Le phishing (ou hameçonnage) est la cyberattaque la plus répandue au monde. En 2024, plus de 3,4 milliards d'emails de phishing sont envoyés chaque jour. Et malgré la sensibilisation croissante, de nombreux internautes se font encore piéger. Voici comment vous protéger efficacement.

Qu'est-ce que le phishing ?

Le phishing est une technique frauduleuse qui vise à vous faire révéler des informations sensibles (mots de passe, numéros de carte bancaire, données personnelles) en se faisant passer pour une entité de confiance (banque, administration, réseau social, etc.).

Le terme vient de "fishing" (pêche) : les cybercriminels lancent de nombreux hameçons en espérant que certains "mordent".

Les différents types de phishing

Email de phishing classique

Le plus courant. Vous recevez un email qui semble provenir de votre banque, de PayPal, d'Amazon, ou d'un service gouvernemental. L'email vous demande de cliquer sur un lien pour "vérifier votre compte", "sécuriser votre accès" ou "recevoir un remboursement".

Le lien mène à un faux site web, identique à l'original, qui capture vos identifiants.

Signes d'alerte :

  • L'adresse email de l'expéditeur est bizarre (ex: support@amazon-secure-account.com)
  • L'email crée une urgence artificielle ("Votre compte sera bloqué dans 24h")
  • Fautes d'orthographe ou formulations maladroites
  • L'URL du lien ne correspond pas au site officiel

Spear phishing

Contrairement au phishing de masse, le spear phishing est ciblé. Les attaquants ont préalablement collecté des informations sur vous (nom, employeur, contacts) pour rendre l'email plus crédible.

Exemple : vous recevez un email de quelqu'un qui se présente comme votre collègue et vous demande un virement urgent.

Smishing (SMS)

Le phishing par SMS. Vous recevez un message vous demandant de cliquer sur un lien pour suivre un colis, payer une amende, ou accéder à un message vocal.

Vishing (appel téléphonique)

Des "techniciens du support" vous appellent en prétendant que votre ordinateur est infecté ou que votre compte bancaire a été piraté. Ils vous demandent de donner accès à votre écran ou de communiquer des informations sensibles.

Quishing (QR codes)

De plus en plus répandu, le quishing utilise des QR codes frauduleux (dans des emails, sur des affiches, dans des parkings) qui mènent à des sites de phishing.

Comment reconnaître un email de phishing

Vérifiez l'expéditeur avec soin

L'adresse email affichée peut être trompeuse. Regardez le domaine réel :

  • contact@apple.com → légitime
  • contact@apple-support.helpdesk.com → phishing

Analysez le lien avant de cliquer

Passez votre souris sur le lien (sans cliquer) pour voir l'URL réelle dans la barre d'état de votre navigateur. Si l'URL ne correspond pas au site officiel, n'y allez pas.

Méfiez-vous de l'urgence artificielle

Les vraies organisations ne vous demandent jamais d'agir "immédiatement" sous peine de perdre votre compte. C'est une technique classique pour court-circuiter votre esprit critique.

Vérifiez directement sur le site officiel

Si vous avez un doute sur un email de votre banque, n'utilisez pas le lien fourni. Ouvrez un nouvel onglet et tapez l'adresse de votre banque directement.

5 mesures de protection efficaces

  1. Activez l'authentification à deux facteurs sur tous vos comptes importants. Même si vos identifiants sont volés, le 2FA empêche l'accès.
  1. Utilisez un gestionnaire de mots de passe. Ces outils ne remplissent automatiquement les formulaires que sur les vrais sites — ils ne seront pas dupés par un faux site.
  1. Vérifiez les certificats SSL : un cadenas vert dans la barre d'adresse indique une connexion chiffrée, mais pas que le site est légitime. Vérifiez aussi le nom de domaine.
  1. Mettez à jour votre logiciel antivirus et activez le filtrage anti-phishing de votre navigateur (Chrome et Firefox bloquent de nombreux sites connus).
  1. Formez votre entourage : le phishing exploite la confiance et la précipitation. Parlez-en à vos proches, notamment les personnes âgées qui sont souvent ciblées.

Que faire si vous avez été victime de phishing ?

  1. Changez immédiatement votre mot de passe sur le service concerné
  2. Activez le 2FA si ce n'est pas déjà fait
  3. Contactez votre banque si des informations financières ont été communiquées
  4. Signalez le phishing à cybermalveillance.gouv.fr (France) ou à votre autorité nationale
  5. Vérifiez vos comptes pour détecter toute activité suspecte

La sécurité de vos données sensibles

Protéger vos accès en ligne est la première étape. Mais pour vos informations les plus sensibles — celles que vous souhaitez transmettre à vos proches en cas d'urgence — un niveau supplémentaire de protection s'impose.

EchoPass stocke vos informations avec un chiffrement de bout en bout et une architecture zéro connaissance qui garantit que même une attaque sur nos serveurs ne compromettrait pas vos données.

Protégez vos données avec EchoPass.