Comment reconnaître un mail de phishing ?

📌 POINTS À RETENIR

• Pourquoi 67% des Français se font régulièrement cibler — et comment ne plus faire partie des victimes
• Les 7 signaux visuels que tout le monde peut repérer en 30 secondes, sans être expert
• Les exemples réels de mails frauduleux (faux Ameli, fausse banque, faux Colissimo) pour savoir exactement à quoi ça ressemble
• La marche à suivre si vous avez déjà cliqué sur un lien suspect

⏱️ Temps de lecture : ~6 min

---

Vous venez de recevoir un mail d'Ameli vous annonçant un remboursement de 87,50€ à récupérer. Il faut juste "confirmer vos coordonnées bancaires" en cliquant sur le lien. Ça semble officiel. Ça semble urgent. Mais est-ce que c'est vraiment Ameli ?

Chaque année en France, des millions de personnes se font piéger par ce type de mail. En 2024, ce sont 1,2 million de signalements de phishing qui ont été enregistrés sur la plateforme Cybermalveillance.gouv.fr, en hausse de 38% par rapport à l'année précédente.

Le phishing, c'est quoi exactement ? C'est une technique d'arnaque par email (ou SMS) qui consiste à se faire passer pour un organisme de confiance afin de vous soutirer des informations personnelles, des mots de passe ou de l'argent.

La bonne nouvelle : une fois qu'on connaît les 7 signes, on les repère en un coup d'œil. Ce guide vous montre exactement comment faire.

Signe 1 — L'adresse de l'expéditeur est suspecte

C'est le premier réflexe à avoir : ne pas se fier au nom affiché, mais regarder l'adresse email réelle.

Un escroc peut très bien configurer l'affichage "Ameli - Assurance Maladie" dans votre messagerie. Mais en cliquant sur ce nom, vous verrez l'adresse réelle : quelque chose comme remboursement@ameli-info.fr ou noreply@securite-ameli.net.

Le vrai site d'Ameli envoie ses mails depuis le domaine @ameli.fr. Un seul caractère différent, et c'est une arnaque.

Exemples de domaines frauduleux courants :

• @ameli-service.fr (le vrai : @ameli.fr)
• @credit-agricole-securite.com (le vrai : @credit-agricole.fr)
• @colissimo-suivi.fr (le vrai : @laposte.fr)

⚠️ ERREUR COURANTE Se fier uniquement au nom d'affichage de l'expéditeur — c'est le premier piège. Toujours cliquer pour voir l'adresse complète.

Signe 2 — L'objet du mail crée une urgence ou une peur

Les arnaques jouent sur les émotions : la peur, l'urgence, la promesse d'un gain. Ces trois ressorts sont conçus pour vous faire agir avant de réfléchir.

Objets de phishing classiques :

• "⚠️ Votre compte a été suspendu — action requise sous 24h"
• "Vous avez un remboursement en attente de 147€"
• "Alerte sécurité : connexion suspecte détectée"
• "Votre colis est en attente — frais de douane à régler"

Ces formulations sont calibrées pour déclencher une réaction immédiate. Un organisme sérieux ne vous met jamais sous pression avec un délai de quelques heures pour éviter un désastre.

Signe 3 — Le lien ne correspond pas au site officiel

Avant de cliquer sur n'importe quel lien dans un mail, faites un geste simple : passez votre souris dessus sans cliquer. L'adresse réelle apparaît en bas de votre écran.

Ce que vous cherchez :

• Le nom de domaine principal est-il celui de l'organisation ? (ex : ameli.fr, credit-agricole.fr)
• Y a-t-il des caractères bizarres, des tirets ou des sous-domaines suspects ?
• Le lien commence-t-il par https:// ? (sans garantie, mais un lien http:// sans S est suspect)

Un lien du type https://ameli.verification-compte.fr/connexion n'appartient pas à Ameli. Le domaine principal ici est verification-compte.fr, pas ameli.fr.

💡 ASTUCE Copiez le lien suspect et collez-le sur VirusTotal.com pour vérifier s'il est signalé comme malveillant — sans avoir à cliquer dessus.

Signe 4 — Des fautes d'orthographe ou un français approximatif

Longtemps, les mails de phishing se reconnaissaient immédiatement à leur français catastrophique. Ce n'est plus aussi vrai en 2025 : les escrocs utilisent désormais des outils d'IA pour générer des textes convaincants.

Mais quelques indices persistent :

• Formules inhabituelles ou tournures maladroites
• Mélange de vouvoiement et de tutoiement
• Ponctuation aléatoire
• Traductions littérales de l'anglais ("Cher utilisateur précieux...")

Un vrai mail de votre banque sera relu et parfait. Un mail de phishing produit à la chaîne aura presque toujours une petite faille.

Signe 5 — On vous demande des informations sensibles par mail

Aucun organisme sérieux ne vous demande votre mot de passe, votre code PIN ou vos coordonnées bancaires complètes par email. Jamais.

Les demandes à fuir immédiatement :

• Numéro de carte bancaire + CVV + date d'expiration
• Mot de passe ou code de connexion
• Numéro de sécurité sociale complet
• Scan de pièce d'identité envoyé par mail

Votre banque, les impôts, Ameli — aucun de ces organismes ne vous demandera ces informations via un simple email. Si un mail vous le demande, c'est une arnaque, sans exception.

⚠️ ERREUR COURANTE Certains mails de phishing ne volent pas directement vos données : ils vous redirigent vers un formulaire qui ressemble trait pour trait au vrai site. Méfiance même si la page semble authentique.

Signe 6 — Une pièce jointe inattendue

Vous n'attendiez aucun document ? Et pourtant, un mail arrive avec une "facture", une "convocation" ou un "document important" en pièce jointe.

Les formats à ne jamais ouvrir si vous n'attendiez rien :

• .exe, .bat, .vbs (programmes)
• .zip ou .rar contenant un exécutable
• .docx ou .xlsx vous demandant d'"activer les macros"

Ce dernier cas est particulièrement dangereux : un document Word avec macros activées peut installer un malware sur votre ordinateur en quelques secondes.

Signe 7 — La mise en page ou les logos sont approximatifs

Les mails officiels sont soignés. Les mails de phishing, souvent moins. Quelques détails trahissent la copie :

• Logo pixélisé ou aux couleurs légèrement différentes
• Mise en page qui "casse" sur certains appareils
• Pied de page absent ou avec une adresse postale fantaisiste
• Design daté alors que l'organisme vient de se moderniser

Si quelque chose semble "un peu bizarre" dans la présentation, fiez-vous à cette impression. Notre œil détecte souvent les incohérences avant que notre cerveau les analyse.

Que faire si vous avez cliqué ?

Vous avez cliqué sur un lien suspect. Pas de panique — voici le protocole dans l'ordre :

1. Ne remplissez aucun formulaire si vous avez atterri sur une page vous demandant des informations
2. Fermez immédiatement l'onglet et ne revenez pas sur le lien
3. Changez votre mot de passe du compte concerné depuis le vrai site (tapé manuellement)
4. Prévenez votre banque si vous avez saisi des informations bancaires — ils peuvent bloquer la carte
5. Signalez l'arnaque sur signal-spam.fr et cybermalveillance.gouv.fr

Plus vite vous agissez, moins les dégâts seront importants.

💡 ASTUCE Activez la double authentification (2FA) sur tous vos comptes importants. Même si un escroc récupère votre mot de passe via phishing, il ne pourra pas se connecter sans le code envoyé sur votre téléphone.

---

FAQ — Phishing et mails frauduleux

C'est quoi exactement le phishing ?

Le phishing (ou hameçonnage) est une technique de fraude qui consiste à envoyer de faux emails imitant des organismes officiels (banques, Ameli, administrations) pour tromper les destinataires et leur voler des informations personnelles ou de l'argent. En France, 1,2 million de signalements ont été recensés en 2024 selon Cybermalveillance.gouv.fr.

Comment savoir si un mail est vraiment de ma banque ?

Connectez-vous directement à l'espace client de votre banque en tapant l'URL manuellement dans votre navigateur, sans passer par le lien du mail. Si un message important vous attend, vous le verrez dans votre espace sécurisé. En cas de doute, appelez votre conseiller.

Que risque-t-on si on répond à un mail de phishing ?

Le risque principal est le vol d'identifiants (mot de passe, code bancaire) et des conséquences financières directes (virements frauduleux, achats non autorisés). Selon Kaspersky, près de 900 millions de tentatives de phishing ont été bloquées dans le monde en 2024. Signaler l'arnaque sur cybermalveillance.gouv.fr permet de protéger d'autres victimes.

Les SMS peuvent-ils aussi être du phishing ?

Oui, c'est ce qu'on appelle le "smishing" (SMS + phishing). La technique est identique : un faux SMS de La Poste, d'Ameli ou de votre banque vous invite à cliquer sur un lien. Les mêmes règles s'appliquent : vérifier l'expéditeur, ne jamais cliquer sur les liens, et signaler au 33700 (service anti-spam SMS gratuit).

---

Conclusion

Reconnaître un mail de phishing, c'est avant tout une question d'habitude. Une fois que vous avez intégré les 7 réflexes de ce guide, ça devient automatique : vous vérifiez l'expéditeur, vous survolez les liens, vous ne cédez jamais à l'urgence.

Les 3 règles d'or à retenir :

• Vérifiez toujours l'adresse email réelle de l'expéditeur, pas son nom affiché
• Ne cliquez jamais sur un lien dans un mail — allez sur le site directement depuis votre navigateur
• Aucun organisme sérieux ne vous demandera jamais votre mot de passe par email

Pour aller plus loin sur la sécurité de vos comptes en ligne, découvrez comment créer un mot de passe vraiment sécurisé et pourquoi activer la double authentification est indispensable.