Phishing : comment reconnaître et éviter les attaques

Chaque jour, 3,4 milliards d'emails de phishing sont envoyés dans le monde. Derrière ces messages se cachent des techniques de manipulation de plus en plus sophistiquées. Comprendre leur fonctionnement est la meilleure façon de s'en protéger.

Qu'est-ce que le phishing et pourquoi ça marche ?

Le phishing est une technique de fraude qui consiste à se faire passer pour un organisme de confiance (banque, service de livraison, administration) afin de voler des informations personnelles. Son efficacité repose sur un principe simple : l'apparence de légitimité.

Un email de phishing reprend les logos, les couleurs et le ton d'un message officiel. L'utilisateur se fie à l'apparence visuelle pour juger de la fiabilité du message, et c'est précisément cette habitude que les attaquants exploitent. Que ce soit par email, par SMS ou même par courrier postal, la mécanique est la même : créer une apparence crédible pour obtenir une action irréfléchie.

Comment les attaquants créent-ils un sentiment d'urgence ?

Les messages de phishing utilisent la pression psychologique pour court-circuiter le jugement et pousser à agir vite, avant toute réflexion. L'objectif est de provoquer une réaction émotionnelle plutôt qu'une analyse rationnelle.

Les prétextes les plus courants suivent un schéma récurrent :

  • "Activité suspecte détectée sur votre compte, changez votre mot de passe immédiatement"
  • "Problème de paiement, votre abonnement va être résilié"
  • "Colis en attente, frais de douane à régler sous 24 h"
  • "Alerte de sécurité sur votre carte bancaire"

Chaque message contient un lien ou un bouton qui mène vers un faux site, visuellement identique au vrai. C'est sur ce site que la victime saisit ses identifiants, croyant se connecter au service légitime.

Comment reconnaître un faux nom de domaine ?

Le moyen le plus fiable pour identifier un site de phishing est de lire attentivement l'URL, et en particulier le nom de domaine. Les attaquants utilisent plusieurs techniques de camouflage pour tromper l'œil.

Prenons example.com comme domaine légitime :

  • Abus de sous-domaine : example.another-dangerous-site.cam - ici, le vrai domaine est another-dangerous-site.cam, pas example
  • Tiret trompeur : example-secure-login.cam - un domaine entièrement différent qui contient le nom de la marque
  • TLD différent : example.site au lieu de example.com
  • Typosquatting : examplle.com - une lettre doublée, facile à manquer en lecture rapide

La règle à retenir : le vrai domaine est ce qui se trouve juste avant le TLD (.com, .fr, .org). Tout ce qui est à gauche d'un point supplémentaire est un sous-domaine, que n'importe qui peut créer.

Peut-on vérifier l'authenticité d'un email ?

Oui, mais pas en se fiant uniquement à l'apparence. Les filtres anti-spam détectent une partie des emails frauduleux grâce à des mécanismes techniques comme SPF et DKIM, qui vérifient qu'un email a bien été envoyé depuis un serveur autorisé pour le domaine affiché.

SPF (Sender Policy Framework) liste les serveurs autorisés à envoyer des emails pour un domaine. DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique vérifiable par le destinataire. Ces informations sont visibles dans les en-têtes techniques du message.

Mais ces mécanismes ont une limite importante : ils prouvent l'origine technique du domaine, pas l'identité réelle de l'expéditeur. Un attaquant peut configurer un SPF et un DKIM parfaitement valides sur un domaine comme support-securite-amazon.com. C'est techniquement propre, mais humainement trompeur.

Pourquoi le phishing par SMS est-il encore plus dangereux ?

Le smishing (phishing par SMS) exploite les spécificités du mobile pour contourner les réflexes de vigilance. Le SMS est souvent perçu comme plus fiable qu'un email, alors que les protections y sont moins efficaces.

Plusieurs caractéristiques rendent le SMS particulièrement risqué :

  • Les filtres anti-spam y sont moins performants que sur email
  • L'interface mobile n'affiche pas l'URL complète avant le clic
  • Le numéro d'expéditeur peut être remplacé par un nom alphanumérique (LaPoste, Ameli) facile à usurper
  • L'URL dans le navigateur mobile est souvent tronquée
  • Le message frauduleux peut s'insérer dans le même fil de conversation que de vrais messages du même expéditeur

Les prétextes sont similaires au phishing par email : colis en attente, alerte bancaire, remboursement à percevoir, convocation administrative.

En quoi un gestionnaire de mots de passe protège-t-il du phishing ?

Un gestionnaire de mots de passe compare l'URL réelle du site avec celle enregistrée pour chaque identifiant. Si le domaine ne correspond pas exactement, il ne propose pas de remplir les champs. C'est une protection passive qui ne demande aucun effort à l'utilisateur.

Là où l'œil humain peut confondre example.com et examplle.com, le gestionnaire de mots de passe fait une comparaison stricte, caractère par caractère. Il n'est pas sensible aux astuces visuelles de camouflage de domaine. Cette vérification automatique constitue un filet de sécurité au quotidien : si le gestionnaire ne propose pas vos identifiants sur un site, c'est un signal d'alerte immédiat.

Pourquoi le 2FA ne suffit-il pas contre le phishing ?

L'authentification à deux facteurs (2FA) est un vrai apport de sécurité, mais elle ne protège pas contre les attaques de phishing automatisées en temps réel. Dans un scénario dit AiTM (Adversary-in-the-Middle), l'attaquant intercepte et relaie chaque étape de la connexion.

Le déroulement est le suivant : la victime saisit ses identifiants sur le faux site. Le site pirate les transmet immédiatement au vrai site, qui envoie un code 2FA. La victime saisit ce code sur le faux site, qui le relaie à son tour. Le pirate se retrouve connecté avec un code valide, en temps réel.

Le 2FA reste efficace contre les attaques différées - une base de mots de passe volés devient inutilisable si le 2FA est actif. Mais contre un proxy en temps réel, le code à usage unique est intercepté avant d'expirer.

Les passkeys nt-elles du phishing ?

Oui. Contrairement au couple mot de passe + code 2FA, une passkey est liée cryptographiquement au domaine exact pour lequel elle a été créée. Sur un site pirate, même visuellement identique, la passkey ne s'active tout simplement pas.

Il n'y a rien à intercepter et rien à rejouer : l'authentification repose sur un échange cryptographique entre l'appareil de l'utilisateur et le serveur légitime. Même un proxy AiTM en temps réel ne peut pas contourner cette protection. Les passkeys représentent la réponse structurelle au phishing, en supprimant le maillon faible - le secret partagé que l'utilisateur peut involontairement transmettre.

Faut-il mentir aux questions de sécurité ?

Les questions de sécurité ("Quel est le nom de votre animal de compagnie ?", "Dans quelle ville êtes-vous né ?") sont souvent des informations semi-publiques. Un attaquant ayant accès à vos réseaux sociaux, à une fuite de données, ou vous connaissant même vaguement, peut y répondre à votre place.

Rien n'oblige à répondre la vérité. "Quel est votre animal préféré ?" peut recevoir comme réponse "la planète Mars". L'important est de pouvoir retrouver cette fausse réponse - un gestionnaire de mots de passe est l'endroit naturel pour la stocker, au même titre qu'un mot de passe.

Ce qu'il faut retenir

  • Le phishing repose sur l'apparence de légitimité et le sentiment d'urgence : ralentir avant de cliquer est le premier réflexe à adopter
  • L'URL est le seul indicateur fiable : apprenez à lire le nom de domaine réel, surtout sur mobile
  • Un gestionnaire de mots de passe vérifie l'URL à votre place et ne se laisse pas tromper par les faux domaines
  • Le 2FA protège contre les attaques différées, mais pas contre le phishing en temps réel
  • Les passkeys sont la seule protection structurelle qui rend le phishing techniquement impossible
  • Mentez aux questions de sécurité et stockez vos fausses réponses dans un gestionnaire de mots de passe

Protégez vos identifiants avec le gestionnaire de mots de passe Octopussian →

Inscription gratuite

Pas de carte bancaire. Inscription en 1 minute

Gagnez en efficacité dès aujourd'hui. Inscrivez-vous pour essayer gratuitement.

Nous utilisons votre email et votre nom
afin de créer votre espace Octopussian.

ou
@ Continuer avec mon email

Nous respectons votre vie privée. Vos informations ne seront pas utilisées à d'autres fins.
En vous inscrivant, vous acceptez nos conditions d'utilisations et politique de vie privée