Introduction
Le phishing en 2026 : une menace croissante
Le phishing (hameçonnage) représente 36% des cyberattaques en France en 2025 selon l'ANSSI. Les escrocs usurpent l'identité de banques, administrations (impots.gouv.fr (ouvre dans un nouvel onglet), ameli.fr (ouvre dans un nouvel onglet)) et plateformes (Amazon, Netflix) pour voler vos identifiants et données bancaires. En 2026, les attaques utilisent l'IA pour générer des emails ultra-réalistes et des deepfakes vocaux.
Étape 1 — Identifier les signes d'un email de phishing
Les emails de phishing présentent des signes révélateurs :
- Expéditeur falsifié : l'adresse email ne correspond pas au domaine officiel (ex : support@banqe-poste.fr au lieu de support@banquepostale.fr)
- Urgence et menace : « Votre compte sera fermé dans 24h », « Action immédiate requise »
- Liens suspects : survolez le lien sans cliquer — l'URL réelle ne correspond pas au texte affiché
- Pièces jointes : .exe, .zip, .docm sont des formats à risque
- Fautes d'orthographe : les emails officiels français sont relus et ne contiennent pas de fautes
Étape 2 — Vérifier l'authenticité d'un email
Avant de cliquer sur un lien, vérifiez :
- L'expéditeur réel : appuyez sur le nom pour voir l'adresse email complète
- Les en-têtes DMARC/DKIM : dans Gmail, appuyez sur « Afficher l'original » pour vérifier que le message est authentifié
- L'URL au survol : vérifiez que le domaine correspond au site officiel (impots.gouv.fr (ouvre dans un nouvel onglet), pas impots-gouv-fr.com)
- Le certificat SSL : les vrais sites affichent un cadenas vert et le nom de l'organisation dans le certificat
En cas de doute, ne appuyez sur aucun lien. Contactez directement l'organisme via son site officiel ou par téléphone.
Étape 3 — Signaler le phishing aux autorités
Signalez tout email suspect :
- Phishing-initiative.fr : plateforme officielle de signalement de la DGCCRF et de la DGSI
- Signal-spam.fr : signalement en ligne des emails et SMS frauduleux
- Cybermalveillance.gouv.fr : assistance aux victimes de cyberattaques
- Bouton « Signaler le phishing » dans Gmail, Outlook et Thunderbird
Étape 4 — Configurer les protections anti-phishing
Activez les protections dans vos outils :
- Gmail : Paramètres → Général → Activation de la confidentialité et filtres anti-phishing avancés
- Outlook : Paramètres → Courrier indésirable → Filtrage exclusif des expéditeurs non vérifiés
- Thunderbird : Installez l'extension PhishDetector
- Authentification 2FA : activez-la sur tous vos comptes critiques (banque, email, impôts)
Étape 5 — Que faire si on a cliqué sur un lien de phishing
Si vous avez cliqué ou transmis des données :
- Changez immédiatement vos mots de passe sur les comptes concernés
- Activez le 2FA si ce n'est pas déjà fait
- Contactez votre banque pour faire opposition si des données bancaires ont été transmises
- Signalez sur signal-spam.fr et phishing-initiative.fr
- Déposez une plainte sur pre-plainte-en-ligne.interieur.gouv.fr
- Surveillez votre compte bancaire et vos relevés pendant 3 mois
Étapes à suivre5
Identifier les signes du phishing
Vérifiez l'expéditeur, l'urgence, les liens au survol, les pièces jointes et les fautes. Un email officiel n'utilise jamais l'urgence ni la menace.
Vérifier l'authenticité d'un email
appuyez sur le nom de l'expéditeur pour voir l'adresse complète. Vérifiez les en-têtes DMARC/DKIM. En cas de doute, contactez l'organisme directement.
Signaler le phishing
Utilisez phishing-initiative.fr, signal-spam.fr ou cybermalveillance.gouv.fr. Le bouton « Signaler » existe dans Gmail, Outlook et Thunderbird.
Configurer les protections anti-phishing
Activez les filtres anti-phishing dans Gmail/Outlook. Mettez en place l'authentification 2FA sur tous les comptes critiques.
Réagir après un clic sur un lien de phishing
Changez les mots de passe, activez le 2FA, contactez la banque, signalez sur signal-spam.fr, déposez une plainte en ligne.
Conseils pratiques
- Les administrations françaises ne demandent JAMAIS vos identifiants ou données bancaires par email
- Utilisez un gestionnaire de mots de passe — il ne remplira pas les formulaires de phishing car le domaine ne correspond pas
- Vérifiez les URL : impots.gouv.fr est le vrai site, impots-gouv-fr.com est un faux
Points d'attention
- Ne cliquez jamais sur un lien dans un email suspect — même pour 'vérifier' — contactez l'organisme directement
- Le phishing par SMS (smishing) est tout aussi dangereux : ne cliquez pas sur les liens reçus par SMS d'expéditeurs inconnus
- Les attaques de phishing IA (deepfake vocal) peuvent imiter la voix d'un proche — vérifiez toujours par un autre canal
Questions fréquentes4
Comment différencier un vrai email d'une administration d'un phishing ?
Les vrais emails de l'administration française proviennent de domaines en .gouv.fr. Ils ne demandent jamais de cliquer sur un lien pour « vérifier votre identité » ou « confirmer vos données bancaires ». En cas de doute, connectez-vous directement sur le site officiel sans cliquer sur le lien de l'email.
Quels sont les phishing les plus courants en France en 2026 ?
Les plus fréquents : impôts (fausse déclaration, faux remboursement), Ameli (faux remboursement CPAM), banques (alerte sécurité fictive), Netflix/Amazon (renouvellement fictif), et Colissimo/La Poste (colis fictif). L'ANSSI recense les campagnes actives sur cybermalveillance.gouv.fr.
Peut-on récupérer l'argent volé par phishing ?
Oui, si vous signalez rapidement. Contactez votre banque dans les 24h pour faire opposition. La banque doit rembourser les transactions frauduleuses si vous n'avez pas été négligent (article L133-18 du Code monétaire). Déposez plainte sur pre-plainte-en-ligne.interieur.gouv.fr.
Le phishing par SMS (smishing) est-il aussi dangereux ?
Oui, le smishing est en hausse de 65% en 2025 selon Signal Spam. Les SMS frauduleux imitent La Poste, impôts ou votre banque. Ne cliquez jamais sur un lien SMS si vous n'êtes pas certain de l'expéditeur. Signalez au 33700 (SMS) ou sur signal-spam.fr.
Guides Technologie & IA
Voir toutConstruire un chatbot local avec Ollama et Python en 30 minutes
Utiliser DeepSeek V4 en 2026 pour améliorer la recherche
Utiliser Claude Opus 4.7 en 2026 pour améliorer la productivité
Comment créer et gérer ses mots de passe de manière sécurisée en 2026
Comment utiliser Ollama en 2026
Poursuivez votre lecture
Multi-catégoriesÉquipe éditoriale GuidePratiquefr
Rédacteurs spécialisés en droit, fiscalité et finances
Rédigé et vérifié par notre équipe de rédacteurs spécialisés. Sources officielles consultées : service-public.fr, legifrance.gouv.fr, impots.gouv.fr, ameli.fr. Dernière vérification : 16 mai 2026.
Sources officielles consultées
Les informations contenues dans ce guide sont fournies à titre indicatif et ne remplacent pas un conseil professionnel personnalisé.