Cybersécurité Utilisateur

Formation Cybersécurité (Sensibilisation)

Module 2 : Phishing et ingénierie sociale

Module 2 : Phishing 19 min de lecture

2.1 Anatomie d'un phishing : 7 signaux d'alerte à reconnaître en 5 secondes

Un phishing moderne peut être indistinguable d'un email légitime à première vue. Mais 7 signaux d'alerte permettent, en quelques secondes d'examen, de détecter la quasi-totalité des tentatives — y compris celles générées par IA.

Les 7 signaux d'alerte d'un email de phishing
1. Expéditeur suspect
Domaine inhabituel, faute, homoglyphe
2. Urgence anormale
« Sous 1 heure », « immédiatement »
3. Demande d'identifiants
Login, mot de passe, 2FA
4. Pièce jointe inattendue
.zip, .exe, .docm, .iso, .html
5. URL trompeuse
Texte ≠ URL réelle au survol
6. Fautes / tournures
Traductions automatiques, formules étranges
7. Demande hors cadre
Sort du contexte habituel des échanges
Doute ?
Vérifier par canal indépendant
1

Signal n°1 : l'expéditeur — votre première ligne de défense

L'adresse de l'expéditeur est le premier élément à examiner. Les attaquants ont plusieurs techniques pour la rendre crédible :

  • Spoofing simple : usurpation du « display name » (« PDG Jean Dupont <[email protected]> ») — l'œil voit le nom, oublie l'adresse
  • Domaines cousins : microsft.com au lieu de microsoft.com, amaz0n.fr, paypa1.com
  • Homoglyphes : utilisation de caractères Unicode visuellement identiques (« rn » au lieu de « m », « Cyrillique а » au lieu de « a » latin)
  • Sous-domaines trompeurs : banque.connexion-securisee.com (le domaine racine est connexion-securisee.com, pas banque)
  • Compte légitime compromis : l'attaquant a réellement piraté le compte d'un fournisseur connu — le plus difficile à détecter

Bonne pratique : lire l'adresse de droite à gauche. Le domaine racine est le dernier élément avant le premier slash (ou la fin de l'adresse). paypal.com est légitime, paypal.securite-compte.com ne l'est pas (domaine racine = securite-compte.com).

2

Signal n°2 : l'urgence — l'arme préférée des attaquants

L'urgence artificielle est l'un des marqueurs les plus fiables d'un phishing. Pourquoi ? Parce qu'elle désactive votre cerveau analytique et active votre cerveau réactif. Sous pression, vous cliquez avant de réfléchir.

Formules d'urgence typiques à reconnaître :

  • « Action immédiate requise »
  • « Votre compte sera suspendu dans 24 heures »
  • « Dernière chance avant le... »
  • « Confirmation urgente nécessaire »
  • « Tentative de connexion suspecte — vérifiez maintenant »
  • « Votre colis est en attente — réclamez-le dans l'heure »
  • « Le directeur attend votre virement avant la fin de la matinée »

Règle d'or : toute urgence inhabituelle doit déclencher une pause. Les organisations légitimes (banques, administrations, employeurs) prennent rarement la peine de mettre des délais aussi serrés. Quand une vraie urgence existe, elle est généralement communiquée par plusieurs canaux et avec un cadre clair.

Test mental : avant d'agir, se demander « et si j'attendais 30 minutes pour vérifier ? ». Si attendre 30 minutes n'a aucune conséquence réelle, l'urgence est fabriquée.
3

Signaux 3-5 : identifiants, pièces jointes, URL trompeuses

Demande d'identifiants : aucune organisation légitime ne vous demandera jamais votre mot de passe par email. C'est une règle absolue. Toute demande de saisie d'identifiants suite à un clic email doit être considérée comme suspecte par défaut — même si la page semble parfaite. Pour vérifier, ne jamais utiliser le lien fourni : ouvrir un nouvel onglet et taper soi-même l'adresse officielle dans la barre d'URL.

Pièces jointes inattendues : tout fichier non sollicité est à considérer comme potentiellement malveillant. Les formats à risque élevé en 2026 :

  • .exe, .bat, .cmd, .ps1 — exécutables directs
  • .zip, .rar, .7z — archives masquant souvent un exécutable
  • .iso, .img — images disque, contournent les détections antivirus
  • .docm, .xlsm, .pptm — Office avec macros activables
  • .html, .htm — phishing local (s'ouvre dans le navigateur sans réseau)
  • .lnk — raccourci Windows pouvant exécuter du code

URL trompeuse : sur ordinateur, passer la souris (sans cliquer !) sur un lien fait apparaître l'URL réelle en bas de l'écran ou dans une infobulle. Si elle ne correspond pas au texte affiché, c'est un drapeau rouge. Sur mobile, l'appui long fait apparaître l'URL — toujours vérifier avant de cliquer.

Publicité
4

Signal n°6 : les fautes de l'IA — un mythe en partie périmé

Pendant longtemps, les fautes d'orthographe et les tournures bizarres ont été l'un des signaux les plus fiables : un email « Chere Madam, vous compt a ete piraté, clique ici » trahissait instantanément le phishing. Cette époque est révolue depuis ChatGPT (2022-2023). Les attaquants utilisent désormais l'IA générative pour produire en quelques secondes un français parfait, idiomatique, adapté au registre attendu (corporate, juridique, technique).

Néanmoins, certains signaux subsistent :

  • Formules trop générales : « Cher client » au lieu de votre nom — l'attaquant ne connaît pas votre identité personnelle
  • Tournures hors contexte culturel : « Bien cordialement, votre serviteur » dans un contexte corporate français contemporain
  • Mélange de registres : ton très formel suivi d'une formule familière
  • Vocabulaire inhabituel pour l'expéditeur supposé : un banquier qui parle comme un avocat, un avocat qui parle comme un policier
  • Incohérences temporelles : « Pour faire suite à notre conversation d'hier » alors qu'aucune conversation n'a eu lieu

Globalement, ne plus se fier uniquement à la qualité de la rédaction. Les 6 autres signaux deviennent prioritaires.

5

Signal n°7 : la « demande hors cadre » — souvent décisif

Le signal le plus subtil mais souvent le plus fiable : la demande sort du cadre habituel des échanges que vous avez avec cet interlocuteur supposé.

Exemples typiques :

  • Votre PDG ne vous a jamais demandé de virement par email — c'est suspect
  • Votre fournisseur de SaaS ne demande jamais votre mot de passe par mail — c'est suspect
  • Votre banque ne vous envoie jamais de pièces jointes — c'est suspect
  • Le service RH ne demande jamais de copie de carte d'identité par email — c'est suspect
  • Un collègue ne vous demande jamais de changer son RIB par message instantané — c'est suspect

L'habitude des échanges est une protection précieuse. Quand une demande sort de cette habitude, même si elle est techniquement plausible, redoublez de vigilance et vérifiez par un canal indépendant.

« Si quelque chose semble bizarre, c'est probablement bizarre. La sécurité, c'est avant tout faire confiance à son intuition de bizarrerie. »

— Conseil récurrent des SOC (Security Operations Centers)
Workflow décisionnel — « J'ai reçu un email suspect »
1
Je m'arrête
Pas de clic, pas de réponse, pas de transfert. Je respire.
2
Je vérifie les 7 signaux
Expéditeur, urgence, identifiants, pièce jointe, URL, fautes, contexte
Légitime
Je traite normalement
Suspect ou douteux
Je signale (bouton phishing / DSI) + supprime
En cas de doute persistant
Vérifier par canal indépendant : téléphone à un numéro connu, pas celui de l'email
6

Le bouton « signaler un phishing » : votre meilleur ami

La plupart des messageries professionnelles modernes intègrent un bouton « signaler un phishing » directement dans le client mail (Outlook, Gmail, Thunderbird, Office 365, Google Workspace). Ce bouton fait 3 actions en un clic :

  • Transmet l'email à l'équipe sécurité interne pour analyse
  • Alimente les filtres anti-spam pour protéger vos collègues du même message
  • Supprime l'email de votre boîte de réception

Si votre entreprise n'a pas ce bouton, un email type doit être configuré (ex : [email protected]) auquel transférer les messages suspects. La rapidité de signalement est essentielle : un phishing détecté dans les 5 minutes a un impact 10 fois moindre qu'un phishing détecté à J+1. C'est pour cela que les équipes SOC valorisent énormément les premiers signaleurs — n'hésitez jamais à signaler, même par excès de prudence. Mieux vaut 10 faux positifs qu'un faux négatif.

À retenir
  • 7 signaux d'alerte : expéditeur, urgence, identifiants, pièce jointe, URL, fautes, hors cadre.
  • L'adresse de l'expéditeur se lit de droite à gauche — domaine racine = dernier élément avant le slash.
  • Aucune organisation légitime ne demande votre mot de passe par email.
  • L'IA générative a rendu les phishings sans fautes — le signal « rédaction parfaite » ne suffit plus.
  • Le signal le plus subtil : la demande hors cadre habituel des échanges.
  • Réflexe : arrêt → vérification 7 signaux → signalement. Vérifier par canal indépendant en cas de doute.
Sommaire de la formation
Progression : 24%