Arnaques — Numérique
Phishing : la méthode en 5 vérifications
Le phishing n'essaie pas de pirater votre appareil : il vous convainc de donner vous-même vos identifiants ou votre carte bancaire, sur un faux site imitant un vrai. Les campagnes sont envoyées par millions ; il suffit d'une routine de cinq vérifications pour démasquer l'immense majorité des tentatives.
L'essentiel
- Ne jugez jamais un message à son apparence : logos, mise en page et français correct s'imitent parfaitement. Jugez l'adresse, le lien et la demande.
- N'ouvrez jamais le lien reçu pour vérifier une information : tapez vous-même l'adresse officielle ou passez par l'application.
- Transférez les SMS douteux au 33700, les e-mails à Signal Spam, et faites un diagnostic sur cybermalveillance.gouv.fr en cas de doute.
Les 5 vérifications, dans l'ordre
- L'expéditeur réel. Le nom affiché (« Ameli », « La Poste ») se falsifie librement : affichez l'adresse complète en touchant ou survolant le nom. Une vraie caisse d'assurance maladie n'écrit pas depuis une adresse en @gmail.com ou un domaine exotique. Par SMS, méfiance égale : un numéro court ou un nom d'expéditeur officiel peut être usurpé, la vérification se fera aux étapes suivantes.
- Le lien, avant de cliquer. Survolez-le (ordinateur) ou restez appuyé dessus sans l'ouvrir (téléphone) pour lire l'URL réelle. Ce qui compte est la fin du nom de domaine, juste avant le premier « / » : ameli.fr est légitime, ameli-remboursement.info ou ameli.fr.suivi-dossier.net ne le sont pas. Les raccourcisseurs d'URL dans un message « officiel » sont un signal d'alerte en soi.
- Le ton d'urgence. « Sous 24 h », « dernier rappel avant suspension », « votre colis sera renvoyé » : l'urgence est fabriquée pour court-circuiter votre réflexion. Aucun organisme sérieux ne ferme un compte ou n'annule un droit en quelques heures par simple e-mail.
- La pièce jointe. Une « facture », une « amende » ou un « relevé » non sollicité, surtout en .zip, .html ou avec macros, ne s'ouvre pas. Les vrais documents officiels se récupèrent en vous connectant vous-même à votre espace personnel.
- Le canal de confirmation. En cas de doute résiduel, vérifiez par un canal que vous choisissez : l'application officielle, l'adresse tapée à la main, ou le numéro de téléphone figurant sur vos documents. Jamais le lien, le numéro ou l'adresse de réponse contenus dans le message lui-même.
Les scénarios français les plus courants
- Le faux colis (Colissimo, Chronopost, Mondial Relay) : « frais de douane » ou « frais de réexpédition » de 1 à 3 €. L'objectif n'est pas la petite somme, c'est votre numéro de carte — parfois suivi d'un appel d'un « conseiller anti-fraude ».
- Le compte formation (CPF) : « vos droits expirent, utilisez votre solde ». Les droits CPF n'expirent pas ainsi, et l'organisme ne démarche ni par SMS ni par téléphone.
- Les impôts : faux remboursement à percevoir ou fausse « anomalie » sur votre dossier, avec un lien vers un clone du site officiel. L'administration fiscale notifie dans votre espace sur impots.gouv.fr, pas par SMS avec lien.
- Ameli : nouvelle carte Vitale à commander, mise à jour de dossier. Même mécanique : faux site, saisie de coordonnées bancaires.
- La banque : « opération suspecte détectée, cliquez pour vérifier ». C'est souvent la première étape de l'arnaque au faux conseiller décrite dans notre dossier arnaques en ligne.
J'ai cliqué, ou pire : que faire
Cliqué sans rien saisir : fermez la page ; sur un appareil à jour, le risque est faible. Identifiants saisis : changez immédiatement le mot de passe du compte concerné — et de votre e-mail s'il partage le même — puis activez la double authentification. Un gestionnaire de mots de passe rend d'ailleurs ce scénario moins grave : mot de passe unique par site, et remplissage qui refuse les faux domaines. Carte bancaire saisie : opposition immédiate via votre banque, contestation écrite des débits, et dépôt de plainte. Conservez le message frauduleux comme preuve.
Signaler, pour vous et pour les autres
Chaque signalement accélère le blocage des sites et numéros frauduleux : SMS et appels — transférez le SMS au 33700 (service gratuit anti-spam) ; e-mails — signalez à Signal Spam et à Phishing Initiative, qui fait fermer les faux sites ; contenus illicites — plateforme Pharos (internet-signalement.gouv.fr) ; litige avec un professionnel — SignalConso ; diagnostic et assistance victime — cybermalveillance.gouv.fr, qui oriente aussi vers le dépôt de plainte. Pensez enfin à prévenir l'organisme usurpé et vos proches les plus exposés : le phishing arrive surtout sur téléphone, d'où l'intérêt des réglages décrits dans notre guide pour sécuriser son smartphone.
Questions fréquentes
Le cadenas HTTPS garantit-il que le site est légitime ?
Non. Le cadenas signifie seulement que la connexion est chiffrée — la plupart des sites de phishing en ont un aujourd'hui. Seul le nom de domaine exact, lu attentivement, indique à qui vous parlez.
Pourquoi le message contient-il mes vraies données (nom, adresse) ?
Parce qu'elles proviennent probablement d'une fuite de données antérieure chez un commerçant ou un service. Un message personnalisé n'est donc pas une preuve de légitimité — c'est même un ingrédient classique du phishing ciblé.
Un antivirus bloque-t-il le phishing ?
Partiellement : les filtres des messageries et navigateurs interceptent les campagnes connues, mais les nouvelles passent pendant plusieurs heures ou jours. Voir notre guide antivirus — la routine des 5 vérifications reste votre vraie protection.