Quels sont les principaux types de phishing ?

Plusieurs. Le phishing par e-mail est la version de masse classique. Le spear phishing cible une personne précise avec des détails personnalisés, le rendant bien plus convaincant. Le whaling vise les dirigeants. Le smishing est du phishing par SMS, et le vishing par appel vocal (souvent un faux « support » ou « conseiller bancaire »). Le clone phishing copie un vrai message déjà vu mais y substitue un lien malveillant. Tous partagent un but : vous faire agir — cliquer, vous connecter, payer ou partager — avant de prendre le temps de vérifier.

Comment repérer une tentative de phishing ?

Surveillez : un sentiment d'urgence ou une menace (« votre compte va être fermé »), une adresse d'expéditeur subtilement erronée, des liens dont la vraie destination (survolez pour vérifier) ne correspond pas au site annoncé, des demandes de mots de passe ou de codes que les services légitimes ne font jamais, des formules génériques et des pièces jointes inattendues. Sur mobile, les liens sont plus durs à inspecter — soyez extra prudent. Dans le doute, ne cliquez pas ; allez directement sur le site en tapant l'adresse vous-même, et contactez l'organisation via un numéro ou une appli déjà fiables.

Comment me protéger du phishing ?

Superposez les défenses. Ne cliquez jamais les liens de messages inattendus — allez sur les sites directement. Activez la double authentification pour qu'un mot de passe volé seul ne suffise pas ; les facteurs résistants au phishing comme les passkeys ou les clés matérielles sont les meilleurs car ils ne s'authentifient pas sur un faux domaine. Utilisez un gestionnaire de mots de passe : il ne remplit automatiquement que sur le vrai domaine, donc s'il refuse de remplir, c'est un signal que le site est faux. Gardez vos logiciels à jour, et vérifiez toute demande « urgente » via un canal distinct et fiable.

Qu'est-ce que le phishing (hameçonnage) ? Le repérer et l'arrêter (2026)

Q: Qu'est-ce que le phishing ?

Le phishing (ou hameçonnage) est une attaque par ingénierie sociale où un escroc se fait passer pour une personne ou une organisation de confiance — votre banque, un employeur, un service connu — pour vous pousser à révéler des informations sensibles ou des identifiants, ou à installer un malware. Il arrive généralement sous forme de message (e-mail, SMS ou chat) qui crée un sentiment d'urgence et vous incite à cliquer un lien vers une fausse page de connexion ou à répondre avec des données personnelles. Le nom joue sur la « pêche » : l'attaquant appâte de nombreuses cibles et attend que quelqu'un morde.

Q: Pourquoi les passkeys et gestionnaires aident contre le phishing ?

Parce qu'ils sont liés au domaine du vrai site. Un gestionnaire ne remplit les identifiants que sur le domaine légitime exact pour lequel il les a enregistrés — donc sur une fausse page imitatrice, il ne remplit tout simplement pas, ce qui vous alerte. Les passkeys (et les clés matérielles FIDO2/WebAuthn) vont plus loin : la connexion cryptographique est liée à l'origine du vrai site, donc même si vous êtes piégé sur une fausse page, la passkey ne s'y authentifie pas. Ce lien à l'origine est ce qui les rend vraiment résistants au phishing, contrairement à un mot de passe qu'on peut vous faire taper n'importe où.

Vous recevez un SMS : « Votre colis est bloqué — confirmez vos informations ici. » Ou un e-mail qui ressemble exactement à votre banque, prévenant que votre compte va être verrouillé. C'est du phishing (hameçonnage) — et c'est la façon la plus courante dont les gens ordinaires se font voler comptes et argent en 2026. Il ne casse pas le chiffrement ni ne devine les mots de passe ; il vous pousse vous à les livrer. Ce guide explique ce qu'est le phishing, les types à reconnaître, comment le repérer, et les défenses qui marchent vraiment.

Ce qu'est le phishing

Le phishing est une attaque par ingénierie sociale : un escroc se fait passer pour quelqu'un de confiance pour vous pousser à révéler des identifiants ou données, ou à installer un malware. Il arrive en général sous forme de message qui fabrique l'urgence (« agissez maintenant ou perdez l'accès ») et vous oriente vers une fausse page de connexion ou une réponse avec des détails personnels.

L'attaque vise le jugement humain, pas la technologie. C'est pourquoi elle marche même contre des mots de passe forts — on vous persuade de les taper vous-même sur la page de l'attaquant.

Une conversation de messagerie sur l'écran d'un téléphone

Les principaux types

Phishing par e-mail — la campagne de masse classique.
Spear phishing — personnalisé pour une cible précise, bien plus convaincant.
Whaling — visant les dirigeants.
Smishing — par SMS ; vishing — par appel vocal (faux « support » ou « banque »).
Clone phishing — copie un vrai message mais y substitue un lien malveillant.

Tous partagent un but : vous faire agir avant de vérifier.

Comment le repérer

Urgence ou menaces — « votre compte va être fermé ».
Une adresse d'expéditeur subtilement erronée — regardez bien le domaine.
Liens qui ne correspondent pas — survolez pour voir la vraie destination ; elle ne colle pas au site annoncé.
Demandes de mots de passe ou de codes — les services légitimes n'en font jamais.
Formules génériques et pièces jointes inattendues.

Sur mobile, les liens sont plus durs à inspecter — redoublez de prudence. Dans le doute, ne cliquez pas : tapez l'adresse vous-même ou utilisez l'appli officielle.

Comment l'arrêter

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Un gestionnaire ne remplit pas sur un faux site → NordPassRemplit seulement sur le vrai domaine · Coffre zero-knowledge · Scanner de fuites intégré→

Ne cliquez jamais les liens de messages inattendus. Allez sur les sites directement.
Activez la double authentification pour qu'un mot de passe volé seul ne suffise pas — et préférez les facteurs résistants au phishing.
Utilisez un gestionnaire de mots de passe. Il ne remplit que sur le vrai domaine ; s'il refuse, le site est probablement faux — une alerte intégrée. (Voyez pourquoi les gestionnaires sont sûrs.)
Vérifiez les demandes « urgentes » via un canal distinct et fiable.

Pourquoi passkeys et gestionnaires résistent au phishing

Les deux sont liés au vrai domaine. Un gestionnaire ne remplit que sur le site légitime exact, donc une page imitatrice n'obtient rien. Les passkeys et clés matérielles (FIDO2/WebAuthn) vont plus loin : la connexion est cryptographiquement liée à l'origine du vrai site, donc même si vous atterrissez sur une fausse page, elle ne s'authentifie pas. Ce lien à l'origine est la vraie défense — voyez notre guide des meilleures applis d'authentification, et si vous pensez être déjà piégé, quoi faire si un compte est piraté.

En résumé

Le phishing vous pousse à livrer vos identifiants via de faux messages et pages de connexion — il bat les mots de passe forts car il vous vise, vous, pas votre chiffrement. Repérez-le à son urgence, son expéditeur erroné et ses liens incohérents ; arrêtez-le en ne cliquant jamais les liens inattendus, en activant une 2FA résistante au phishing, et en laissant un gestionnaire refuser de remplir sur les faux. L'habitude de vérifier avant d'agir est toute la défense.

Guide éditorial fondé sur les techniques documentées de phishing (e-mail/spear/smishing/vishing) et les défenses standards (2FA, passkeys, liaison au domaine des gestionnaires). Les liens commerciaux portent l'attribut rel="sponsored nofollow" ; une commission d'affiliation peut s'appliquer sans surcoût pour vous.

★ Audit Cure53 2024 · ✓ Plan gratuit · Cross-platform

Voir l'offre NordPass30 jours satisfait ou remboursé · Plan gratuit disponible→