Aller au contenu principal

Comment vous protéger des attaques de phishing

Le phishing reste la méthode n°1 de vol de comptes. Découvrez comment fonctionne le phishing moderne, les signaux d'alarme à surveiller, et les défenses pratiques qui arrêtent réellement les attaques.

2026-04-14

TL;DR

  • Le phishing est la cause n°1 de prise de contrôle de comptes — les attaquants vous trompent pour que vous donniez vos identifiants sur un faux site.
  • Les kits de phishing modernes clonent les pages de connexion au pixel près et transmettent vos codes 2FA en temps réel.
  • Les clés de sécurité matérielles (YubiKey, FIDO2) sont la seule défense qui soit anti-phishing par conception.
  • Les gestionnaires de mots de passe vous protègent en refusant de se remplir automatiquement sur le mauvais domaine.
  • Vérifiez le domaine exact avant de saisir vos identifiants, et ne vous connectez jamais depuis un lien dans un email.

Qu'est-ce que le phishing ?

Le phishing est une attaque d'ingénierie sociale où un attaquant crée une copie convaincante d'un site web légitime — souvent parfaite au pixel près — et trompe une victime pour qu'elle y saisisse ses identifiants. Dès que la victime soumet le formulaire, l'attaquant capture le nom d'utilisateur, le mot de passe, et tout second facteur, puis les utilise pour prendre le contrôle du vrai compte en quelques secondes.

Le mot vient de la métaphore de "pêcher" des victimes avec un appât (généralement un email). L'orthographe a changé pour souligner que les attaquants utilisent souvent des numéros de téléphone (phishing par SMS, ou "smishing") et une infrastructure d'apparence professionnelle.

Pourquoi le phishing reste la menace n°1

La plupart des violations de comptes à grande échelle aujourd'hui n'impliquent pas de piratage, de cassage de mots de passe, ou de contournement de chiffrement. Elles impliquent un humain tapant un mot de passe sur un faux site. Le phishing est :

  • Bon marché — un attaquant peut envoyer des millions d'emails pour le coût d'un VPS et d'un domaine usurpé
  • Difficile à filtrer — les kits modernes font tourner les domaines, utilisent un hébergement légitime, et s'adaptent aux filtres en temps réel
  • Efficace — même les utilisateurs conscients de la sécurité tombent dans des tentatives ciblées bien conçues (spear phishing)
  • Évolutif — un seul phishing réussi donne souvent accès à des dizaines de services connectés grâce à la réutilisation de mots de passe

Le rapport Verizon Data Breach Investigations de 2024 a trouvé que le phishing était le vecteur d'accès initial dans plus de 36% de toutes les violations — plus que toute autre cause unique.

Comment fonctionne le phishing moderne

Le phishing a évolué bien au-delà des emails de "prince nigérian" des années 2000. Une attaque de phishing moderne inclut typiquement :

1. Un leurre convaincant

Généralement un email, texte, ou message de chat créant de l'urgence ("Votre compte sera suspendu"), de l'autorité ("Équipe sécurité Microsoft"), ou de la curiosité ("Quelqu'un vous a tagué dans une photo"). Le spear-phishing va plus loin avec des détails personnels tirés de LinkedIn, de dumps de violations, ou de correspondances antérieures.

2. Un faux site parfait au pixel près

Les attaquants utilisent des kits de phishing prêts à l'emploi qui clonent le HTML, CSS, et JavaScript du site cible. Beaucoup de kits sont vendus comme service (phishing-as-a-service), avec des tableaux de bord fonctionnels et du support client.

3. Un proxy temps réel pour la 2FA

La partie dangereuse : les kits modernes ne capturent pas seulement votre mot de passe. Ils agissent comme un proxy man-in-the-middle qui transmet tout ce que vous tapez — y compris votre code TOTP — au vrai site en quelques secondes, contournant la plupart des 2FA. Cette technique s'appelle adversary-in-the-middle (AiTM) et est utilisée dans des outils comme Evilginx2 et Modlishka.

4. Vol de jeton de session

Une fois que vous vous authentifiez via le proxy, l'attaquant capture votre cookie de session et peut l'utiliser pour rester connecté même après que vous changez votre mot de passe. C'est pourquoi la réponse au phishing inclut toujours la révocation des sessions actives, pas seulement la rotation du mot de passe.

Ce qui arrête vraiment le phishing

Clés de sécurité matérielles (FIDO2 / WebAuthn)

C'est la seule catégorie de défense qui soit anti-phishing par conception. Quand vous vous connectez avec une clé FIDO2, votre clé vérifie cryptographiquement le domaine exact du site demandant l'authentification. Un faux site — peu importe à quel point il est visuellement parfait — a un domaine différent, donc la clé refuse de répondre. La poignée de main cryptographique ne se complète tout simplement pas.

Google a rendu obligatoires les YubiKeys pour tous ses 85 000+ employés en 2017 et a rapporté zéro attaque de phishing réussie sur les comptes d'entreprise dans les années suivantes.

Passkeys

Les passkeys sont l'évolution grand public de FIDO2. Ils utilisent la même cryptographie liée au domaine et sont intégrés dans iOS, Android, macOS, et Windows. Si un site que vous utilisez supporte les passkeys, en activer un rend ce compte anti-phishing.

Gestionnaires de mots de passe

Un gestionnaire de mots de passe est votre seconde ligne de défense car il ne remplit automatiquement les identifiants que sur le domaine exact où ils ont été sauvegardés. Si vous arrivez sur paypaI.com (I majuscule) au lieu de paypal.com, votre gestionnaire refuse silencieusement de remplir le formulaire. Ce refus est un avertissement fort que quelque chose ne va pas.

Filtrage email et DNS

Les fournisseurs d'email utilisent DMARC, SPF, et DKIM pour détecter les adresses d'expéditeur usurpées. La plupart des fournisseurs modernes attrapent les tentatives évidentes, mais les attaques ciblées passent encore à travers. Activez les boutons "signaler le phishing" dans votre client mail pour aider les filtres à s'améliorer.

Signaux d'alarme à surveiller

Quand vous recevez un message vous demandant de vous connecter, vérifier, ou agir urgemment :

  • Urgence et menaces — "Votre compte sera fermé dans 24 heures"
  • Salutations génériques — "Cher client" au lieu de votre nom
  • Domaines similairespaypaI.com, app1e.com, secure-microsoft-login.net
  • Pièces jointes inattendues — surtout des fichiers .zip, .html, ou .pdf vous demandant de vous connecter pour les voir
  • Erreurs de grammaire ou de formatage — les grandes entreprises relisent leurs emails
  • Incohérence de lien — survolez le lien et vérifiez si la destination correspond au texte

Si quelque chose semble suspect, fermez l'email. Naviguez vers le site manuellement. S'il y a un vrai problème, vous le verrez quand vous vous connecterez via votre workflow normal.

Que faire si vous êtes tombé dans le piège

Agissez rapidement — la vitesse compte car les attaquants commencent à utiliser les identifiants en quelques minutes.

  1. Changez le mot de passe immédiatement sur un appareil différent (votre téléphone, par exemple, si vous êtes tombé dedans sur votre ordinateur portable)
  2. Révoquez toutes les sessions actives dans les paramètres du compte — ceci expulse quiconque utilise actuellement des jetons de session volés
  3. Activez la 2FA si elle n'était pas déjà activée, et utilisez une clé matérielle ou un passkey si possible
  4. Vérifiez l'activité non autorisée — emails envoyés, connexions récentes, changements de facturation, nouvelles règles de transfert
  5. Notifiez l'institution concernée si c'est un compte financier ou professionnel
  6. Vérifiez les autres comptes qui utilisaient le même mot de passe — même si vous êtes sûr de ne pas réutiliser les mots de passe, vérifiez

En conclusion

Le phishing prospère parce qu'il contourne la technologie et cible les humains. Les meilleures défenses mélangent trois couches : gestionnaires de mots de passe (refusent de se remplir automatiquement sur les mauvais domaines), 2FA résistante au phishing (clés matérielles ou passkeys qui se lient au vrai domaine), et scepticisme sain (ne jamais se connecter depuis un lien d'email).

Activez les trois sur votre compte le plus important — votre email — en premier. À partir de là, le reste de votre vie numérique devient significativement plus sûr.

Comment vous protéger du phishing

Une liste de contrôle pratique et ordonnée pour renforcer vos comptes contre les attaques de phishing.

  1. Utilisez un gestionnaire de mots de passe:Installez un gestionnaire de mots de passe réputé (1Password, Bitwarden, Proton Pass) et laissez-le remplir automatiquement les identifiants. Il refusera de se remplir sur des domaines similaires, vous donnant un détecteur de phishing intégré.
  2. Activez la 2FA résistante au phishing:Ajoutez une clé matérielle FIDO2 (YubiKey, Google Titan) ou un passkey à vos comptes les plus importants — email d'abord, puis banque, stockage cloud, et gestionnaire de mots de passe. Ce sont les seules méthodes 2FA qui arrêtent vraiment le phishing moderne.
  3. Ne vous connectez jamais depuis des liens d'email:Quand vous recevez un email vous demandant de vous connecter, fermez l'email et naviguez vers le site manuellement via un marque-page ou en tapant l'URL. Le lien dans l'email pourrait être un clone parfait ; le marque-page dans votre navigateur ne l'est pas.
  4. Vérifiez le domaine exact avant de taper:Avant de saisir un mot de passe, regardez l'URL complète dans la barre d'adresse. Vérifiez https, l'orthographe correcte, et l'absence de sous-domaines supplémentaires comme paypal.com.secure-login.net.
  5. Signalez et passez à autre chose:Signalez la tentative de phishing à votre fournisseur d'email (la plupart ont un bouton "Signaler le phishing"). Puis continuez votre journée — le phishing n'est dangereux que si vous tombez dedans, et la sensibilisation représente l'essentiel de la bataille.

Frequently Asked Questions

Related Articles

What Is 2fa

Privacy Checklist

Encrypted Email