Vous avez probablement déjà reçu ce genre de message. Un email de votre banque qui vous demande de "vérifier votre compte en urgence". Un message des impôts qui annonce un remboursement inattendu. Une notification de livraison avec un lien pour régler quelques euros de frais de douane. Ces messages ont l'air vrais. C'est exactement l'intention.
Le phishing email (ou hameçonnage) est aujourd'hui le vecteur d'attaque numérique le plus utilisé en France, à l'origine d'environ 60 % des cyberattaques selon les acteurs du secteur.
Ce qui a changé en 2026, c'est la sophistication. Les campagnes de phishing générées par intelligence artificielle rendent la détection encore plus difficile : fini les fautes et les mises en page approximatives. Il faut comprendre comment ces arnaques fonctionnent vraiment pour savoir les reconnaître.
Note : cet article a une visée informative et pédagogique. En cas d'arnaque avérée, contactez immédiatement votre banque et signalez l'incident sur cybermalveillance.gouv.fr.
Le phishing email : qu'est-ce que c'est ?
Définition et principe
Le phishing (contraction de "fishing" pêche et "phreaking" piratage téléphonique) désigne toute tentative de tromper une personne pour lui soutirer des informations personnelles, des identifiants de connexion ou des données bancaires, en se faisant passer pour une entité de confiance.
Le principe est simple et vieux comme l'escroquerie elle-même : créer un sentiment de confiance, puis exploiter ce sentiment. Ce qui change avec le temps, c'est la technique. Les emails de phishing d'il y a dix ans étaient grossiers, bourrés de fautes, avec des liens visiblement suspects. En 2024, le phishing a franchi un cap : l'IA générative permet de produire des emails de phishing sans fautes d'orthographe, dans un style professionnel et personnalisé. Selon une étude de l'Université d'Oxford (2024), les emails de phishing générés par IA ont un taux de clic 60 % supérieur aux emails traditionnels. Mailbird
Les différents types d'hameçonnage
Le phishing email est la forme la plus connue : un faux email qui usurpe l'identité d'une marque, d'une institution ou d'une personne de confiance.
Le spear phishing est sa version ciblée et personnalisée. Au lieu d'envoyer le même message à des millions de personnes, l'attaquant s'intéresse à une cible précise, collecte des informations sur elle (via LinkedIn, les réseaux sociaux, les données publiques), et construit un message parfaitement adapté à sa situation. Le BEC (Business Email Compromise) se différencie fondamentalement des campagnes de phishing de masse en ce qu'il emploie une reconnaissance personnalisée, cible des individus spécifiques à haute valeur et utilise des indicateurs techniques minimaux qui pourraient déclencher des filtres de sécurité. Les pertes mondiales attribuées au BEC ont totalisé 6,7 milliards de dollars, ce qui en fait le cybercrime le plus coûteux en termes absolus.
Le smishing est le phishing par SMS. Le smishing a augmenté de 85 % en 2025, principalement avec des faux messages de livraison et des arnaques IA.
Le vishing est le phishing vocal. La nouveauté 2026 concerne les arnaques utilisant des deepfakes vocaux. Une voix synthétique parfaitement imitée d'un proche peut désormais demander un virement d'urgence "en cas de problème". L'enregistrement de quelques secondes d'audio sur les réseaux sociaux suffit aux escrocs pour générer la copie.
Pour en savoir plus : IA et cybersécurité, nouvelles menaces et protections en 2026
Les scénarios les plus courants en France
Les arnaques qui usurpent les institutions
Les administrations françaises sont parmi les identités les plus usurpées dans les campagnes de phishing email. Impôts, Ameli, CAF, France Travail, Assurance Retraite… ces organismes envoient régulièrement des communications officielles à des millions de personnes, ce qui en fait des cibles idéales pour les imitateurs.
Le scénario type : un email qui annonce un remboursement d'impôts, un trop-perçu de la CAF, ou une mise à jour obligatoire des coordonnées bancaires pour continuer à recevoir des prestations. Le lien renvoie vers un site qui imite parfaitement l'interface officielle. Vous saisissez vos identifiants, vos coordonnées bancaires, et vos données tombent directement dans les mains des escrocs.
Ce qu'il faut savoir : les administrations françaises n'envoient jamais d'email demandant vos coordonnées bancaires ou vos identifiants. Les remboursements se font directement sur le compte connu de l'administration, sans action de votre part.
Les faux emails de banques et services financiers
Les services financiers combinent deux facteurs qui en font des cibles privilégiées : un grand nombre d'utilisateurs et une valeur élevée des identifiants volés.
Le scénario type : un email qui annonce une "activité suspecte" sur votre compte, un blocage "préventif" de votre carte, ou une "mise à jour de sécurité obligatoire". L'urgence est toujours là, la mise en page est soignée, et le logo de votre banque est parfaitement reproduit.
Ce qu'il faut savoir : votre banque ne vous demandera jamais vos identifiants, votre code PIN ou vos coordonnées complètes par email. En cas de doute sur un message de votre banque, appelez directement le numéro figurant au dos de votre carte, jamais celui indiqué dans l'email suspect.
Les faux avis de livraison
Le scénario type : vous avez commandé quelque chose en ligne récemment (ou même pas) et vous recevez un SMS ou email de La Poste, Chronopost ou Colissimo vous demandant de régler quelques euros de frais de douane pour débloquer votre colis. Le montant est volontairement faible (1,99 €, 3,50 €) pour ne pas éveiller la méfiance. Mais le formulaire de paiement capture vos coordonnées bancaires complètes.
Ce qu'il faut savoir : les vrais transporteurs n'envoient pas de demande de paiement par SMS avec un lien vers un formulaire en ligne. Si vous avez un doute sur un avis de livraison, connectez-vous directement sur le site officiel du transporteur avec le numéro de suivi que vous avez reçu lors de votre commande.
Les signaux qui permettent de reconnaître un phishing email
L'urgence et la pression : Toute formulation qui demande une action urgente (dans 24 heures, sous peine de majoration, avant expiration des droits) est suspecte par construction. Une administration française n'a jamais besoin d'une réponse immédiate par email. L'urgence est un outil psychologique délibéré pour court-circuiter votre réflexion critique.
L'adresse email de l'expéditeur : Le nom affiché peut être "Crédit Agricole" ou "Impôts.gouv", mais l'adresse email réelle est souvent révélatrice. Cliquez sur le nom de l'expéditeur pour voir l'adresse complète. Une adresse du type "contact@securite-compte-bancaire.com" ou "impots@remboursement-france.net" n'a rien d'officiel, quoi qu'en dise le nom affiché.
Les liens suspects : Avant de cliquer sur un lien dans un email, survolez-le avec votre souris (sans cliquer) pour voir l'URL réelle qui s'affiche dans la barre de statut. L'URL doit correspondre au domaine officiel de l'organisme. "ameli-remboursement.fr" n'est pas "ameli.fr". "impots-gouv-fr.com" n'est pas "impots.gouv.fr".
Les pièces jointes non sollicitées : Un email qui vous demande d'ouvrir une pièce jointe (PDF, Word, ZIP) que vous n'avez pas demandée est suspect. Ces fichiers peuvent contenir des logiciels malveillants qui s'installent dès l'ouverture.
Un message venant d'un contact connu peut être du phishing : Si le compte email d'un·e collègue, ami·e ou prestataire a été compromis, des messages frauduleux peuvent être envoyés depuis son adresse légitime. Un email bizarre de quelqu'un que vous connaissez (une demande inhabituelle, un ton différent du normal, un lien ou une pièce jointe inattendue) mérite un appel de vérification.
Ce que vous devez faire si vous recevez un email suspect
La règle d'or : ne cliquez pas avant de vérifier
Face à un email qui semble urgent ou important, le réflexe à développer est la pause. Pas l'action immédiate. La pause. Prenez le temps de regarder l'adresse de l'expéditeur, de survoler les liens, de vous demander si cette demande est normale de la part de cet organisme.
Si vous avez un doute sur un email de votre banque, de votre opérateur ou d'une administration : fermez l'email, ouvrez un nouvel onglet, tapez l'adresse officielle du site vous-même (ou utilisez un favori déjà enregistré), et connectez-vous de façon normale. Si le problème mentionné dans l'email est réel, il sera visible depuis votre espace personnel.
Ne rappelez jamais un numéro fourni dans un email suspect. Utilisez le numéro que vous trouvez sur le site officiel ou au dos de votre carte bancaire.
Comment signaler un phishing email en France
Signaler les tentatives de phishing contribue à protéger les autres. Plusieurs canaux officiels existent :
Signal Spam permet de signaler les emails suspects directement depuis votre messagerie grâce à un plugin. Les signalements contribuent à alimenter les bases de données utilisées par les filtres anti-spam.
Phishing Initiative permet de signaler les URLs de sites de phishing pour qu'elles soient bloquées rapidement dans les navigateurs.
Cybermalveillance.gouv.fr est la plateforme officielle de l'ANSSI pour signaler les cyberattaques et obtenir de l'aide si vous avez été victime.
Le 3018 est le numéro national dédié aux victimes de cybermalveillance, disponible du lundi au vendredi.
Si vous avez cliqué : que faire ?
Ne paniquez pas, mais agissez vite. Si vous avez cliqué sur un lien ou saisi des informations dans un formulaire suspect :
Si vous avez communiqué des identifiants bancaires ou cliqué sur un lien de paiement : contactez immédiatement votre banque pour bloquer votre carte et signaler la fraude. La réactivité est fondamentale : plus vite vous signalez, plus vite les transactions frauduleuses peuvent être bloquées.
Si vous avez communiqué des identifiants de connexion (email, réseau social, site marchand) : changez immédiatement votre mot de passe sur le service concerné, et sur tous les services où vous utilisez le même mot de passe (c'est le moment d'arrêter cette pratique).
Si vous avez ouvert une pièce jointe : lancez immédiatement une analyse complète avec votre antivirus. Si vous êtes sur un poste professionnel, prévenez votre responsable informatique.
FAQ : Phishing email
C'est quoi le phishing email ?
Le phishing email est une tentative de fraude par email dans laquelle un attaquant se fait passer pour une entité de confiance (banque, administration, entreprise connue) pour vous inciter à communiquer vos identifiants, vos coordonnées bancaires ou des informations personnelles sensibles. Le terme vient de l'anglais "fishing" (pêcher) car l'escroc lance un leurre et attend que les victimes mordent à l'hameçon. En 2026, ces emails sont générés par IA et souvent indiscernables d'une communication légitime sur la forme.
Comment reconnaître un email de phishing ?
Les signaux classiques restent utiles : urgence excessive, adresse email d'expéditeur suspecte, lien qui ne correspond pas au domaine officiel, demande de saisie d'identifiants ou de coordonnées bancaires. En 2026, il faut aussi se méfier des emails parfaitement rédigés en français, des emails personnalisés qui mentionnent votre nom ou vos informations, et des QR codes dans les emails. La règle la plus fiable : si un email vous demande d'agir vite et de cliquer sur un lien, vérifiez directement sur le site officiel avant de faire quoi que ce soit.
Que faire si j'ai cliqué sur un lien de phishing ?
La réactivité est fondamentale. Si vous avez saisi des informations bancaires, appelez immédiatement votre banque pour bloquer votre carte. Si vous avez communiqué des identifiants de connexion, changez votre mot de passe sur le service concerné et sur tous les autres services où vous utilisez le même. Si vous avez ouvert une pièce jointe, lancez une analyse antivirus complète. Signalez l'incident sur cybermalveillance.gouv.fr et, en cas de préjudice financier, déposez une plainte.
Les filtres anti-spam protègent-ils suffisamment contre le phishing ?
Les filtres anti-spam bloquent une grande partie des tentatives, mais pas toutes. Les attaques les plus sophistiquées (spear phishing ciblé, emails envoyés depuis des comptes légitimes compromis, campagnes IA personnalisées) passent souvent à travers les filtres. La protection technique ne remplace pas la vigilance humaine. Les deux sont nécessaires, et c'est la combinaison des deux qui donne les meilleurs résultats.
