Guide

Phishing : reconnaître et signaler

Par Adem Kino · Publié le · 8 min de lecture

Phishing et hameçonnage : reconnaître et signaler

Accès rapide

Se connecter à Hameçonnage
cybermalveillance.gouv.fr
Sommaire
En bref

Le phishing (hameçonnage) imite un organisme de confiance pour vous voler identifiants, données bancaires ou argent. Apprenez à repérer les signaux d'alerte, vérifiez toujours avant de cliquer, et signalez aux bons canaux : 33700 pour un SMS, Signal Spam pour un e-mail, Pharos et 17Cyber pour le reste.

Phishing et hameçonnage : de quoi parle-t-on ?

Le phishing, ou hameçonnage en français, est une fraude qui consiste à se faire passer pour un tiers de confiance (votre banque, les impôts, la CAF, l'Assurance Maladie, un transporteur de colis) afin de vous pousser à communiquer des données personnelles, des identifiants ou des coordonnées bancaires. En 2026, ces arnaques touchent tous les services du quotidien et restent l'une des principales menaces signalées aux plateformes publiques françaises. Elles ne ciblent plus seulement les entreprises : chaque particulier est exposé, par e-mail, par SMS ou par téléphone.

La bonne nouvelle, c'est qu'aucune compétence technique n'est nécessaire pour s'en protéger. Quelques réflexes suffisent à déjouer l'immense majorité des tentatives, et des dispositifs publics gratuits vous accompagnent en cas de doute ou d'attaque. Ce guide vous explique comment reconnaître un message frauduleux, comment le vérifier, où le signaler et que faire si vous êtes victime.

L'hameçonnage fonctionne parce qu'il exploite la confiance et la routine. Vous attendez réellement un colis, vous venez de faire une démarche en ligne, ou vous craignez un problème avec votre banque : l'escroc s'engouffre dans ce contexte plausible. Comprendre ce mécanisme aide à garder le bon réflexe : prendre le temps de vérifier plutôt que de réagir à chaud.

Phishing, smishing, vishing : les trois formes

L'hameçonnage emprunte plusieurs canaux. Le principe reste identique, mais le mode de signalement diffère.

  • Phishing (e-mail) : un courriel imitant une marque ou une administration vous invite à cliquer sur un lien, à régler une « amende » ou à mettre à jour vos informations.
  • Smishing (SMS) : le même piège par message texte, souvent autour d'un colis bloqué, d'un compte suspendu ou d'un remboursement à réclamer.
  • Vishing (appel ou message vocal) : un appel, parfois automatisé, vous pousse à rappeler un numéro surtaxé ou à donner un code reçu par SMS, sous prétexte d'un incident de sécurité.

Une variante répandue consiste à vous appeler en se faisant passer pour un conseiller bancaire (« faux conseiller ») et à vous demander de valider une opération ou de communiquer un code de confirmation. Aucun établissement légitime ne procède ainsi.

Les escrocs combinent de plus en plus ces canaux pour gagner en crédibilité. Vous recevez d'abord un SMS annonçant une opération suspecte, puis un appel d'un faux conseiller qui « confirme » l'alerte et vous guide pas à pas. Cette mise en scène, qui semble cohérente, vise à désarmer votre méfiance. Là encore, la règle ne change pas : raccrochez et rappelez vous-même le numéro officiel figurant au dos de votre carte ou sur votre espace en ligne.

Comment reconnaître un message frauduleux

Les messages d'hameçonnage partagent des signaux récurrents. Aucun pris isolément ne prouve une fraude, mais leur cumul doit vous alerter.

Le réflexe à retenir

Aucune administration ni banque ne vous demandera jamais vos identifiants complets, votre mot de passe ou un code de sécurité par e-mail, par SMS ou par téléphone. Toute demande de ce type est frauduleuse, même si le message paraît parfaitement crédible.

  • L'urgence ou la peur : compte bloqué, colis en attente, amende à payer sous 48 h, remboursement qui expire. L'objectif est de vous faire agir sans réfléchir.
  • Une adresse d'expéditeur douteuse : le nom affiché semble officiel, mais l'adresse e-mail réelle ou le numéro ne correspondent pas à l'organisme.
  • Un lien qui ne mène pas au bon site : l'URL contient un caractère modifié, un nom de domaine inhabituel ou un raccourci masquant la destination réelle.
  • Une demande d'informations sensibles : coordonnées bancaires, mot de passe, copie de pièce d'identité, code reçu par SMS.
  • Des incohérences : fautes, formulation impersonnelle, charte graphique légèrement décalée. Attention, les messages récents sont souvent bien rédigés : leur absence de fautes ne garantit rien.

Les usurpations les plus fréquentes visent les services à fort trafic : le compte Ameli (faux remboursements santé), les impôts (faux crédit d'impôt), les transporteurs de colis, ou encore des plateformes comme PayPal et Amazon.

Vérifier avant de cliquer

Le bon réflexe est de ne jamais agir depuis le message lui-même, mais de revenir à la source officielle par vos propres moyens.

  1. Ne cliquez pas dans le doute — Ne cliquez sur aucun lien et n'ouvrez aucune pièce jointe tant que vous n'êtes pas certain de l'expéditeur.
  2. Survolez le lien sans cliquer — Sur ordinateur, passez la souris au-dessus du lien : l'adresse réelle s'affiche. Vérifiez qu'elle correspond bien au site officiel attendu.
  3. Tapez l'adresse vous-même — Pour vérifier une information, rendez-vous directement sur le site officiel en tapant son adresse dans le navigateur, ou via vos favoris, jamais par le lien reçu.
  4. Contactez l'organisme directement — En cas de doute sur un courrier de votre banque, des impôts ou de France Travail, appelez le numéro officiel figurant sur votre espace personnel, pas celui indiqué dans le message.
  5. Ne communiquez jamais de code — Un code reçu par SMS sert à valider une opération que vous avez initiée. Ne le transmettez à personne, même à un « conseiller ».

Où signaler un message d'hameçonnage

Signaler est utile : cela contribue à neutraliser les numéros, adresses et sites frauduleux, et à protéger d'autres victimes potentielles. Chaque canal a son point de signalement.

  • SMS frauduleux (smishing) : transférez gratuitement le message au 33700. Vous recevrez une réponse vous invitant à indiquer le numéro de l'expéditeur. Plus d'informations sur 33700.fr.
  • Message vocal ou appel indésirable (vishing) : envoyez un SMS au 33700 en écrivant « spam vocal » suivi du numéro qui vous a appelé.
  • E-mail de phishing : signalez-le sur Signal Spam (signal-spam.fr).
  • Site internet frauduleux : signalez-le à Phishing Initiative (phishing-initiative.fr) ou, pour tout contenu illicite, sur la plateforme Pharos (internet-signalement.gouv.fr).
  • Diagnostic et accompagnement : rendez-vous sur 17Cyber (17cyber.gouv.fr), le guichet unique public gratuit, accessible 24h/24, qui vous oriente selon votre situation.
Bon à savoir

Signaler n'équivaut pas à porter plainte. Le 33700, Signal Spam et Pharos sont des outils de signalement destinés à bloquer les fraudes. Pour faire valoir vos droits ou obtenir réparation, un dépôt de plainte distinct reste nécessaire.

Que faire si vous êtes victime

Si vous avez cliqué, communiqué des informations ou subi un prélèvement, agissez vite et dans l'ordre.

  1. Faites opposition sans attendre — Si vous avez transmis des données bancaires ou constaté un débit, contactez immédiatement votre banque pour bloquer la carte et contester les opérations.
  2. Changez vos mots de passe — Modifiez le mot de passe du compte concerné, ainsi que de tout autre service où vous utilisiez le même. Activez la double authentification quand c'est possible.
  3. Conservez les preuves — Gardez le message frauduleux, les e-mails, captures d'écran et numéros : ils serviront pour le signalement et la plainte.
  4. Faites un diagnostic sur 17Cyber — Sur 17cyber.gouv.fr, décrivez votre situation pour obtenir des conseils adaptés et, si nécessaire, une mise en relation.
  5. Déposez plainte — Pour une escroquerie en ligne, utilisez THESEE depuis service-public.fr (authentification FranceConnect requise), ou rendez-vous au commissariat ou à la gendarmerie.
  6. Faites-vous accompagner — Appelez Info Escroqueries au 0 805 805 817 pour être guidé, ou France Victimes au 116 006 pour un soutien gratuit.

Se protéger durablement

La meilleure défense combine vigilance et protections techniques, car les arnaques deviennent trop réalistes pour être repérées à l'œil seul.

  • Un mot de passe unique par compte, long et stocké dans un gestionnaire dédié, pour éviter qu'une seule fuite compromette plusieurs services.
  • La double authentification activée partout où elle est proposée : même si un escroc obtient votre mot de passe, il ne peut pas se connecter sans le second facteur.
  • La mise à jour régulière de vos appareils, navigateurs et applications.
  • La prudence face aux sollicitations non sollicitées : un message inattendu qui crée l'urgence doit toujours être vérifié à la source.
  • La séparation de vos usages : utilisez une adresse e-mail dédiée pour vos comptes sensibles (banque, administrations) et protégez-la particulièrement, car votre messagerie sert souvent de clé de récupération pour tous vos autres comptes.

Enfin, parlez-en autour de vous. Les personnes les plus exposées sont souvent celles qui ignorent l'existence de ces arnaques ou des canaux de signalement. Partager les bons réflexes avec vos proches, notamment les moins à l'aise avec le numérique, reste l'une des protections les plus efficaces contre l'hameçonnage.

Pour aller plus loin sur les mots de passe, la double authentification et la marche à suivre en cas de piratage, consultez notre guide complet de la sécurité numérique, qui rassemble les recommandations officielles de l'ANSSI et de la CNIL.

Sources et références

Questions fréquentes

Quelle est la différence entre phishing, smishing et vishing ?

Ces trois termes désignent la même arnaque (l'hameçonnage), mais par des canaux différents. Le phishing passe par e-mail, le smishing par SMS et le vishing par appel téléphonique ou message vocal. Dans tous les cas, l'escroc se fait passer pour un organisme de confiance (banque, impôts, CAF, transporteur) afin de vous soutirer des identifiants, des données bancaires ou de l'argent. La méthode de signalement varie selon le canal : 33700 pour un SMS, Signal Spam pour un e-mail.

Où signaler un SMS ou un e-mail frauduleux ?

Pour un SMS frauduleux (smishing), transférez-le gratuitement au 33700, puis indiquez le numéro de l'expéditeur. Pour un message vocal indésirable, envoyez « spam vocal » suivi du numéro au 33700. Pour un e-mail de phishing, signalez-le sur Signal Spam (signal-spam.fr). Un site frauduleux peut être signalé à Phishing Initiative ou sur Pharos (internet-signalement.gouv.fr). Ces signalements aident à neutraliser les vecteurs d'attaque, mais ne remplacent pas un dépôt de plainte.

Que faire en premier si j'ai cliqué et donné mes informations ?

Si vous avez communiqué vos coordonnées bancaires, contactez immédiatement votre banque pour faire opposition et bloquer tout prélèvement. Si vous avez saisi un mot de passe, changez-le aussitôt sur le compte concerné et sur tout autre service où vous l'utilisiez. Conservez le message frauduleux comme preuve. Vous pouvez ensuite obtenir un diagnostic gratuit sur 17Cyber (17cyber.gouv.fr) et déposer plainte. Plus vous agissez vite, plus vous limitez les conséquences.

Qu'est-ce que 17Cyber et comment ça marche ?

17Cyber (17cyber.gouv.fr) est le guichet unique public d'assistance aux victimes de cybermalveillance, mis en place par la Gendarmerie nationale, la Police nationale et cybermalveillance.gouv.fr. Gratuit et accessible 24h/24, il propose un diagnostic en ligne de votre situation, des conseils personnalisés et, si besoin, une mise en relation avec un opérateur ou des professionnels. C'est le bon point de départ pour savoir quoi faire après une tentative ou une attaque d'hameçonnage.

Comment déposer plainte après une escroquerie en ligne ?

Pour une escroquerie commise sur internet (faux site marchand, piratage de messagerie, chantage), vous pouvez déposer plainte en ligne via THESEE, accessible depuis service-public.fr ou masecurite.interieur.gouv.fr. Une authentification FranceConnect est requise et vous ne pouvez porter plainte qu'en votre nom. Vous pouvez aussi déposer plainte au commissariat ou à la gendarmerie. Pour être guidé, appelez Info Escroqueries au 0 805 805 817.

Articles similaires