Phishing (hameçonnage) : définition, exemples de mails piégés
et protection
Le phishing (hameçonnage) reste la porte d'entrée numéro un des cyberattaques. Définition claire, variantes (spear phishing, smishing, vishing, quishing), anatomie d'un mail piégé avec les signaux à repérer, et comment s'en protéger côté technique comme humain.
own2pwn··14 min de lecture
Un lundi matin, une comptable ouvre un mail. L'expéditeur affiche « Microsoft 365 », le logo est parfait, le ton est pressé : votre boîte a atteint sa limite, cliquez pour la débloquer avant midi sous peine de suspension. Elle clique. La page qui s'ouvre ressemble trait pour trait à celle de son entreprise. Elle tape son identifiant, son mot de passe. Rien ne se passe — un petit « réessayez », puis la vraie page de connexion. Elle se dit qu'elle s'est trompée. En réalité, elle vient de remettre les clés du système d'information à un inconnu. Voilà le phishing : pas une prouesse technique, une manipulation.
Le phishing — hameçonnage en français — est de loin le point de départ le plus courant des cyberattaques. Il ne vise pas une faille dans le code : il vise la personne devant l'écran. Cet article pose la définition du phishing, passe en revue ses variantes, dissèque un mail piégé signal par signal pour apprendre à reconnaître un phishing, explique ce qui se joue vraiment après un clic, et détaille comment se protéger du phishing — côté machine comme côté humain.
À qui s'adresse cet article
Phishing, hameçonnage : la définition
Le phishing est une technique d'ingénierie sociale : on manipule une personne pour qu'elle fasse quelque chose qu'elle ne ferait pas en temps normal — livrer un mot de passe, valider un virement, ouvrir une pièce jointe. L'attaquant se fait passer pour une entité de confiance (votre banque, la Poste, le service des impôts, un collègue, un fournisseur) et exploite un ressort humain : l'urgence, la peur, la curiosité, l'autorité, l'appât du gain.
Le mot est une déformation de l'anglais fishing (la pêche) : on jette un appât à des milliers de personnes en espérant que quelques-unes mordent. La traduction officielle française, hameçonnage, garde exactement l'image de l'hameçon. Les deux mots désignent la même chose ; « phishing » s'est simplement imposé dans le langage courant.
Ce qui rend le phishing redoutable, ce n'est pas sa sophistication — c'est son échelle et son taux de réussite. Selon la CISA (l'agence américaine de cybersécurité), plus de 90 % des cyberattaques débutent par un phishing. En France, le rapport d'activité 2025 de Cybermalveillance.gouv.fr place l'hameçonnage au premier rang des menaces tous publics confondus, en hausse de 70 % sur un an. Pour les seules entreprises et associations, il reste le deuxième motif de demande d'assistance (16 % des diagnostics), juste derrière le piratage de compte — qui découle lui-même, très souvent, d'un phishing réussi.
Un chiffre qui doit alerter les PME
Les variantes du phishing
« Phishing » est un terme parapluie. Sous ce mot se cachent des techniques qui diffèrent par leur cible, leur canal et leur niveau de préparation. Les distinguer aide à comprendre pourquoi une même personne peut recevoir un mail grossier le matin et un message ultra-ciblé l'après-midi.
- Phishing de masse — l'appât générique envoyé à des millions d'adresses. « Votre colis est en attente », « remboursement des impôts ». Peu personnalisé, mais si bon marché qu'un taux de mordant infime suffit à le rentabiliser.
- Spear phishing (harponnage) — la version ciblée. L'attaquant se renseigne sur vous (poste, projets, collègues, via LinkedIn ou une fuite de données) et écrit un message sur mesure. Un mail qui cite le nom de votre responsable et un dossier en cours désarme la méfiance en une phrase.
- Whaling (chasse à la baleine) — le spear phishing appliqué aux « gros poissons » : dirigeants, DAF, DSI. L'objectif est souvent la fraude au président : un faux mail du PDG qui ordonne un virement urgent et confidentiel. Cette famille d'attaques, appelée BEC (Business Email Compromise), a coûté à elle seule 2,77 milliards de dollars aux entreprises en 2024 selon le rapport IC3 du FBI.
- Smishing (SMS + phishing) — le phishing par SMS. Faux avis de livraison, fausse amende, faux message de la banque avec un lien. Le format court d'un SMS masque l'adresse réelle et inspire une confiance que le mail n'a plus. En France, le smishing a explosé en 2025, porté par les fausses notifications de colis.
- Vishing (voix + phishing) — l'arnaque par téléphone. Le grand classique reste le faux conseiller bancaire qui vous fait valider une opération « pour bloquer une fraude ». La voix, plus intime, court-circuite la réflexion — et les deepfakes audio commencent à imiter la voix d'un vrai dirigeant.
- Quishing (QR code + phishing) — la vague la plus récente. Le lien malveillant est encodé dans un QR code, souvent collé dans une image ou un PDF. Les filtres de messagerie, conçus pour lire des liens texte, passent à côté ; et le scan bascule la victime sur son téléphone personnel, hors du périmètre de sécurité de l'entreprise. En 2025, 12 % des mails de phishing contenaient un QR code, et le phénomène a bondi d'environ 400 % entre 2023 et 2025 selon l'APWG.
Le fil rouge de toutes ces variantes : usurper une identité de confiance et provoquer une action réflexe. Changez le canal (mail, SMS, appel, QR code), le levier psychologique reste le même.
Anatomie d'un mail de phishing : les signaux à repérer
Savoir reconnaître un phishing ne demande pas d'être informaticien. Il faut juste savoir où regarder. Prenons un exemple de mail piégé typique et déplions-le ligne par ligne.
De : Microsoft 365 <secur1ty@ms-office-verify.com> <-- (1) domaine bidon
À : compta@votre-entreprise.fr
Objet : [URGENT] Votre boîte sera suspendue aujourd'hui <-- (2) urgence
Bonjour, <-- (3) salutation générique
Votre espace de stockage est plein. Sans action de
votre part avant 12h00, votre compte sera desactive <-- (4) faute + menace
et vos e-mails supprimes.
>> Cliquez ici pour verifier votre compte << <-- (5) lien masqué
(survol : http://ms-office-verify.com/login?u=...)
L'equipe MicrosoftLes cinq marqueurs, un par un :
- Le domaine de l'expéditeur — c'est le signal le plus fiable. Microsoft n'écrit pas depuis
ms-office-verify.com, mais depuis un domaine@microsoft.com. Les attaquants achètent des noms de domaine ressemblants — typosquatting — pour tromper l'œil pressé. Le nom affiché (« Microsoft 365 ») se falsifie en deux clics ; l'adresse réelle, beaucoup moins. - L'urgence artificielle — « avant 12h00 », « aujourd'hui », « dernier avertissement ». La pression temporelle sert à couper la réflexion. Une organisation légitime ne menace quasi jamais de tout supprimer dans l'heure.
- La salutation générique — « Bonjour », « Cher client ». Un vrai service qui vous connaît vous nomme. (Le spear phishing, lui, personnalise : ce signal-là devient alors trompeur, d'où l'importance des autres.)
- Les fautes et le rendu bancal — accents manquants, tournures maladroites, logo légèrement déformé. Attention : ce signal s'affaiblit. Les mails générés par IA sont désormais dans un français impeccable. L'absence de faute ne prouve rien.
- Le lien masqué — le texte affiche « cliquez ici », mais l'URL réelle (visible en survolant le lien sans cliquer, ou en appui long sur mobile) pointe ailleurs. Le réflexe qui sauve : toujours survoler avant de cliquer, et lire le domaine juste avant le premier
/.
La règle qui résume tout
Ce qui se passe après le clic
Cliquer n'est pas encore perdre. Le vrai basculement, c'est ce qui vient après. Dans le scénario le plus fréquent, le lien mène à une page de connexion clonée — pixel pour pixel identique à celle de Microsoft, de la banque ou de votre outil interne. Vous saisissez vos identifiants : ils partent directement chez l'attaquant.
À partir de là, l'attaquant dispose d'un accès légitime — c'est toute la perversité de la chose. Il ne casse aucune serrure : il entre avec la bonne clé. Il lit vos mails, repère un virement en préparation, y insère un faux RIB, ou fouille les fichiers partagés à la recherche d'autres identifiants. Un seul compte compromis suffit souvent à en compromettre dix autres, parce que les mots de passe fuités ouvrent d'autres portes et que les secrets techniques traînent plus qu'on ne le croit. C'est le sujet de notre pilier sur les fuites de secrets et credentials exposés, suite logique d'un phishing réussi.
Le MFA n'est pas une armure magique
Se protéger du phishing : technique et humain
Aucune mesure isolée n'arrête le phishing. Ce qui marche, c'est l'empilement : plusieurs couches qui rattrapent chacune ce que la précédente a laissé passer. On les visualise du socle technique jusqu'à la vigilance des personnes.
Le volet technique
Trois enregistrements DNS forment le socle anti-usurpation. Ensemble, ils permettent aux serveurs de messagerie de vérifier qu'un mail prétendant venir de votre domaine vient bien de vous :
- SPF (Sender Policy Framework) — déclare la liste des serveurs autorisés à envoyer des mails pour votre domaine. Un serveur inconnu qui prétend écrire en votre nom est démasqué.
- DKIM (DomainKeys Identified Mail) — signe cryptographiquement chaque mail sortant. Le destinataire vérifie que le contenu n'a pas été altéré et vient bien de votre domaine.
- DMARC — la politique qui relie les deux : elle dit aux serveurs distants quoi faire d'un mail qui échoue à SPF et DKIM (le rejeter, le mettre en quarantaine) et vous envoie des rapports. Sans DMARC en
p=reject, n'importe qui peut envoyer un mail « de la part de » votre entreprise.
; SPF : seuls ces serveurs peuvent envoyer pour votre domaine
votre-entreprise.fr. TXT "v=spf1 include:_spf.google.com -all"
; DMARC : rejeter tout mail qui échoue à l'authentification, et me faire un rapport
_dmarc.votre-entreprise.fr. TXT "v=DMARC1; p=reject; rua=mailto:dmarc@votre-entreprise.fr"À cela s'ajoutent une passerelle de messagerie qui filtre spam et pièces jointes, le MFA partout où c'est possible (de préférence résistant au phishing), et la gestion des mots de passevia un gestionnaire — pour bannir la réutilisation, ce carburant du rebond après un vol d'identifiants.
Le volet humain
La meilleure passerelle du monde laisse toujours passer quelques mails, et le quishing est justement conçu pour la contourner. Le dernier rempart, c'est la personne. Une sensibilisation régulière — courte, concrète, répétée — vaut mieux qu'une formation annuelle vite oubliée. Trois principes tiennent la route :
- Apprendre les signaux, pas des règles rigides. « Ne jamais cliquer » est intenable au travail. « Vérifier le domaine et la cohérence avant d'agir sur une demande urgente » est applicable.
- Faciliter le signalement. Un bouton « signaler un mail suspect » dans la messagerie et une culture où douter n'est pas ridicule valent tous les discours. Un phishing signalé par un employé protège tous les autres.
- Bannir la honte. Celui qui a cliqué doit pouvoir le diretout de suite, sans crainte. Les minutes qui suivent un clic décident de l'ampleur de l'incident.
L'angle offensif : tester la résistance au phishing
On ne connaît sa vraie résistance au phishing qu'en la mesurant. C'est le rôle d'une campagne de phishing simulée : avec votre accord et un cadre strict, on envoie à vos équipes des mails piégés inoffensifs, calqués sur les techniques réelles, puis on mesure qui a ouvert, qui a cliqué, qui a saisi ses identifiants — et surtout qui a signalé. Aucune donnée personnelle n'est volée : le but est pédagogique, pas punitif.
Chez own2pwn, cette simulation s'intègre à nos missions offensives. Lors d'un pentest web en boîte noire, le phishing est souvent le chemin le plus court pour obtenir un premier accès — exactement comme s'y prendrait un vrai attaquant. Et quand la mission vise à éprouver l'organisation dans son ensemble (humain compris, sur la durée, sans prévenir les équipes), on bascule sur un exercice de red team plutôt que de pentest, où l'ingénierie sociale tient une place centrale.
Reste un angle mort que la sensibilisation seule ne couvre pas : les domaines pièges que les attaquants enregistrent pour imiter votre marque (votre-entreprlse.fr, votre-entreprise-secure.com). Les repérer avant qu'ils ne servent une campagne, c'est précisément ce que fait la surveillance de surface d'attaque externe. Notre plateforme EASM détecte en continu les domaines de typosquatting qui usurpent votre nom — pour couper l'hameçon avant qu'il ne serve d'appât.
À retenir
- Le phishing (hameçonnage) est une manipulation, pas un piratage technique : il vise la personne, exploite l'urgence et la confiance, et reste le point de départ de plus de 90 % des cyberattaques.
- Ses variantes changent de canal et de cible — spear phishing, whaling/BEC, smishing (SMS), vishing (voix), quishing (QR code) — mais gardent le même levier psychologique.
- Pour reconnaître un mail piégé : vérifier le domaine réel de l'expéditeur, se méfier de l'urgence, et survoler chaque lien avant de cliquer. L'absence de faute ne prouve plus rien (IA).
- Après un clic, l'attaquant récolte des identifiants et entre avec la bonne clé. Le MFA aide mais se contourne : visez du MFA résistant au phishing.
- La protection est un empilement : SPF/DKIM/DMARC, filtrage, MFA, et surtout une sensibilisation régulière avec un signalement facile et sans honte.
- On ne connaît sa résistance qu'en la testant : campagne de phishing simulée et surveillance des domaines de typosquatting.
Envie de savoir combien de vos collaborateurs cliqueraient vraiment, et à quel point un attaquant pourrait s'en servir ? On le mesure sans piéger personne pour de bon, dans le cadre d'un test d'intrusion — ou parlez-en directement avec un humain via la page contact.
Articles liés
appsec
Typosquatting : définition, types, détection et recours (cybersquattage)
Typosquatting : définition, objectif, types (fautes de frappe, TLD, homoglyphes), différence avec le cybersquatting, détection avec dnstwist et recours juridiques (SYRELI, UDRP).
appsec
Pentest en entreprise : pourquoi, quand et comment le commander
Pourquoi une entreprise commande un pentest : risque réel, conformité NIS2 et DORA, assurance cyber, exigences clients. Quand le faire, comment choisir son prestataire (OSWE, PTES, retest, NDA), et ce que ça n'est pas.
appsec
Ransomware (rançongiciel) : anatomie d'une attaque et comment protéger sa PME
Un ransomware chiffre vos fichiers et réclame une rançon. On décortique la chaîne d'attaque, on explique pourquoi les PME sont visées, et surtout comment se protéger d'un rançongiciel avant, pendant et après.