Vie privée & cybersécurité

Comprendre le phishing, le smishing, le vishing et s’en protéger

Les signaux qui trahissent une arnaque et les bons réflexes pour éviter la fraude par email, SMS ou appel.

ecran d'ordinateur montrant une fausse alerte

Introduction : le vrai levier des attaques, c’est l’humain

Le phishing ne casse pas des pare-feu, il contourne l’attention. Son terrain de jeu : l’ingénierie sociale, c’est-à-dire l’art d’amener quelqu’un à faire spontanément ce qu’on veut — cliquer, répondre, payer — en jouant sur l’autorité, l’urgence ou la peur. Les campagnes perdurent parce qu’elles répliquent à la perfection les codes des marques, des administrations ou d’un « collègue pressé », et qu’elles nous poussent à agir avant de vérifier.

Surtout, l’hameçonnage a migré là où l’on réagit au quart de tour : le mobile. Les SMS et les appels automatisés raccourcissent la distance entre le message et l’action. Résultat : le smishing (par SMS) et le vishing (par téléphone) complètent désormais l’arsenal classique par email.

Les vecteurs : même objectif, canaux différents

TypeVecteur principalPrincipe
PhishingEmail, faux sitesRécolter identifiants et données via courriels et pages de connexion copiées.
SmishingSMS, apps de messageriePousser un clic rapide vers un site piégé ou soutirer des infos.
VishingAppels, messages vocauxSe faire passer pour une entité légitime et obtenir des données sensibles.

Quel que soit le canal, le scénario est identique : créer une émotion forte (peur de perdre l’accès, promesse d’un gain, sentiment d’urgence) pour court-circuiter le raisonnement. La parade commence donc par des réflexes d’analyse simples et systématiques.

Cinq signaux qui doivent immédiatement alerter

1) L’expéditeur ne colle pas parfaitement

Premier coup d’œil : qui écrit ou appelle vraiment ? Sur email, inspecter l’adresse complète ; sur SMS, regarder le numéro ; au téléphone, ne jamais se fier à l’affichage de l’appelant (spoofing). Les fraudeurs exploitent le typosquatting : domaines à une lettre près, TLD exotiques (.cam, .co), sous-domaines trompe-l’œil (connexion.paypal-securite.net). Règle d’or : lire l’URL de droite à gauche pour identifier le domaine racine, et ignorer tout ce qui le précède.

2) La langue et la mise en forme déraillent (même légèrement)

Tournures maladroites, fautes répétées, formules génériques (« Cher client »), logos déformés, pied de mail incomplet : pris isolément, ce n’est pas une preuve. Ensemble, c’est un faisceau d’indices. Un message légitime est cohérent sur toute la ligne : ton, graphisme, infos de contact, signature vérifiable.

3) On vous presse, on vous menace… ou on vous appâte

Trois leviers dominent :

  • L’urgence menaçante : « Compte bloqué sous 24 h », « Dernier avis ».
  • L’appât : remboursement inattendu, lot gagné, investissement miracle.
  • Le scareware : pop-up alarmiste qui « détecte » un virus et propose un « correctif » immédiat.

Si l’émotion monte, faire l’inverse de ce que le message attend : ralentir.

4) Le lien ne dit pas ce qu’il fait

Sans cliquer, survoler (ou appui long sur mobile) pour voir la vraie destination. Si l’URL n’appartient pas au domaine attendu, demi-tour. Vérifier aussi le protocole : https ne garantit pas la légitimité, mais l’absence de cadenas est un signal net. Au moindre doute, préférer un contrôle via le site ou l’app officiels, saisis manuellement.

5) On demande des secrets

Aucune banque, aucun service de paiement, aucune administration ne demande par email/SMS/appel non sollicité : mot de passe, code 2FA/SMS, code carte, CVV, prise en main à distance. Toute demande de ce type est frauduleuse.

Mémo express

IndiceRisque exploitéVérification
Expéditeur bizarre / domaine look-alikeUsurpationLire le domaine racine.
Urgence (« 24 h »), menacePeur, précipitationFaire une pause, contrôler par canal officiel.
Lien inattenduRedirection piégéeSurvol / appui long, vérifier l’URL complète.
Demande de codes / CBVol d’accès / d’argentRefuser, aucun partage de secrets.

Trois scénarios très courants, décodés

1) Le faux mail « sécurité PayPal/banque »

Le message copie le visuel officiel et annonce une « activité suspecte ».

  • Expéditeur : le nom semble correct, mais l’adresse trahit un domaine imité (ex. security-paypaI.com avec un I majuscule à la place d’un l minuscule).
  • Texte : délai serré, menaces de suspension, bouton « Vérifier ».
  • Lien : l’aperçu pointe vers un domaine qui n’a rien à voir avec le vrai (paypal-securite-update.net), parfois en http.

But réel : voler les identifiants pour mener ensuite des fraudes mieux ciblées (virements, faux conseillers, achats rapides).

2) Le smishing « colis à reprogrammer »

SMS d’un 06/07 : « Votre colis nécessite des frais / un nouveau créneau ».

  • Nouvelle ruse : un premier SMS neutre (« Vous êtes chez vous ? ») pour activer les liens ensuite.
  • Lien vers un site cloné (transporteur connu) qui réclame adresse, email, carte bancaire pour quelques « frais ».

But réel : récupérer des numéros de carte, pas encaisser 2,49 €. Les transporteurs ne demandent pas de paiement par SMS.

3) Le faux « copyright » sur Instagram (via DM)

Message alarmiste : « Violation détectée, compte supprimé sous 24 h. Remplir le formulaire ».

  • Lien vers une page d’appel factice demandant identifiant + mot de passe.
  • Une fois saisis, les attaquants prennent la main sur le compte (et la 2FA si elle n’est pas activée ou si le code est fourni).

But réel : credential harvesting puis détournement du compte (arnaques aux abonnés, extorsion, revente).

Protocole immédiat face à un message suspect

1) Réflexe zéro clic

Ne pas cliquer, ne pas ouvrir la pièce jointe, ne pas répondre. Mettre à jour antivirus et OS, activer l’authentification à deux facteurs partout où c’est possible (et privilégier l’approbation dans l’app plutôt que le simple SMS).

2) Vérification par un canal officiel

  • Ignorer liens/numéros fournis dans le message.
  • Ouvrir manuellement le site ou l’app légitimes (banque, service, administration). Après connexion, toute alerte réelle y apparaîtra.
  • Utiliser les outils de contrôle de sécurité des comptes (ex. checkups intégrés) pour repérer connexions anormales et appareils inconnus.

3) Signaler pour faire couper le robinet

SMS/Appels (smishing/vishing)

  • Transférer le SMS au 33700 (gratuit).
  • Répondre au message de retour pour indiquer le numéro émetteur.
  • Pour un appel frauduleux : envoyer « spam vocal » + le numéro au 33700.

Emails et sites

  • Déclarer les emails de phishing via les dispositifs dédiés (bouton « signaler » de la messagerie, plateformes nationales de signalement).
  • Remonter les URL frauduleuses aux services spécialisés pour blocage.
  • Prévenir l’entreprise usurpée : beaucoup disposent d’adresses anti-fraude dédiées.

Et si l’on a cliqué… ou donné des infos ?

Le temps joue contre la victime : il faut dérouler un plan d’urgence clair.

1) Argent et moyens de paiement : agir en minutes

  • Opposition immédiate à la carte (application bancaire ou numéro interbancaire 24/7).
  • Signalement de la fraude carte sur la plateforme dédiée (utile aux enquêtes et au blocage des filières).
  • Surveillance active du compte pour repérer toute opération non autorisée.

2) Comptes en ligne et appareils

  • Changer le mot de passe du service touché, puis de tous les comptes où il a été réutilisé.
  • Activer/renforcer la 2FA (application d’authentification ou clé physique de préférence).
  • Analyser l’appareil avec un antivirus à jour ; si infection, suivre la procédure de désinfection (et envisager la réinitialisation si nécessaire).

3) Côté légal et accompagnement

  • Porter plainte (police/gendarmerie). Préparer captures, relevés, échanges.
  • Utiliser la télédémarche dédiée aux escroqueries en ligne si elle s’applique à la situation.
  • Contacter un service d’assistance (public ou associatif) pour être guidé dans les étapes et les droits au remboursement.

Tableau mémo — réflexes post-compromission

Donnée exposéeAction prioritaireSuite et recours
Carte bancaireOpposition immédiate (24/7)Déclaration sur la plateforme dédiée + suivi du compte
Identifiants / mots de passeChangement partout, 2FARevue des appareils et sessions, déconnexion à distance
Perte financièrePlainteProcédures en ligne + accompagnement Info Escroqueries / associations

Conclusion : trois règles d’or à retenir

  1. Pause critique : ne jamais agir sous pression. Lire l’expéditeur, inspecter l’URL (de droite à gauche), vérifier la cohérence.
  2. Canal officiel only : ignorer liens et numéros du message ; passer par l’app ou l’URL tapée à la main.
  3. Secrets = jamais : aucun code, aucun mot de passe, aucun CVV/OTP ne se partage par email, SMS ou appel non sollicité.

Adopter ces réflexes, c’est déjà couper court à l’immense majorité des arnaques — quel que soit le déguisement du jour.

FAQ

Comment reconnaître rapidement un SMS frauduleux ? Numéro mobile générique, lien raccourci ou domaine étrange, faute d’orthographe, demande d’action immédiate. Au moindre doute, ne cliquez pas et passez par le site/l’app du service.

Le cadenas dans la barre d’adresse suffit-il ? Non. Le https chiffre la connexion, il n’atteste pas l’identité du site. Vérifier le domaine et l’orthographe complète.

On me téléphone en se présentant comme ma banque : que faire ? Raccrocher, puis rappeler le numéro officiel (trouvé par vous) ou passer par l’app bancaire. Ne donner aucun code par téléphone.

J’ai entré mon mot de passe sur un site douteux : que faire ? Changer immédiatement ce mot de passe partout où il sert, activer la 2FA, vérifier les connexions récentes et déconnecter les appareils inconnus.

Un colis est « en attente de frais » via un lien SMS : vrai ou faux ? Dans la très grande majorité des cas, faux. Les transporteurs ne réclament pas de paiements via lien SMS non sollicité.

Sources