Attaque Ingénierie sociale Email Mis à jour · Avril 2026

Phishing

Aussi appelé : hameçonnage · filoutage · phishing (anglais)
En une phrase — Le phishing est une technique de cyberattaque qui consiste à se faire passer pour une entité de confiance (banque, administration, collègue) afin de manipuler une victime et lui soutirer des identifiants, des données bancaires ou d'autres informations sensibles.
Catégorie
Ingénierie sociale
Vecteur principal
Email (87%), SMS, téléphone, QR code
Cible
Particuliers et organisations
Fréquence FR
1re cybermenace déclarée
Référence
ANSSI · cybermalveillance.gouv.fr

01 — DéfinitionQu'est-ce que le phishing ?

Le phishing, traduit officiellement en français par hameçonnage depuis 2021, désigne une technique d'attaque informatique reposant sur l'ingénierie sociale. Un attaquant envoie à sa victime un message qui imite une organisation de confiance — banque, opérateur téléphonique, administration, service de livraison, collègue de travail — dans le but de la pousser à communiquer des informations confidentielles ou à effectuer une action compromettante.

Contrairement aux attaques techniques qui exploitent une faille logicielle, le phishing exploite une faille humaine : la confiance, l'urgence, la peur, la curiosité ou le respect de l'autorité. C'est ce qui en fait l'attaque la plus rentable et la plus répandue, et la première porte d'entrée de la plupart des incidents majeurs (ransomwares, fuites de données, fraudes au président).

Selon le rapport annuel de cybermalveillance.gouv.fr, l'hameçonnage reste la première menace déclarée en France, aussi bien par les particuliers que par les entreprises et les collectivités.

02 — MécaniqueComment se déroule une attaque

Une campagne de phishing se décompose classiquement en cinq étapes que l'attaquant exécute en quelques minutes à quelques semaines selon la sophistication de l'attaque.

1. Préparation

L'attaquant choisit une cible (ou une population), une marque à usurper et prépare son infrastructure : achat d'un nom de domaine proche du domaine légitime (typosquatting), mise en ligne d'une fausse page de connexion, configuration d'un serveur d'envoi d'emails.

2. Amorçage

Un message est envoyé à la victime. Il imite visuellement et stylistiquement la marque usurpée : logo, charte graphique, ton, signature. Le message crée un déclencheur émotionnel — urgence (« votre compte sera suspendu »), peur (« activité suspecte détectée »), opportunité (« vous avez gagné »), autorité (« de la part du PDG »).

3. Redirection

La victime clique sur un lien qui la mène vers une page web frauduleuse, copie pixel-parfaite du site légitime. L'URL est souvent déguisée : elle peut utiliser des caractères visuellement proches (remplacer un l par un I majuscule), des sous-domaines trompeurs (amazon.com.verify-login.io), ou des URL raccourcies.

4. Capture

La victime saisit ses identifiants ou ses données bancaires. Ces informations sont transmises en temps réel à l'attaquant, qui peut alors les utiliser immédiatement. Les kits de phishing modernes contournent même l'authentification multifacteur en capturant les codes OTP via des attaques dites adversary-in-the-middle.

5. Exploitation

Les identifiants sont revendus sur des marchés cybercriminels, utilisés pour du credential stuffing, ou exploités directement pour commettre une fraude, exfiltrer des données, ou servir de point d'entrée à un ransomware.

03 — VariantesLes différentes formes de phishing

Le phishing s'est diversifié au fil des années. Chacune de ses variantes cible un contexte ou un canal différent.

  • Phishing de masse — envoi d'un même message à des milliers ou millions de destinataires, sans personnalisation. Taux de clic faible mais volume compensateur.
  • Spear phishing — attaque ciblée, personnalisée après recherche sur la victime (réseaux sociaux, site entreprise). Bien plus crédible et efficace.
  • Whaling — spear phishing visant spécifiquement les dirigeants (big fish), souvent dans le cadre de fraudes financières.
  • Smishing — phishing par SMS (« Votre colis est bloqué, cliquez ici », « Mise à jour de votre carte Vitale »).
  • Vishing — phishing par appel téléphonique (voice phishing), souvent combiné à une usurpation de numéro.
  • Quishing — phishing par QR code, en forte progression depuis 2023.
  • BEC / FOVI — fraude au président ou Business Email Compromise : l'attaquant se fait passer pour un dirigeant pour ordonner un virement.
  • Clone phishing — reprise exacte d'un email légitime reçu précédemment, avec les liens remplacés par des URLs malveillantes.
  • Pharming — redirection invisible via une altération DNS plutôt que par un lien à cliquer.

04 — DétectionComment reconnaître un email de phishing

Malgré la sophistication croissante des attaques, la plupart des emails de phishing conservent des signaux reconnaissables. Voici les sept indices qui doivent déclencher votre vigilance.

  1. Adresse d'expéditeur incohérente — le nom affiché peut être « Service Client Ameli », mais l'adresse réelle est noreply@ameIi-support.xyz. Passez toujours la souris sur le nom pour voir l'adresse complète.
  2. Urgence artificielle — « agir sous 24h », « compte bloqué immédiatement », « dernière notification ». Toute pression temporelle inhabituelle est suspecte.
  3. Demande inhabituelle — une entité légitime ne vous demande jamais vos identifiants, numéro de carte ou pièce d'identité par email.
  4. Lien trompeur — le texte affiché et l'URL réelle diffèrent. Passez la souris pour révéler la vraie destination ; si elle ne correspond pas au domaine légitime, ne cliquez pas.
  5. Pièce jointe inattendue — notamment les formats .zip, .iso, .htm, .docm ou un .pdf demandant l'activation de macros.
  6. Tournures étranges — formulations maladroites, traductions approximatives, tutoiement inhabituel d'une administration. L'IA a réduit ce signal, mais il reste présent.
  7. Incohérence contextuelle — un remboursement inattendu, un colis que vous n'avez pas commandé, un collègue qui vous écrit alors qu'il vient de vous croiser : doutez.

05 — ExemplesCas récents en France

Faux SMS de remboursement — Ameli

Courant 2024-2026, des vagues de SMS annoncent un « remboursement de X euros en attente » avec un lien vers une fausse page Ameli. La victime saisit ses identifiants puis ses coordonnées bancaires prétendument pour recevoir le virement. Elle finit débitée.

Fraude au président — PME industrielle

Une comptable reçoit un email semblant venir du PDG, en déplacement, lui demandant d'effectuer un virement urgent et confidentiel à un nouveau fournisseur. L'adresse d'envoi est proche mais subtilement différente. Plusieurs dizaines de milliers d'euros partent vers un compte à l'étranger, non récupérables.

Fuite de credentials via faux Microsoft 365

Un email prétendument Microsoft informe qu'une pièce jointe SharePoint attend validation. Le lien mène vers une page de connexion Microsoft parfaitement copiée. L'identifiant et le mot de passe saisis sont capturés et utilisés dans les minutes qui suivent pour accéder à la boîte email de la victime, d'où partiront de nouvelles attaques.

06 — DéfenseComment s'en protéger

La protection contre le phishing repose sur trois couches complémentaires : technique, humaine et organisationnelle. Aucune ne suffit seule.

Côté technique
  • Configurer correctement SPF, DKIM et DMARC pour empêcher l'usurpation de votre domaine.
  • Activer l'authentification multifacteur partout où c'est possible, idéalement avec des passkeys ou une clé FIDO2 plutôt qu'un SMS.
  • Déployer une passerelle email avec analyse d'URL en temps réel (time-of-click) et sandbox pour les pièces jointes.
  • Utiliser un gestionnaire de mots de passe : il refusera de remplir sur un faux domaine.
  • Maintenir navigateur, OS et antivirus à jour — certaines attaques exploitent aussi des failles post-clic.
Côté humain
  • Organiser des sessions de sensibilisation régulières, pas seulement annuelles.
  • Mener des simulations de phishing pour tester et mesurer la vigilance des équipes.
  • Instaurer une culture où signaler un email douteux est valorisé, même en cas d'erreur après un clic.
  • Former spécifiquement les fonctions exposées : direction, finance, RH, service client.
Côté organisationnel
  • Mettre en place une procédure de double validation pour tout virement inhabituel ou changement d'IBAN fournisseur.
  • Définir un canal clair de signalement (bouton « Signaler » dans Outlook/Gmail, adresse dédiée).
  • Documenter la procédure de réponse en cas de compromission : qui prévenir, dans quel ordre.
  • Exiger des fournisseurs critiques qu'ils aient eux-mêmes SPF/DKIM/DMARC configurés.

07 — RéactionQue faire si on est victime ?

Agir dans les premières minutes fait la différence entre une alerte sans conséquence et un incident majeur. Voici la marche à suivre.

  1. Déconnectez immédiatement l'appareil du réseau (Wi-Fi, Ethernet) si vous pensez avoir téléchargé ou lancé quelque chose.
  2. Depuis un autre appareil, changez le mot de passe de tous les comptes potentiellement exposés, en priorité votre email principal.
  3. Activez la MFA sur tous ces comptes, si ce n'était pas déjà fait.
  4. Vérifiez les paramètres des comptes compromis : règles de transfert d'email créées par l'attaquant, nouveau numéro de récupération, applications OAuth autorisées.
  5. Contactez votre banque si des informations bancaires étaient en jeu. Faites opposition sur la carte si besoin.
  6. Signalez l'attaque : Signal Spam, Pharos, et dans un cadre professionnel auprès de votre RSSI ou de cybermalveillance.gouv.fr.
  7. Déposez plainte en cas de préjudice. Une plainte permet le déclenchement d'une enquête et, dans certains cas, le remboursement par votre banque ou votre assurance.

09 — FAQQuestions fréquentes

Quelle est la différence entre phishing et spear phishing ?

Le phishing classique est une attaque de masse, envoyée sans personnalisation à des milliers de destinataires. Le spear phishing cible une personne ou une entreprise précise avec un message adapté, élaboré après recherche sur la victime (LinkedIn, site de l'entreprise, presse). Il est plus rare mais beaucoup plus efficace.

L'IA a-t-elle changé la donne ?

Oui. Les modèles génératifs permettent aux attaquants de produire des messages de phishing parfaitement rédigés, adaptés au ton et au contexte de la victime, dans n'importe quelle langue. Le signal « fautes d'orthographe » est devenu très peu fiable. La défense se déplace vers l'analyse technique (authentification du domaine, réputation des URLs, contexte) et la formation humaine basée sur le comportement plutôt que sur les seuls indices visuels.

Pourquoi ma MFA n'a-t-elle pas suffi ?

Les kits de phishing modernes de type adversary-in-the-middle interceptent le code MFA en temps réel via un proxy entre la victime et le vrai site. Seules les MFA résistantes au phishing — passkeys, clés FIDO2 matérielles — contrent ce type d'attaque, car le navigateur vérifie cryptographiquement le domaine.

Puis-je être remboursé par ma banque ?

En principe oui, la directive DSP2 l'impose pour les opérations non autorisées. La banque peut toutefois refuser en invoquant une négligence grave, notamment si vous avez validé vous-même des codes 3D Secure. La jurisprudence évolue en faveur des victimes : plusieurs arrêts de la Cour de cassation ont condamné des banques qui refusaient le remboursement trop rapidement.