Vous avez reçu un message suspect ou vous avez cliqué sur un lien douteux ? La marche à suivre dépend entièrement de ce que vous avez fait après réception. Ce guide distingue deux cas : le phishing reçu sans interaction, et le phishing où vous avez saisi des informations. Dans les deux cas, chaque minute compte.
Ce que vous allez apprendre :
- Comment reconnaître un message de phishing avant d’agir
- Que faire si vous n’avez pas cliqué (signalement, suppression)
- La procédure d’urgence si vous avez saisi des données
- Comment signaler sur PHAROS, la plateforme officielle française
- Ce que ces démarches ne permettent pas de récupérer
Comment reconnaître un phishing avant toute chose
Un phishing se présente sous la forme d’un e-mail, d’un SMS ou d’un message sur les réseaux sociaux qui imite une organisation connue : votre banque, La Poste, Ameli, Amazon, les impôts… L’objectif est toujours le même : vous inciter à cliquer sur un lien et à saisir des informations sensibles sur un faux site.
Les signes les plus fréquents : une adresse d’expéditeur légèrement modifiée (ex. [email protected]), un message qui crée une urgence artificielle (« Votre compte sera suspendu dans 24h »), un lien qui ne correspond pas au domaine officiel de l’organisation.
Sur mobile, appuyez longuement sur le lien sans ouvrir pour afficher l’URL réelle. Sur ordinateur, passez la souris dessus sans cliquer.
Cas 1 — Vous avez reçu le message mais vous n’avez pas cliqué
C’est le scénario le moins grave. Votre appareil n’a pas été exposé, et aucune donnée n’a été transmise. Vous avez simplement ouvert (ou lu) un message frauduleux.
Étape 1 : Signalez le message avant de le supprimer
Le signalement sert à protéger les autres utilisateurs. En France, deux canaux officiels existent :
- Sur votre messagerie e-mail : utilisez le bouton « Signaler comme spam » ou « Signaler comme phishing » selon votre service (Gmail, Outlook, Orange, Free…). Cela alerte le filtre anti-spam de votre fournisseur.
- Sur PHAROS : rendez-vous sur la plateforme de signalement du gouvernement. Sélectionnez « Escroqueries et faux ordres de virement » ou « Phishing ». Le formulaire prend moins de 3 minutes. Ce signalement alimente les bases de l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC).
- Par SMS suspect : transférez le message au 33700, le numéro national de signalement des SMS frauduleux.
Étape 2 : Supprimez le message
Une fois signalé, supprimez le message de votre boîte de réception et videz la corbeille. Inutile de le conserver.
Étape 3 : Aucune analyse supplémentaire n’est nécessaire
Ouvrir un e-mail de phishing sans cliquer sur un lien ni télécharger de pièce jointe ne compromet pas votre appareil dans la grande majorité des cas. Les navigateurs et clients mail modernes neutralisent les scripts embarqués dans le corps du message. Si vous avez ouvert une pièce jointe en revanche, passez au cas 2.
Cas 2 : Vous avez cliqué et saisi des informations : procédure d’urgence
C’est la situation qui nécessite d’agir vite et dans l’ordre. Chaque minute supplémentaire augmente le risque que vos données soient exploitées.
Étape 1 : Déconnectez-vous du réseau immédiatement
Si vous suspectez qu’un logiciel malveillant a été téléchargé (pièce jointe ouverte, installation déclenchée), coupez votre connexion Wi-Fi ou réseau mobile pour limiter toute transmission de données depuis votre appareil.
Étape 2 : Changez vos mots de passe sans attendre
Commencez par le compte visé par le phishing, puis par votre messagerie principale (elle permet de réinitialiser tous vos autres comptes). Ensuite, changez les mots de passe de vos comptes sensibles : banque en ligne, boutiques e-commerce, réseaux sociaux.
Utilisez un mot de passe unique et long pour chaque service. Un gestionnaire de mots de passe vous évitera de devoir tous les mémoriser.
Étape 3 : Activez la double authentification (2FA)
Sur chaque compte critique, activez la vérification en deux étapes si ce n’est pas encore fait. Même si un attaquant dispose de votre mot de passe, il ne pourra pas se connecter sans le second facteur (code SMS, application d’authentification).
Étape 4 : Contactez votre banque si des données bancaires ont été saisies
Si vous avez entré un numéro de carte bancaire, un identifiant de banque en ligne ou un code reçu par SMS sur un faux site, appelez immédiatement le numéro d’opposition de votre banque. Demandez le blocage de la carte concernée et signalez l’incident comme une tentative de fraude. La plupart des banques disposent d’une ligne disponible 24h/24.
Conservez une trace écrite de votre signalement (heure, numéro appelé, référence du dossier).
Étape 5 : Signalez sur PHAROS
Rendez-vous sur internet-signalement.gouv.fr. Ce signalement permet aux autorités de faire retirer le site frauduleux et d’alerter d’autres utilisateurs. Notez l’URL du faux site avant qu’il soit inaccessible, elle sera utile dans le formulaire.
Étape 6 : Déposez plainte si nécessaire
Si vous avez subi un préjudice financier (virement effectué, achat frauduleux), déposez plainte auprès de votre commissariat ou gendarmerie, ou directement en ligne sur pre-plainte-en-ligne.gouv.fr. Conservez tous les éléments : capture d’écran du message, URL du faux site, relevés bancaires.
Étape 7 : Analysez votre appareil
Si une pièce jointe a été ouverte ou un fichier téléchargé, lancez une analyse complète avec un antivirus à jour. Si vous n’en avez pas, Windows Defender (intégré à Windows 10 et 11) peut être suffisant pour une première analyse, consultez notre article sur l’utilité d’un antivirus avec Windows 11 pour aller plus loin. Pour une protection renforcée, un outil comme Bitdefender propose une analyse comportementale plus approfondie.
Ce que ces démarches ne permettent pas de faire
Agir vite réduit les risques, mais certaines conséquences ne sont pas réversibles.
- Des données déjà transmises ne peuvent pas être récupérées. Une fois vos informations sur les serveurs d’un attaquant, aucune démarche ne les efface.
- Le signalement PHAROS ne garantit pas le retrait immédiat du faux site. Le traitement prend du temps, et le site peut rester actif plusieurs heures ou jours.
- Changer votre mot de passe ne suffit pas si votre messagerie est compromise. Si l’attaquant a accès à votre e-mail, il peut intercepter vos liens de réinitialisation. Commencez donc toujours par sécuriser la messagerie en priorité.
- Un antivirus ne détecte pas toutes les menaces. Certains logiciels malveillants récents passent les analyses initiales. Une surveillance des accès à vos comptes dans les semaines suivantes reste nécessaire.
Pour qui ce guide est-il utile ?
Ce guide s’adresse avant tout aux e-acheteurs : personnes qui achètent régulièrement en ligne, reçoivent de nombreuses notifications de livraison (La Poste, Colissimo, Chronopost) et sont donc des cibles privilégiées des campagnes de phishing imitant ces services.
Il est également pertinent pour les seniors qui gèrent leur espace Ameli ou leurs impôts en ligne, et pour les télétravailleurs qui reçoivent des volumes importants d’e-mails professionnels et peuvent moins facilement identifier un message frauduleux parmi d’autres.
Si vous utilisez un VPN, sachez qu’il ne protège pas contre le phishing, il chiffre votre connexion mais n’empêche pas un faux site d’afficher un formulaire. Consultez notre page sur NordVPN pour comprendre ce qu’un VPN protège réellement.
La FAQ du Phishing
Est-ce que simplement ouvrir un e-mail de phishing peut infecter mon ordinateur ?
Dans la grande majorité des cas, non. Ouvrir un e-mail sans cliquer sur un lien ni télécharger de pièce jointe ne compromet pas votre appareil. Les clients mail modernes (Gmail, Outlook) isolent le contenu potentiellement dangereux. Le risque réel commence dès que vous interagissez avec le message.
Comment signaler un phishing reçu par SMS en France ?
Transférez le SMS au 33700, le numéro officiel géré par les opérateurs français en partenariat avec les forces de l’ordre. Vous pouvez également signaler le numéro expéditeur sur internet-signalement.gouv.fr. Ces deux actions sont complémentaires.
Peut-on récupérer l’argent volé après un phishing ?
C’est possible dans certains cas. Si vous signalez rapidement la fraude à votre banque et que le virement n’est pas encore exécuté, un blocage peut être demandé. Pour les paiements par carte déjà effectués, une procédure de remboursement existe via votre banque (chargeback), mais elle n’est pas garantie. Plus vous agissez vite, plus les chances sont élevées.
Faut-il réinstaller son système après avoir cliqué sur un phishing ?
Pas systématiquement. Si vous n’avez fait que saisir des informations sur un faux site (sans télécharger de fichier ni lancer d’installation), une analyse antivirus et le changement de mots de passe suffisent généralement. La réinstallation complète du système est à envisager uniquement si une infection est confirmée par l’analyse ou si des comportements anormaux persistent sur votre appareil.
Est-ce que le signalement PHAROS sert vraiment à quelque chose ?
Oui, concrètement. Les signalements PHAROS alimentent les enquêtes de l’OCLCTIC et permettent le retrait de sites frauduleux via des demandes aux hébergeurs. Ils servent aussi à identifier les campagnes de phishing à grande échelle. Un seul signalement peut paraître isolé, mais agrégé avec d’autres, il déclenche des procédures judiciaires.
Mon mot de passe a été volé : comment savoir si mes autres comptes sont compromis ?
Consultez le site haveibeenpwned.com, il référence les bases de données volées et vous indique si votre adresse e-mail y figure. Vérifiez également dans votre messagerie si des connexions inhabituelles ont eu lieu (section « Activité du compte » sur Gmail ou Outlook). Changez les mots de passe de tous les comptes qui utilisaient le même mot de passe que celui compromis.
