Tous les articles
B
Le Blog d'Antoine
CyberSécuritéPhishingSécurité

L'attaque par hameçonnage (Phishing) : comprendre, détecter et se protéger

MASIA Antoine

MASIA Antoine

Développeur Full-Stack, DevOps & CyberSécurité

CyberSécuritéPhishingSécuritéRéseau

L'attaque par hameçonnage (Phishing) : comprendre, détecter et se protéger

Qu'est-ce que le phishing, comment fonctionne-t-il, quelles en sont les conséquences ? Scénarios réels, exemples concrets et guide complet pour se défendre contre l'une des attaques les plus répandues au monde.

25 mars 2026 1 min de lecture

Commençons par le commencement

Le phishing — ou hameçonnage si on veut rester purement français — c'est probablement l'attaque la plus banale du monde numérique. Et justement parce qu'elle est banale, les gens ne la prennent pas assez au sérieux.

Le principe est simple. Un attaquant se fait passer pour quelqu'un de confiance — ta banque, Netflix, ton patron, la Sécurité Sociale — et il t'envoie un message qui te pousse à agir vite, sans réfléchir. Cliquer sur un lien, renseigner ton mot de passe, télécharger une pièce jointe. C'est tout. Le mal est fait.

Ce qui est frappant quand on creuse le sujet, c'est que la technique n'a pas vraiment changé depuis les années 1990 où elle est apparue. Ce qui a changé, c'est le volume et le niveau de soin apporté aux faux messages. Aujourd'hui certains e-mails de phishing sont visuellement indiscernables des vrais. Logo parfait, ton de la marque respecté, domaine presque identique — genre secure-paypal.com au lieu de paypal.com. Si tu ne regardes pas l'URL de près, tu passes à côté.

Un scénario qui se répète tous les jours

Pour rendre ça concret, voilà une situation que j'ai souvent vue décrite dans des rapports d'incident, et qui arrive réellement dans les entreprises.

Alice bosse dans un bureau. Elle reçoit un e-mail de sa banque, logo propre, mise en page soignée, qui lui demande de "confirmer ses coordonnées suite à une activité suspecte détectée". Marc, son collègue, jette un œil et lui dit de ne pas s'en faire, ça semble légitime. Il clique souvent sans trop vérifier, Marc.

Mais Alice, elle, a quelque chose qui coince. Elle transfère l'e-mail à Laura, la personne qui s'y connaît un peu dans l'équipe. Laura ouvre le message, survole l'en-tête technique, regarde l'URL du lien en survolant sans cliquer — et là c'est clair : domaine bizarre, certificat auto-signé, formulaire qui pointe vers un serveur en Roumanie. Tentative de phishing, sans discussion.

Paul, le responsable informatique, est prévenu. Il bloque le domaine au niveau du pare-feu, contacte tous les collaborateurs, vérifie les logs pour voir si quelqu'un d'autre a cliqué. Personne heureusement. Mais ça aurait pu tourner différemment si Alice avait fait comme Marc.

Ce qui sauve Alice dans cette histoire, c'est juste un doute. Un moment d'hésitation. C'est souvent tout ce qu'il faut.

Quand ça touche les grands — Google et Netflix

On pourrait penser que les grosses entreprises avec leurs équipes sécurité entières sont immunisées. En 2017, Google s'est fait cibler. Des e-mails soigneusement rédigés, semblant provenir de collègues internes, invitaient des employés à cliquer sur un lien de partage Google Docs. Sauf que le lien menait vers une application malveillante qui demandait l'accès au compte Gmail. Quelques personnes ont accordé cet accès sans réaliser ce qu'elles faisaient. Google a réagi vite, en moins d'une heure d'après ce qui a été rapporté, et a révoqué les accès. Mais le fait que ça soit arrivé chez Google, ça dit quelque chose.

Netflix en 2020, c'était différent — une campagne de masse cette fois. Des millions d'abonnés ont reçu des e-mails leur signalant un problème de paiement, avec un lien vers une page de connexion qui ressemblait à celle de Netflix pixel pour pixel. Les gens ont entré leurs identifiants et leur numéro de carte. Le tout partait directement chez les attaquants. Netflix a dû envoyer des alertes en urgence à ses utilisateurs, mais le mal était déjà fait pour une partie d'entre eux.

Ce que ces deux exemples ont en commun : l'humain reste le maillon faible. Peu importe les systèmes en place.

Comment réagir si tu reçois un e-mail suspect

D'abord, ne clique sur rien. Vraiment. Même pour "vérifier". Tu peux survoler un lien sans cliquer pour voir l'URL réelle en bas de ton navigateur — si ça ressemble de près ou de loin à quelque chose de bizarre, tu fermes.

Ensuite, si tu veux vraiment vérifier si l'e-mail vient bien de ta banque ou de ton service de streaming, tu vas directement sur le site en tapant l'adresse toi-même. Pas en suivant le lien de l'e-mail.

Le 2FA — la double authentification — c'est vraiment ton meilleur allié ici. Même si quelqu'un récupère ton mot de passe, sans le code envoyé sur ton téléphone il ne peut rien faire. Active-le partout où c'est proposé, surtout sur ta messagerie et ta banque.

Et si tu travailles dans une entreprise, signale toujours les e-mails suspects à ton équipe IT. Ne les supprime pas juste pour t'en débarrasser. Ces remontées permettent de bloquer des domaines malveillants et de protéger tes collègues qui n'auraient pas forcément la même vigilance que toi.

Si tu as déjà cliqué

Ça arrive. À tout le monde. Pas de honte là-dedans.

Ce qu'il faut faire immédiatement : changer ton mot de passe sur le service concerné, et sur tous ceux où tu utilisais le même (ce qui est une mauvaise habitude mais on va en parler une autre fois). Prévenir ta banque si tu as saisi des infos bancaires. Surveiller tes relevés pendant les semaines qui suivent.

Si tu as téléchargé une pièce jointe, là c'est plus sérieux — un scan complet de l'appareil s'impose, et si tu es sur un poste d'entreprise, ton équipe IT doit être prévenue sans attendre.

Pourquoi ça marche encore aussi bien en 2026

La vraie raison c'est simple : le phishing ne cherche pas à exploiter une faille technique. Il exploite des réflexes humains. L'urgence — "votre compte va être suspendu dans 24h". La peur — "activité suspecte détectée sur votre compte". L'autorité — "votre responsable vous demande de transférer ce virement". Ces déclencheurs émotionnels court-circuitent la réflexion critique, et c'est exactement ce que les attaquants cherchent.

Les conséquences peuvent être lourdes. Sur le plan personnel : vol d'identité, compte bancaire vidé, crédit contracté à ton nom. Pour une entreprise : brèche dans le réseau interne, vol de données clients, ransomware déployé depuis le poste de l'employé piégé. Et souvent des mois de travail pour s'en remettre.

Le risque physique qu'on oublie souvent : une pièce jointe malveillante peut installer silencieusement un logiciel qui chiffre tes fichiers ou retransmet tout ce que tu tapes. C'est pas de la science-fiction, c'est du quotidien pour les équipes de réponse à incident.

La meilleure protection reste la même qu'en 1995 : prendre une seconde avant d'agir, et se poser la question — est-ce que j'attendais vraiment ce message ?

MASIA Antoine

Auteur

MASIA Antoine

Développeur Full-Stack, DevOps & CyberSécurité