Un email vous informe d'un problème de paiement, d'un remboursement à réclamer, ou d'une suspension de compte imminente. Voici comment distinguer en quelques secondes un email légitime d'une tentative de phishing.
Le principe du phishing par email
Le phishing (ou hameçonnage) consiste à imiter un email officiel d'une entreprise connue (banque, opérateur, service public, plateforme de streaming) pour pousser la victime à cliquer sur un lien frauduleux et y saisir des informations personnelles ou bancaires.
Les cibles les plus imitées en France : impots.gouv.fr, Ameli (Sécurité sociale), EDF, Netflix, La Poste, et les principales banques.
Les 6 signes qui trahissent presque toujours un faux email
- L'adresse d'expéditeur ne correspond pas exactement au domaine officiel : vérifiez après le symbole @, pas seulement le nom affiché qui peut être trompeur
- Une urgence artificielle : "compte suspendu sous 24h", "dernier rappel avant résiliation"
- Des fautes d'orthographe ou de syntaxe, rares dans les communications officielles d'entreprises établies
- Un lien dont l'adresse réelle ne correspond pas au texte affiché (survolez le lien sans cliquer pour voir l'adresse réelle en bas de votre navigateur ou logiciel mail)
- Une demande directe d'informations sensibles par email (mot de passe, coordonnées bancaires complètes), ce qu'aucun service légitime ne demande jamais par ce canal
- Une pièce jointe inattendue, en particulier les formats .zip, .exe ou les documents Office demandant d'activer des macros
Comment vérifier sans risque
La règle la plus sûre : ne cliquez jamais sur le lien de l'email. Ouvrez plutôt un nouvel onglet et tapez vous-même l'adresse officielle du service concerné, ou utilisez l'application officielle si elle existe. Connectez-vous ainsi directement pour vérifier si l'information annoncée dans l'email est réelle.
Exemple concret : le faux email impots.gouv.fr
Scénario typique : un email annonce un remboursement d'impôt à réclamer via un lien, avec demande de coordonnées bancaires complètes pour le virement. Or, l'administration fiscale ne demande jamais vos coordonnées bancaires complètes par email pour un remboursement, ces informations étant déjà enregistrées dans votre espace personnel officiel.
Exemple concret : le faux email Netflix
Scénario typique : "Votre moyen de paiement a été refusé, mettez à jour vos informations sous peine de suspension." Le lien mène vers une page imitant parfaitement l'interface Netflix, qui collecte en réalité votre carte bancaire. Vérifiez toujours en vous connectant directement sur netflix.com tapé manuellement, jamais via le lien de l'email.
Si vous avez cliqué et saisi des informations
- Changez immédiatement le mot de passe du compte concerné s'il s'agit d'identifiants
- Si des coordonnées bancaires ont été saisies, contactez votre banque sans délai pour faire opposition
- Signalez l'email comme phishing via la fonction de signalement de votre messagerie
- Transférez l'email suspect à la plateforme officielle de signalement (signal-spam.fr ou la plateforme nationale dédiée)
Questions fréquentes
Pourquoi est-ce que je reçois un email d'un service que je n'utilise même pas ? Les campagnes de phishing sont envoyées massivement sans ciblage précis ; recevoir un faux email Netflix ne signifie pas que votre adresse a été spécifiquement visée, ni même que vous avez un compte Netflix.
Un antivirus peut-il bloquer ces emails avant que je les voie ? Les filtres anti-spam des messageries bloquent une grande partie de ces emails, mais aucun filtre n'est totalement infaillible, la vigilance reste nécessaire.
Comment vérifier l'adresse réelle d'un lien sur smartphone, où je ne peux pas survoler avec la souris ? Maintenez votre doigt appuyé sur le lien (sans relâcher pour ne pas l'ouvrir) : l'adresse réelle s'affiche généralement en aperçu.