
- Toujours accéder à un site sensible (banque, impôts, santé) en tapant l’adresse directement dans le navigateur, jamais via un lien reçu par email ou SMS
- Vérifier l’adresse de l’expéditeur en entier, pas seulement le nom affiché
- Ne jamais communiquer un code reçu par SMS à une tierce personne, même si celle-ci semble légitime
- Ne jamais télécharger une application en dehors des sites ou magasins officiels
Sensibilisation : former son entourage et ses équipes
Le télétravail aggrave les risques : les employés à distance cliquent sur des emails malveillants trois fois plus souvent que ceux travaillant au bureau.
La frontière entre usage personnel et professionnel s’efface, ce qui multiplie les vecteurs d’attaque.
Des termes plus récents comme deepfake (27 %), rançongiciels (26 %) ou smishing (7 %) semblent moins bien connus des Français.
Former les personnes autour de soi, famille, collègues, parents âgés, sur ces nouvelles formes d’arnaque est devenu une responsabilité collective.
Au-delà des outils technologiques, la sensibilisation reste essentielle. Les formations immersives, avec mises en situation réalistes et simulations d’attaques, renforcent la vigilance des collaborateurs.
Pour les entreprises, le contexte est particulièrement tendu.
En 2025, 43 % des TPE-PME ont déjà été victimes d’hameçonnage. C’est un chiffre en nette augmentation, puisqu’elles étaient 24 % en 2024.
La sensibilisation n’est plus optionnelle, elle est une ligne de défense à part entière, aussi importante que l’antivirus ou le pare-feu.
Ressources à garder sous la main
Checklist de vérification rapide avant tout clic suspect
Face à un message douteux, posez-vous ces questions dans l’ordre :
- L’adresse de l’expéditeur correspond-elle exactement au domaine officiel ?
- Le message crée-t-il une urgence ou une peur pour vous pousser à agir vite ?
- L’URL affichée au survol du lien correspond-elle au site officiel de l’organisme ?
- On vous demande des identifiants, un mot de passe ou des informations bancaires ?
- La pièce jointe est-elle attendue et provient-elle d’un expéditeur connu ?
Un « oui » à l’une des trois dernières questions doit déclencher un arrêt immédiat. Contactez l’organisme par ses coordonnées officielles, jamais par celles fournies dans le message.
Plateformes de signalement officielles
En France, le dispositif public de lutte contre le phishing est structuré.
Que vous soyez professionnel ou particulier, vous trouverez sur la plateforme cybermalveillance.gouv.fr des conseils et serez guidés pour tenter d’identifier la nature de l’incident dont vous êtes victime.
Il est possible de signaler l’adresse d’un site d’hameçonnage sur Phishing-initiative.fr. Proposé par Orange Cyberdéfense, ce service vérifie instantanément si un site Internet suspect a déjà été signalé comme étant frauduleux ou non.
Pour les opérations bancaires frauduleuses,
signalez-les auprès de la plateforme Perceval du ministère de l’Intérieur.
Guides complémentaires pour approfondir
Ce panorama pose les bases. Pour chaque type de phishing, des guides dédiés permettent d’aller plus loin dans la compréhension et la protection :
- phishing par email signes qui ne trompent pas : les indices spécifiques à l’email, y compris ceux que même les utilisateurs expérimentés ratent
- Categories Tech