Comment repérer les e-mails de phishing : une checklist pratique (avec exemples réels)

Comment repérer les e-mails de phishing : une checklist pratique (avec exemples réels)

Les e-mails de phishing ne sont plus seulement des « arnaques évidentes ». Beaucoup ont un aspect professionnel, copient les styles de marque réels et créent un sentiment d’urgence pour vous faire agir avant de réfléchir. Le but est généralement le même : voler des identifiants, de l’argent ou un accès.

1) La checklist phishing en 30 secondes

Avant de cliquer sur quoi que ce soit, vérifiez ces points :

• Domaine de l’expéditeur : correspond-il exactement au domaine réel de l’entreprise ?
• Urgence : « agissez maintenant ou perdez l’accès » est une tactique de manipulation courante.
• Liens : survolez et lisez attentivement la destination.
• Pièces jointes : les fichiers inattendus sont à haut risque.
• Type de demande : demander des mots de passe, infos de paiement ou une « vérification » est suspect.

2) Astuces de l’expéditeur : nom affiché vs adresse réelle

Les attaquants utilisent souvent un nom affiché fiable tout en cachant une adresse étrange derrière.

• Recherchez des domaines ressemblants (lettres en plus, caractères échangés, TLD bizarres).
• Méfiez-vous des « support-alerts », « billing-team » ou sous-domaines aléatoires.
• Vérifiez si le domaine correspond au site officiel de l’entreprise.

3) Le piège de l’urgence

Le phishing cherche à réduire votre temps de réflexion :

• « Votre compte sera fermé aujourd’hui. »
• « Connexion inhabituelle—vérifiez immédiatement. »
• « Paiement échoué—mettez à jour la carte maintenant. »

Les entreprises légitimes envoient des alertes, mais les alertes sûres vous permettent généralement de vous connecter normalement sans forcer un unique « cliquez sur ce lien maintenant ».

4) Inspection des liens : quoi chercher

• Liens courts : ils cachent la destination réelle.
• Chaînes de redirection : un lien « apparemment sûr » qui redirige rapidement ailleurs.
• Incohérence de domaine : « company-support » qui n’appartient pas à l’entreprise.

Bonne habitude : ouvrez un nouvel onglet et allez directement sur le site officiel au lieu d’utiliser le lien dans l’e-mail.

5) Gestion des pièces jointes : « fichier inattendu = fichier risqué »

Les formats dangereux courants incluent les documents avec macros et les exécutables. Si un message vous presse d’ouvrir une pièce jointe rapidement, considérez-la comme à haut risque.

• Scannez avec un logiciel de sécurité.
• N’activez pas les macros.
• Vérifiez l’expéditeur indépendamment.

6) Que faire si vous avez déjà cliqué

1. Arrêtez : fermez la page et ne saisissez pas vos identifiants.
2. Changez le mot de passe sur le site réel (ouvrez-le directement).
3. Activez la 2FA/les clés d’accès si disponible.
4. Vérifiez les sessions récentes et révoquez les appareils inconnus.
5. Surveillez les moyens de paiement si vous avez saisi des données financières.

7) Comment les boîtes jetables aident (de manière responsable)

Les boîtes jetables peuvent réduire le spam et limiter où votre identité e-mail principale est stockée. Utilisez-les pour les inscriptions à faible risque, essais et tests. Obtenez une boîte fraîche ici : TempMailbox.

Rappel : ne comptez jamais sur une boîte temporaire pour les comptes d’identité ou bancaires critiques.

Partagez cette page