Une campagne de phishing est une tentative d’escroquerie envoyée en masse par email, SMS ou faux site pour vous pousser à communiquer vos identifiants, vos coordonnées bancaires ou vos données personnelles. Ces messages imitent des organismes connus : banques, services publics, opérateurs téléphoniques.
Les points clés à retenir :
- Le phishing joue toujours sur l’urgence ou la peur
- L’expéditeur peut sembler légitime, mais l’adresse email révèle souvent la supercherie
- Ne cliquez jamais sur un lien reçu par email ou SMS sans vérifier sa destination
- En cas de doute, contactez directement l’organisme concerné
Qu’est-ce qu’une campagne de phishing exactement ?
Une campagne de phishing, c’est un envoi massif de messages frauduleux ciblant des milliers, parfois des millions de personnes simultanément. Les escrocs utilisent des outils automatisés pour diffuser ces messages à grande échelle, en espérant que quelques pourcents des destinataires mordent à l’hameçon.
Contrairement à une arnaque ciblée, la campagne de phishing ne vous vise pas personnellement. Elle est conçue pour toucher le plus grand nombre, avec un message générique mais suffisamment crédible pour tromper.
Comment reconnaître un message de phishing ?
Plusieurs indices permettent d’identifier un message frauduleux, même quand il semble convaincant.
Un expéditeur est suspect
L’adresse email affichée peut sembler officielle, mais regardez le domaine réel : [email protected] n’est pas votre assurance maladie car le vrai domaine des emails est : @assurance-maladie.fr).
Note : Sur mobile, appuyez sur le nom de l’expéditeur pour voir l’adresse complète.
Un message pour créer une urgence artificielle
« Votre compte sera suspendu dans 24h », « Action requise immédiatement », « Votre colis est bloqué »… Ce type de formulation cherche à vous faire agir sans réfléchir.
Un lien qui ne correspond pas à l’organisme cité
Avant de cliquer, survolez le lien avec votre souris (sur ordinateur) pour voir l’URL réelle. Si elle ne correspond pas au site officiel, ne cliquez pas.
Des fautes ou un style inhabituel
Les campagnes de phishing contiennent parfois des erreurs de français, des tournures maladroites ou une mise en page approximative.
Attention, les hackers utilisent des stratégies et messages de plus en plus sophistiqués !
Les formes les plus courantes de campagnes de phishing
Le phishing ne se limite pas aux emails. Les escrocs utilisent plusieurs canaux :
- Email : le plus répandu. Imite des banques, des services publics (Ameli, impôts, La Poste), des plateformes de streaming ou des e-commerçants
- SMS (smishing) : faux avis de livraison, fausse alerte bancaire, faux remboursement. Le lien renvoie vers un site frauduleux
- Appel téléphonique (vishing) : un interlocuteur se présente comme un conseiller bancaire ou un agent gouvernemental pour obtenir vos informations
- Faux sites web : des copies quasi parfaites de sites officiels, accessibles via un lien dans un email ou un SMS
Que faire si vous avez reçu une campagne de phishing ?
- Ne cliquez sur aucun lien et n’ouvrez aucune pièce jointe
- Vérifiez directement sur le site officiel de l’organisme (tapez l’adresse vous-même dans le navigateur)
- Signalez le message sur signal-spam.fr pour les emails, ou au 33700 pour les SMS frauduleux
- Supprimez le message sans y répondre
- Alertez votre entourage si la campagne semble ciblée sur un organisme précis (ex : votre banque).
Si vous avez cliqué sur un lien ou saisi des informations, consultez notre guide sur comment se débarrasser d’un phishing pour savoir comment réagir rapidement.
Que faire si vous avez déjà cliqué ?
Agir vite est essentiel. Voici les premières mesures à prendre :
- Changez immédiatement le mot de passe du compte concerné
- Activez la double authentification si ce n’est pas déjà fait
- Contactez votre banque si vous avez saisi des coordonnées bancaires (ils peuvent bloquer les transactions suspectes)
- Vérifiez si votre email a été compromis via notre guide comment savoir si son email a été piraté
- Déposez une plainte auprès de la police ou de la gendarmerie si vous avez subi un préjudice
Ce que la vigilance ne permet pas toujours d’éviter
Même avec de bonnes pratiques, certaines campagnes sont difficiles à détecter :
- Les attaques de spear phishing (ciblées) utilisent des informations personnelles pour paraître totalement crédibles
- Certains faux sites sont des copies parfaites du site officiel
- Les liens peuvent être masqués derrière des raccourcisseurs d’URL légitimes
- Un logiciel malveillant déjà présent sur votre appareil peut rediriger vos clics sans que vous le sachiez
Aucun utilisateur n’est à l’abri à 100 %. La vigilance réduit le risque, elle ne l’élimine pas.
Comment savoir si un site est frauduleux ?
Vérifiez d’abord l’URL dans la barre d’adresse, un faux site aura un domaine légèrement différent du site officiel. Un cadenas HTTPS ne garantit pas que le site est légitime, il garantit seulement que la connexion est chiffrée. Recherchez le nom de l’organisme directement sur Google plutôt que de cliquer sur un lien reçu par email.
Est-ce que mon antivirus me protège contre le phishing ?
Partiellement. Certains antivirus intègrent un module de navigation sécurisée qui bloque les sites de phishing connus. Mais ces listes ne sont jamais exhaustives, et les nouvelles campagnes échappent souvent aux filtres pendant plusieurs heures. La vérification manuelle reste indispensable.
Peut-on signaler une campagne de phishing en France ?
Oui. Pour les emails : signal-spam.fr. Pour les SMS : transférez le message au 33700. Vous pouvez aussi signaler un site frauduleux sur phishing-initiative.fr. Ces signalements aident à bloquer les campagnes plus rapidement pour tous les utilisateurs.
Faut-il porter plainte si on a été victime de phishing ?
Oui, dès lors que vous avez subi un préjudice financier ou que vos données ont été volées. La plainte peut être déposée en ligne sur service-public.fr ou directement dans un commissariat. Conservez tous les éléments : email, SMS, captures d’écran, relevés bancaires.
