Qu'est-ce que le phishing en 2026 ?

Le phishing est une technique de cyberattaque où un attaquant se fait passer pour une entité de confiance (banque, administration, employeur, collègue) afin de manipuler une victime et lui soutirer des identifiants, données bancaires ou autres informations sensibles. En 2026, le phishing reste le vecteur d'attaque numéro un, à l'origine de 60 à 80% des incidents cyber. Il s'est diversifié en plusieurs variantes selon le canal utilisé : email classique, SMS (smishing), appel téléphonique (vishing), QR code (quishing), réseaux sociaux. Les techniques modernes utilisent l'IA générative et les deepfakes pour créer des messages, voix et vidéos extrêmement crédibles, rendant la détection humaine de plus en plus difficile.

Comment reconnaître un email de phishing ?

Plusieurs signaux d'alerte permettent d'identifier un email de phishing. L'urgence artificielle ("votre compte sera fermé dans 24h"). Une adresse email d'expéditeur suspecte (vérifier en survolant le nom). Des fautes d'orthographe, formulations maladroites ou traductions automatiques. Une demande d'informations sensibles (identifiants, codes, scan pièce d'identité) — aucun organisme légitime ne les demande par email. Des liens dont l'URL réelle (visible au survol) diffère de ce qui est affiché. Un domaine ressemblant mais subtilement modifié (paypa1.com au lieu de paypal.com). Une salutation générique ("Cher client") au lieu de votre nom. Des pièces jointes inattendues, particulièrement .zip, .exe ou documents Office avec macros. En cas de doute, ne jamais cliquer sur les liens : aller directement sur le site officiel via le navigateur ou ses favoris.

Le MFA protège-t-il contre tous les phishings ?

Le MFA réduit drastiquement le risque mais ne protège pas contre tous les phishings modernes. Les kits Adversary-in-the-Middle (Evilginx, Tycoon 2FA, EvilProxy) capturent en temps réel le mot de passe ET le code MFA en se positionnant en proxy entre la victime et le vrai service. Le MFA par SMS est aussi vulnérable au SIM swapping. Pour une protection robuste contre le phishing, il faut privilégier les passkeys (FIDO2/WebAuthn) qui sont liées cryptographiquement au domaine légitime — elles ne fonctionnent pas sur un site frauduleux ressemblant. Les clés matérielles type YubiKey offrent la même garantie. La protection complète combine : passkeys/clés matérielles + sensibilisation continue + filtrage email avancé + EDR.

Que faire si on a cliqué sur un lien de phishing ?

Procédure d'urgence en plusieurs étapes. 1) Si vous avez seulement cliqué sans entrer d'identifiants : risque limité, vérifier l'absence de téléchargement automatique, scanner avec antivirus. 2) Si vous avez entré vos identifiants : changer immédiatement le mot de passe du service concerné depuis un autre appareil sain, et tous les services où vous l'auriez réutilisé. 3) Activer le MFA si pas déjà fait. 4) Si banque ou paiement : opposition immédiate sur cartes, contestation des transactions. 5) Si données personnelles : surveiller son identité numérique, vérifier haveibeenpwned.com. 6) Conserver les preuves : email, captures d'écran. 7) Signaler à Cybermalveillance.gouv.fr et déposer plainte. 8) En entreprise : prévenir immédiatement l'IT et le RSSI — la rapidité de réaction limite l'impact d'une compromission.

Guide complet du phishing 2026 — comprendre, détecter, se protéger

Vecteur d'attaque: Numéro 1 mondial — 60-80% des incidents cyber
Cadre légal France: Articles 313-1 (escroquerie) et 226-4-1 (usurpation) du Code pénal
Variantes: Phishing, smishing, vishing, quishing, BEC, spear phishing, whaling
Tendance 2026: IA générative + deepfakes voix/vidéo amplifient la crédibilité
Protection #1: Passkeys (FIDO2) + MFA par authenticator + sensibilisation
Aide aux victimes: Cybermalveillance.gouv.fr, PHAROS, dépôt de plainte

01 — EssentielL'essentiel en 30 secondes

Le phishing est une technique de tromperie où un attaquant se fait passer pour une entité de confiance (banque, administration, employeur, collègue) pour obtenir des identifiants, données bancaires ou autres informations sensibles.

En 2026, c'est la première porte d'entrée des cyberattaques : 60 à 80% des compromissions commencent par un email, un SMS, un appel ou un QR code piégé. Aucune entreprise ni particulier n'y échappe.

Trois choses à retenir absolument :

Activer le MFA partout, idéalement avec passkeys ou clés FIDO2 (pas SMS).
Utiliser un gestionnaire de mots de passe : il ne remplit que sur le bon domaine, donc un site frauduleux ne récupèrera rien.
Ne jamais cliquer sur les liens d'emails non sollicités : aller directement sur le site officiel via ses favoris ou une recherche Google.

02 — DéfinitionQu'est-ce que le phishing ?

Voir notre fiche détaillée : Phishing — définition complète.

Définition technique

Le phishing (en français : hameçonnage) est une technique d'ingénierie sociale qui consiste à se faire passer pour une entité de confiance afin de manipuler la victime à donner volontairement des informations sensibles ou à effectuer une action dangereuse (cliquer sur un lien, ouvrir une pièce jointe, faire un virement).

Les chiffres clés 2026

60-80% des incidents cyber commencent par du phishing.
~3,4 milliards d'emails de phishing envoyés chaque jour dans le monde (estimations 2024-2025).
En France : principal motif de signalement à Cybermalveillance.gouv.fr côté particuliers.
Coût moyen d'une attaque par phishing pour une entreprise française : plusieurs centaines de milliers d'euros (selon taille).
Délai moyen entre clic et compromission complète : moins de 4 heures dans les attaques modernes.

Ce que le phishing peut viser

Identifiants : email, banque, services SaaS, réseaux sociaux. Voir usurpation d'identité.
Données bancaires : numéro de carte, CVV, codes 3D Secure.
Données personnelles pour fraude ou revente.
Virements : fraude au président, fraude au fournisseur.
Installation de malware : ransomware, spyware, cheval de Troie.
Cookies de session : contournent même le MFA.

Cadre légal en France

Le phishing relève de plusieurs infractions du Code pénal :

Article 313-1 — escroquerie : 5 ans et 375 000 €.
Article 226-4-1 — usurpation d'identité : 1 an et 15 000 €.
Article 323-1 — accès frauduleux à un système : 3 ans et 100 000 €.
Article 226-18 — collecte frauduleuse de données personnelles : 5 ans et 300 000 €.

03 — VariantesLes formes modernes du phishing

Le phishing s'est diversifié selon le canal d'attaque. Chaque variante mérite ses propres réflexes défensifs.

Smishing — phishing par SMS

Voir : Smishing.

SMS frauduleux usurpant La Poste, Chronopost, Colissimo, DHL, les impôts, la CAF, votre banque. Souvent avec un faux motif : colis bloqué, frais de douane, remboursement, alerte sécurité. Le SMS contient un lien vers un faux site qui vole vos données. En 2024-2026, le smishing colis est devenu une des arnaques grand public les plus répandues en France. À signaler au 33700.

Vishing — phishing par appel téléphonique

Voir : Vishing.

Faux conseiller bancaire, faux support Microsoft, fausse gendarmerie. Souvent combiné avec SMS préalable (« votre compte est compromis, un conseiller va vous appeler »). Les attaquants utilisent le spoofing pour afficher un numéro légitime. La victime reçoit un appel paraissant venir de sa vraie banque. Variante 2025-2026 : vishing avec deepfake vocal imitant un proche en détresse ou un dirigeant.

Quishing — phishing par QR code

Voir : Quishing.

QR code piégé dans un email, sur une affiche publique, sur un faux ticket de parking, dans un restaurant. Scan = redirection vers faux site. Variante émergente qui contourne certains filtres email (l'image du QR code passe les analyses classiques). Particulièrement difficile à vérifier sur mobile (URL tronquée).

BEC — Business Email Compromise

Voir : BEC.

Compromission d'une boîte email professionnelle légitime, puis usage de cette boîte pour tromper clients, fournisseurs ou collègues. Très efficace car l'email vient réellement de l'adresse légitime. Variantes principales : fraude au président, fraude au fournisseur (RIB modifié), arnaque à la facture. Préjudices souvent en millions d'euros par incident.

Phishing classique par email

La forme historique : email de masse imitant un service légitime. Toujours actif en 2026, en quantité massive, servant souvent de filet large pour repérer les cibles réceptives qui seront ensuite ciblées plus précisément.

Phishing sur réseaux sociaux

Faux profils (usurpation d'identité) qui contactent en MP.
Faux SAV de marque sur X (Twitter) ou Instagram.
Liens piégés dans publicités sponsorisées non modérées.
Fausses promotions chez influenceurs.
Variantes : faux « cadeau » qui demande de connecter son wallet crypto = vol total.

Phishing dans les apps de messagerie

WhatsApp, Telegram, Signal, Messenger : cibles privilégiées pour les arnaques aux proches (« maman j'ai changé de numéro, j'ai un problème, envoie-moi de l'argent »). Souvent boostées par voice cloning IA pour passer un appel vocal en imitant le proche.

04 — CiblesPhishing ciblé : spear phishing et whaling

Le phishing classique est de masse. Les variantes ciblées sont plus dangereuses car personnalisées.

Spear phishing

Voir : Spear phishing.

Phishing personnalisé visant une personne précise après recherche (OSINT) sur ses relations professionnelles, ses sujets d'intérêt, ses collègues. Email rédigé sur-mesure pour paraître crédible. Taux de succès 10-30 fois supérieur au phishing de masse. Privilégié par groupes APT et opérations cyber étatiques.

Whaling

Voir : Whaling.

Spear phishing visant spécifiquement les « gros poissons » : PDG, directeurs, cadres décisionnaires. Souvent pour : fraude au président, vol de propriété intellectuelle, espionnage économique. Préjudices financiers maximaux.

Pretexting

Voir : Pretexting.

Construction d'un faux contexte crédible (« je suis du service IT, on a détecté un problème sur votre poste, je dois prendre la main pour réparer »). Souvent par téléphone ou Teams/visio. Très efficace en entreprise sur les nouveaux arrivants.

Phase de reconnaissance

Avant un spear phishing, l'attaquant collecte des informations via :

LinkedIn (organigramme, postes, projets).
Réseaux sociaux personnels (centres d'intérêt).
Communiqués de presse de l'entreprise.
Anciens leaks de credentials (haveibeenpwned).
Site web entreprise (équipes, contacts).

05 — IADeepfakes et IA générative

Voir : Deepfake et prompt injection.

L'IA change la donne

Depuis 2023-2024, l'IA générative a profondément transformé le paysage du phishing. Avant, un email de phishing trahissait souvent ses origines par des fautes, traductions maladroites, formulations incohérentes. Avec ChatGPT et équivalents, n'importe quel attaquant peut désormais produire un email parfait, dans toutes les langues, adapté au ton et au contexte de la cible.

Voice cloning

Quelques secondes d'audio suffisent à cloner une voix avec des outils IA.
Source typique : messages vocaux, vidéos LinkedIn, podcasts, répondeurs.
Usage : faux appels de proches en détresse, fraude au président avec voix clonée du PDG.
Cas Arup 2024 : 25 millions USD perdus via deepfake en visioconférence avec plusieurs faux participants.

Deepfake vidéo

Visioconférences truquées (Zoom, Teams) avec dirigeants imités.
Outils accessibles : HeyGen, D-ID, Synthesia détournés.
En temps réel : encore imparfait mais qualité s'améliore vite.

Profils synthétiques

Photos générées par IA (Midjourney, DALL-E, This Person Does Not Exist) pour faux profils LinkedIn ou sites de rencontre.
Impossible à reverse-search puisque l'image n'existe nulle part ailleurs.
CV et expériences professionnelles inventés générés par IA.

Conversations IA automatisées

Chatbots qui maintiennent des dizaines/centaines de conversations simultanées.
Adaptent le ton, la langue, la stratégie à chaque cible.
Industrialisation des arnaques sentimentales (pig butchering).

Contre-mesures

Mot de passe familial : convenir d'un mot secret pour authentifier les demandes urgentes.
Multi-canal de confirmation : ne jamais valider une demande importante via le seul canal de réception. Rappeler le numéro officiel.
Méfiance même avec voix/visage reconnus : la confiance ne suffit plus.
Procédures formelles en entreprise pour tout virement : double validation, délai de réflexion, signature électronique.
Sensibilisation à la nouvelle menace : les équipes doivent savoir que les deepfakes existent.

06 — DétectionComment détecter une tentative

Signaux universels

Urgence artificielle : « dans 24h », « votre compte sera suspendu », « action urgente requise ». Toute urgence inhabituelle doit déclencher la méfiance.
Demande d'informations sensibles : identifiants, codes, scan pièce d'identité. Aucun organisme légitime ne les demande par email/SMS/téléphone.
Adresse expéditeur suspecte : vérifier l'adresse réelle (survol, pas seulement le nom affiché). Domaine légèrement modifié (paypa1.com).
Liens suspects : survoler pour voir l'URL réelle. Méfiance si elle diffère de ce qui est affiché.
Pièces jointes non sollicitées : surtout .zip, .exe, documents Office avec macros, .iso, .lnk.
Salutation générique (« Cher client ») au lieu de votre nom.
Fautes d'orthographe : encore présentes mais l'IA générative les fait disparaître.
Pression émotionnelle : peur, urgence, autorité, sentiment.

Outils de vérification

Survol des liens : voir l'URL réelle avant de cliquer.
Headers email : en cas de doute, examiner les en-têtes (champ Return-Path, Received, SPF/DKIM/DMARC).
VirusTotal : vérifier une URL ou un fichier suspect.
Sucuri SiteCheck : vérifier si un site est compromis.
haveibeenpwned.com : vérifier si votre email est dans une fuite.
Recherche Google du nom du site + « arnaque ».

Filtres email modernes

SPF, DKIM, DMARC : standards d'authentification email.
BIMI : affichage du logo officiel pour emails authentifiés.
MTA-STS : chiffrement strict des emails.
Solutions anti-phishing : Vade (français), Proofpoint, Mimecast, Microsoft Defender for Office 365.

La règle d'or

En cas de moindre doute : ne pas cliquer. Aller directement sur le site officiel via vos favoris ou une recherche Google. Aucune entreprise légitime ne vous tiendra rigueur de cette précaution. C'est gratuit, ça prend 10 secondes, et ça évite 99% des problèmes.

07 — ProtectionDéfense en profondeur

Niveau 1 : authentification forte

Passkeys : standard moderne résistant par design au phishing. La passkey est liée cryptographiquement au domaine légitime. Sur un faux site, elle ne fonctionnera pas. À privilégier dès qu'un service les propose.
Clés matérielles FIDO2 (YubiKey, Titan) : même garantie que les passkeys.
MFA par authenticator app (Google Authenticator, Authy, Microsoft Authenticator) : bon, mais vulnérable aux kits AiTM modernes.
MFA par SMS : à éviter (SIM swapping).

Niveau 2 : gestionnaire de mots de passe

Voir : Gestionnaire de mots de passe.

Le gestionnaire ne remplit automatiquement que sur le domaine légitime. Si vous arrivez sur un faux site ressemblant, votre gestionnaire ne propose rien — signal fort que quelque chose cloche. Solutions recommandées : 1Password, Bitwarden, Proton Pass.

Niveau 3 : hygiène email et navigation

Mots de passe forts et uniques (voir mot de passe).
Mises à jour OS et navigateur automatiques.
Antivirus actif, alertes Google SafeBrowsing.
Extensions navigateur de confiance uniquement.
Vérifier HTTPS et certificat valide.

Niveau 4 : sensibilisation

La formation continue reste l'investissement le plus rentable. Études montrent qu'une équipe formée régulièrement réduit son taux de clic sur phishing de 30-40% à moins de 5%. Approche moderne : simulations régulières adaptées au contexte métier, pédagogie sans humiliation, mises à jour sur les techniques émergentes (deepfakes, IA).

Niveau 5 : pour les entreprises

SPF + DKIM + DMARC en mode strict (reject) sur le domaine.
Filtrage email avancé : solutions anti-phishing dédiées.
EDR ou XDR : détection comportementale en cas de clic réussi.
SSO : réduit le nombre de comptes exposés.
Zero Trust : vérification continue, segmentation.
Procédures formelles : validation multi-personnes pour virements, double canal.

08 — RéagirQue faire si on est tombé dedans

1. Si vous avez seulement cliqué sans entrer d'identifiants

Risque limité.
Vérifier l'absence de téléchargement automatique.
Scanner avec antivirus.
Surveiller votre appareil les jours suivants (ralentissements, comportements anormaux).

2. Si vous avez entré vos identifiants

Changer immédiatement le mot de passe du service concerné depuis un autre appareil sain.
Changer aussi tous les services où vous auriez réutilisé ce mot de passe (voir credential stuffing).
Activer le MFA si pas déjà fait.
Révoquer toutes les sessions actives.
Vérifier les règles de transfert email (les attaquants en créent souvent).

3. Si banque ou paiement

Opposition immédiate sur cartes et comptes.
Contestation des transactions frauduleuses (délai légal 13 mois).
Alertes SMS sur toutes opérations.
Déposer plainte (voir notre fiche arnaque en ligne).

4. Conserver les preuves

Captures d'écran de l'email/SMS et du faux site.
Headers email complets.
Numéros de téléphone des vishing.
Horodatage des actions.
Essentiel pour plainte et assurance.

5. Signaler

Cybermalveillance.gouv.fr : diagnostic et orientation.
PHAROS (internet-signalement.gouv.fr).
SignalConso pour faux sites e-commerce.
33700 pour les SMS et appels.
Signaler les emails de phishing à signal-spam.fr.
Pour escroquerie en ligne : THESEE.

6. En entreprise — réflexes spécifiques

Prévenir immédiatement l'IT et le RSSI.
Ne pas attendre par peur d'être réprimandé : la rapidité limite l'impact.
Activer le plan de réponse à incident (CSIRT).
Si données personnelles concernées : notifier la CNIL sous 72h.

09 — EntreprisePhishing en entreprise

Pourquoi les entreprises sont vulnérables

Volume : chaque collaborateur reçoit des dizaines d'emails/jour, fenêtre d'attention limitée.
Hétérogénéité des compétences cyber : tous les profils ne sont pas formés.
Habitude des virements : la finance et la compta traitent des virements en routine.
Pression hiérarchique : difficile de questionner une demande du PDG.
Surface d'attaque : sites web publics, profils LinkedIn, communiqués de presse alimentent la reconnaissance.

Programme anti-phishing structuré

Politique formalisée : charte informatique, procédures de vérification.
Filtrage email avancé : anti-phishing, sandboxing.
SPF/DKIM/DMARC strict sur le domaine.
Sensibilisation continue : pas seulement annuelle.
Simulations régulières : 2-4 fois par an, scénarios variés.
Procédures de validation pour virements, accès, données sensibles.
Canal de signalement : bouton « signaler ce mail » dans Outlook/Gmail.
Plan de réponse à incident testé.

Métriques à suivre

Taux de clic sur phishing simulé.
Taux de signalement.
Temps de signalement (entre réception et alerte IT).
Évolution dans le temps (objectif : clics < 5%, signalement > 30%).

Ce qu'il NE faut PAS faire

Sanctionner les victimes : pousse à cacher les incidents, aggrave le risque.
Formation purement théorique : la pratique est essentielle.
Simulations humiliantes : les pièges trop tordus déshabituent les utilisateurs.
Compter uniquement sur la technologie : les filtres laissent toujours passer.
Compter uniquement sur l'humain : même bien formés, les utilisateurs cliqueront parfois.

10 — AvenirL'avenir : passkeys et FIDO2

Voir : Passkey et FIDO2.

Pourquoi les passkeys changent tout

Les passkeys (standard FIDO2/WebAuthn) remplacent mot de passe + MFA par une paire de clés cryptographiques liées à l'appareil de l'utilisateur. Conséquence majeure pour le phishing : la passkey est liée cryptographiquement à un domaine spécifique.

Sur un faux site qui imite paypal.com mais dont l'URL réelle est paypa1.com, la passkey ne fonctionnera pas — même si l'apparence est parfaite, même si l'utilisateur est convaincu d'être sur le vrai site. C'est une protection structurelle, pas comportementale.

Adoption en cours

Apple, Google, Microsoft ont intégré les passkeys depuis 2022-2023.
Services majeurs supportant déjà : Apple ID, Google Accounts, Microsoft, GitHub, Amazon, PayPal, eBay, WhatsApp, X (Twitter), Best Buy — et en croissance rapide.
Les gestionnaires de mots de passe (1Password, Bitwarden) stockent et synchronisent les passkeys.
Microsoft Authenticator, Google Password Manager intègrent les passkeys.

Horizon temporel

2025-2027 : adoption massive sur services grand public.
2027-2030 : coexistence mot de passe + passkey sur la plupart des services.
2030+ : mots de passe progressivement retirés des nouveaux services.
2035+ : les mots de passe pourraient devenir marginaux.

Que faire en attendant

Activer les passkeys partout où c'est disponible.
Utiliser MFA par authenticator (pas SMS) sur les autres services.
Gestionnaire de mots de passe pour le reste.
Sensibilisation continue : l'humain reste le maillon critique tant que les passkeys ne sont pas universelles.