Aller au contenu principal

Comment vous protéger des attaques de phishing

Le phishing est la cause n°1 de vol de comptes. Découvrez comment fonctionne le phishing moderne, les signaux d'alerte et les défenses qui bloquent réellement les attaques.

Dernière mise à jour : 14 avril 2026

TL;PL

  • Le phishing est la cause n°1 des prises de contrôle de comptes — les attaquants vous incitent à saisir vos identifiants sur un faux site.
  • Les kits de phishing modernes clonent les pages de connexion au pixel près et transmettent vos codes 2FA en temps réel.
  • Les clés de sécurité matérielles (YubiKey, FIDO2) sont la seule défense conçue pour être résistante au phishing par conception.
  • Les gestionnaires de mots de passe vous protègent en refusant de remplir automatiquement les champs sur un domaine incorrect.
  • Vérifiez le domaine exact avant de saisir vos identifiants et ne vous connectez jamais via un lien contenu dans un e-mail.

Qu'est-ce que le phishing ?

Le phishing est une attaque d'ingénierie sociale par laquelle un attaquant crée une copie convaincante d'un site web légitime — souvent reproduit au pixel près — et incite une victime à y saisir ses identifiants. Dès que la victime valide le formulaire, l'attaquant capture le nom d'utilisateur, le mot de passe et tout second facteur, puis les utilise pour prendre le contrôle du vrai compte en quelques secondes.

Le terme vient de la métaphore de la « pêche » (fishing) aux victimes avec un appât (généralement un e-mail). L'orthographe a évolué pour souligner que les attaquants utilisent souvent des numéros de téléphone (phishing par SMS, ou « smishing ») et des infrastructures d'apparence professionnelle.

Pourquoi le phishing reste la menace n°1

La plupart des violations de comptes à grande échelle aujourd'hui n'impliquent pas de piratage, de cassage de mots de passe ou de contournement du chiffrement. Elles impliquent un humain qui saisit un mot de passe sur un faux site. Le phishing est :

  • Bon marché — un attaquant peut envoyer des millions d'e-mails pour le coût d'un VPS et d'un domaine usurpé
  • Difficile à filtrer — les kits modernes font tourner les domaines, utilisent un hébergement légitime et s'adaptent aux filtres en temps réel
  • Efficace — même les utilisateurs sensibilisés à la sécurité tombent dans le piège de tentatives ciblées et bien conçues (spear phishing)
  • Évolutif — un seul hameçonnage réussi donne souvent accès à des dizaines de services connectés via la réutilisation des mots de passe

Le rapport 2024 de Verizon sur les violations de données (Data Breach Investigations Report) a révélé que le phishing était le vecteur d'accès initial dans plus de 36 % de toutes les violations — davantage que toute autre cause unique.

Comment fonctionne le phishing moderne

Le phishing a largement évolué par rapport aux e-mails du « prince nigérian » des années 2000. Une attaque de phishing moderne comprend généralement :

1. Un leurre convaincant

Il s'agit généralement d'un e-mail, d'un SMS ou d'un message instantané créant un sentiment d'urgence (« Votre compte va être suspendu »), d'autorité (« Équipe de sécurité Microsoft ») ou de curiosité (« Quelqu'un vous a identifié sur une photo »). Le spear phishing va plus loin en intégrant des détails personnels extraits de LinkedIn, de bases de données compromises ou de correspondances antérieures.

2. Un faux site reproduit au pixel près

Les attaquants utilisent des kits de phishing clé en main qui clonent le HTML, les CSS et le JavaScript du site cible. De nombreux kits sont vendus en tant que service (phishing-as-a-service), avec des tableaux de bord fonctionnels et un service client.

3. Un proxy en temps réel pour la 2FA

Le point le plus dangereux : les kits modernes ne se contentent pas de capturer votre mot de passe. Ils agissent comme un proxy man-in-the-middle qui transmet tout ce que vous saisissez — y compris votre code TOTP — au vrai site en quelques secondes, contournant ainsi la plupart des 2FA. Cette technique s'appelle adversary-in-the-middle (AiTM) et est utilisée dans des outils comme Evilginx2 et Modlishka.

4. Vol du jeton de session

Une fois que vous vous êtes authentifié via le proxy, l'attaquant capture votre cookie de session et peut l'utiliser pour rester connecté même après que vous ayez changé votre mot de passe. C'est pourquoi la réponse à une attaque de phishing inclut toujours la révocation des sessions actives, et pas seulement la rotation du mot de passe.

Ce qui arrête réellement le phishing

Clés de sécurité matérielles (FIDO2 / WebAuthn)

C'est la seule catégorie de défense résistante au phishing par conception. Lorsque vous vous connectez avec une clé FIDO2, votre clé vérifie cryptographiquement le domaine exact du site demandant l'authentification. Un faux site — aussi visuellement parfait soit-il — possède un domaine différent, la clé refuse donc de répondre. La poignée de main cryptographique ne se complète tout simplement pas.

Google a rendu célèbre l'obligation d'utiliser des YubiKeys pour l'ensemble de ses 85 000+ employés en 2017 et a signalé zéro attaque de phishing réussie sur les comptes de l'entreprise dans les années qui ont suivi.

Passkeys

Les passkeys sont l'évolution grand public de FIDO2. Elles utilisent la même cryptographie liée au domaine et sont intégrées à iOS, Android, macOS et Windows. Si un site que vous utilisez prend en charge les passkeys, les activer rend ce compte résistant au phishing.

Gestionnaires de mots de passe

Un gestionnaire de mots de passe constitue votre deuxième ligne de défense, car il ne remplit automatiquement les identifiants que sur le domaine exact où ils ont été enregistrés. Si vous atterrissez sur paypaI.com (I majuscule) au lieu de paypal.com, votre gestionnaire refuse silencieusement de remplir le formulaire. Ce refus est un avertissement fort indiquant qu'il y a un problème.

Filtrage des e-mails et DNS

Les fournisseurs de messagerie utilisent DMARC, SPF et DKIM pour détecter les adresses d'expéditeurs usurpées. La plupart des fournisseurs modernes interceptent les tentatives évidentes, mais les attaques ciblées passent encore parfois. Activez le bouton « Signaler comme phishing » dans votre client de messagerie afin de contribuer à l'amélioration des filtres.

Signaux d'alerte à surveiller

Lorsque vous recevez un message vous demandant de vous connecter, de vérifier quelque chose ou d'agir d'urgence :

  • Urgence et menaces — « Votre compte sera fermé dans 24 heures »
  • Formules génériques — « Cher client » au lieu de votre nom
  • Domaines imitateurspaypaI.com, app1e.com, secure-microsoft-login.net
  • Pièces jointes inattendues — notamment les fichiers .zip, .html ou .pdf vous demandant de vous connecter pour les consulter
  • Erreurs grammaticales ou de mise en forme — les grandes entreprises relisent leurs e-mails
  • Discordance entre le lien et le texte — survolez le lien et vérifiez si la destination correspond au texte affiché

Si quelque chose vous semble suspect, fermez l'e-mail. Accédez au site manuellement. S'il y a réellement un problème, vous le verrez en vous connectant via votre procédure habituelle.

Que faire si vous avez été victime d'une attaque

Agissez rapidement — la rapidité est essentielle car les attaquants commencent à utiliser les identifiants en quelques minutes.

  1. Changez immédiatement le mot de passe depuis un autre appareil (votre téléphone, par exemple, si vous avez été piégé depuis votre ordinateur portable)
  2. Révoquez toutes les sessions actives dans les paramètres du compte — cela déconnecte toute personne utilisant actuellement des jetons de session volés
  3. Activez la 2FA si elle n'était pas déjà en place, et utilisez une clé matérielle ou une passkey si possible
  4. Vérifiez les activités non autorisées — e-mails envoyés, connexions récentes, modifications de facturation, nouvelles règles de transfert
  5. Informez l'établissement concerné s'il s'agit d'un compte financier ou professionnel
  6. Vérifiez les autres comptes qui utilisaient le même mot de passe — même si vous êtes convaincu de ne pas réutiliser vos mots de passe, vérifiez quand même

En conclusion

Le phishing prospère parce qu'il contourne la technologie et cible les humains. Les meilleures défenses combinent trois niveaux : les gestionnaires de mots de passe (refusent le remplissage automatique sur les mauvais domaines), la 2FA résistante au phishing (clés matérielles ou passkeys liées au domaine réel) et une saine vigilance (ne jamais se connecter via un lien dans un e-mail).

Activez ces trois mesures en priorité sur votre compte le plus important — votre messagerie. À partir de là, l'ensemble de votre vie numérique devient nettement plus sûre.

Comment se protéger du phishing

Une liste de contrôle pratique et ordonnée pour renforcer vos comptes contre les attaques de phishing.

  1. Utiliser un gestionnaire de mots de passe:Installez un gestionnaire de mots de passe réputé (1Password, Bitwarden, Proton Pass) et laissez-le remplir automatiquement vos identifiants. Il refusera de les saisir sur des domaines imitateurs, agissant ainsi comme un détecteur de phishing intégré.
  2. Activer une 2FA résistante au phishing:Ajoutez une clé matérielle FIDO2 (YubiKey, Google Titan) ou une passkey à vos comptes les plus importants — commencez par la messagerie, puis les services bancaires, le stockage en nuage et le gestionnaire de mots de passe. Ce sont les seules méthodes 2FA qui bloquent réellement le phishing moderne.
  3. Ne jamais se connecter via des liens dans les e-mails:Lorsque vous recevez un e-mail vous demandant de vous connecter, fermez l'e-mail et accédez au site manuellement via un favori ou en saisissant l'URL. Le lien dans l'e-mail peut être un clone parfait ; le favori dans votre navigateur, non.
  4. Vérifier le domaine exact avant de saisir:Avant de saisir un mot de passe, vérifiez l'URL complète dans la barre d'adresse. Assurez-vous que le protocole HTTPS est bien présent, que l'orthographe est correcte et qu'il n'y a pas de sous-domaines suspects du type paypal.com.secure-login.net.
  5. Signaler et passer à autre chose:Signalez la tentative de phishing à votre fournisseur de messagerie (la plupart proposent un bouton « Signaler comme phishing »). Puis reprenez votre journée — le phishing n'est dangereux que si vous y succombez, et la vigilance constitue la majeure partie de la défense.

Questions fréquemment posées