Comment repérer les e-mails, SMS et messages d'hameçonnage
L'hameçonnage vous pousse à livrer vos mots de passe ou votre argent en se faisant passer pour quelqu'un de confiance. Apprenez les signes révélateurs.
L'hameçonnage (phishing), c'est quand un escroc se fait passer pour une personne ou une entreprise de confiance — votre banque, un transporteur, une administration, voire un membre de votre famille — pour vous pousser à cliquer sur un lien piégé, saisir votre mot de passe ou envoyer de l'argent. Il arrive par e-mail, SMS, téléphone ou réseaux sociaux.
La bonne nouvelle : presque toutes les tentatives partagent les mêmes signes d'alerte. Une fois qu'on les connaît, elles deviennent faciles à repérer.
Les quatre questions à poser à chaque message
- Cherche-t-il à me faire paniquer ou me presser ?
- Demande-t-il un mot de passe, un code ou un paiement ?
- L'expéditeur ou le lien semble-t-il légèrement anormal ?
- Est-ce que j'attendais ce message ?
Les signes d'alerte classiques
Un faux sentiment d'urgence
« Votre compte sera fermé dans 24 heures. » « Activité suspecte détectée — agissez maintenant. » Les escrocs veulent vous voir effrayé et pressé, car un cerveau pressé ne vérifie pas. Les vraies organisations vous laissent du temps.
Une demande d'informations secrètes
Aucune banque, administration fiscale ou entreprise légitime ne vous demandera jamais votre mot de passe complet, votre code PIN ou un code de sécurité à usage unique. Si un message ou un appel les demande, c'est une arnaque — point final.
Un lien qui ne correspond pas
Le texte peut afficher votre-banque.com alors que la vraie destination est ailleurs. Sur ordinateur, survolez le lien sans cliquer pour voir la véritable adresse. Sur téléphone, appuyez longuement pour la prévisualiser. Méfiez-vous des imitations : paypa1.com, amaz0n-support.net.
La règle d'or
Ne vous connectez jamais et ne payez jamais via un lien d'un message inattendu. Rendez-vous vous-même chez l'entreprise — tapez son adresse dans votre navigateur, utilisez son application officielle ou appelez le numéro au dos de votre carte. Cette seule habitude déjoue presque tout l'hameçonnage.
Que faire d'un message suspect
- Stop. Ne cliquez pas, ne répondez pas, n'appelez pas le numéro du message.
- Vérifiez indépendamment par des canaux officiels que vous trouvez vous-même.
- Signalez-le — la plupart des messageries ont un bouton de signalement ; en France, transférez les SMS frauduleux au 33700. Voir notre annuaire de signalement.
- Supprimez-le.
Si vous avez déjà cliqué
Agissez vite, sans paniquer : changez le mot de passe du compte concerné (et partout où vous le réutilisiez), activez la validation en deux étapes, et si vous avez saisi des données bancaires, appelez votre banque. Notre article sur la récupération après une fuite vous guide pas à pas.