Emails, SMS, faux sites : apprenez à reconnaître les tentatives de phishing et à ne pas transmettre vos identifiants aux mauvaises mains.
Une campagne de phishing est une tentative d’escroquerie envoyée en masse par email, SMS ou faux site pour vous pousser à communiquer vos identifiants, vos coordonnées bancaires ou vos données personnelles. Ces messages imitent des organismes connus : banques, services publics, opérateurs téléphoniques. Les points clés à retenir : Qu’est-ce qu’une campagne de phishing exactement […]
Vous avez reçu un message suspect ou vous avez cliqué sur un lien douteux ? La marche à suivre dépend entièrement de ce que vous avez fait après réception. Ce guide distingue deux cas : le phishing reçu sans interaction, et le phishing où vous avez saisi des informations. Dans les deux cas, chaque minute […]
Chaque mois, retrouvez notre sélection des meilleurs outils pour sécuriser votre présence en ligne !
Une protection complète pour tous vos appareils
DécouvrirUne solution antivirus complète pour se protéger au quotidien
DécouvrirLe phishing est la technique d'attaque la plus répandue dans la cybercriminalité.
Son principe : usurper l'identité d'un expéditeur de confiance pour inciter la victime à divulguer ses identifiants, ses coordonnées bancaires ou à installer un logiciel malveillant.
L'email reste le vecteur principal, mais les variantes se multiplient.
Le smishing (SMS) exploite la confiance accordée aux messages texte et l'impossibilité de voir l'URL complète sur mobile avant de cliquer.
Le vishing (téléphone) met en scène un faux conseiller bancaire, un faux support technique ou une fausse autorité administrative.
Le quishing (QR code) redirige vers un site malveillant via un code scanné dans un lieu public ou dans un document.
Le spear phishing est une attaque ciblée qui personnalise le message avec des informations sur la victime pour la rendre plus crédible.
Les fautes d'orthographe, le ton approximatif et les adresses email suspectes sont de moins en moins fiables comme indicateurs.
Les outils d'intelligence artificielle générative permettent de produire des emails de phishing parfaitement rédigés en toutes langues.
Des kits de phishing clé en main permettent à des attaquants sans compétence technique de lancer des campagnes ciblées.
Un site avec cadenas HTTPS n'est pas nécessairement sécurisé : le certificat TLS garantit le chiffrement du transport, pas la légitimité du site.
L'adresse d'affichage (nom visible) peut être falsifiée librement.
Vérifiez l'adresse email technique réelle de l'expéditeur en affichant les en-têtes complets du message.
Une prétendue notification de votre banque envoyée depuis un domaine en @gmail.com ou @outlook.com est évidemment frauduleuse.
Pour les domaines plus subtils (paypa1.com au lieu de paypal.com), une attention particulière aux caractères similaires est nécessaire.
Survolez le lien sans cliquer (hover) pour voir l'URL réelle dans la barre de statut.
Sur mobile, maintenez le doigt appuyé pour afficher un aperçu de l'URL.
Copiez l'URL suspecte dans VirusTotal ou urlscan.io pour l'analyser avant d'y accéder.
En cas de doute sur une notification de compte, accédez directement au service en tapant manuellement l'adresse dans votre navigateur plutôt qu'en cliquant sur le lien.
Si vous avez simplement cliqué sans rien saisir, lancez un scan antimalware immédiatement.
Si vous avez saisi des identifiants, changez votre mot de passe immédiatement depuis un appareil sain, activez le 2FA si ce n'est pas déjà fait, et vérifiez si d'autres comptes utilisant le même mot de passe sont exposés.
Si des coordonnées bancaires ont été saisies, contactez votre banque sans délai et bloquez votre carte.
Voir notre page sur le piratage de messagerie si votre boîte email est impliquée.
