Le phishing — ou hameçonnage en français — est aujourd'hui l'une des cybermenaces les plus répandues en France. Selon les données de cybermalveillance.gouv.fr, c'est la première cause de compromission de comptes en ligne, devant les mots de passe faibles et les logiciels malveillants. La bonne nouvelle : les emails de phishing présentent presque toujours des signes révélateurs. La meilleure nouvelle : il existe une méthode pour ne plus jamais en recevoir de ciblés sur votre vrai compte.

Les 7 signes d'un email de phishing

Signe 1
L'urgence artificielle et la pression temporelle
"Votre compte sera suspendu dans 24 heures", "Action requise immédiatement", "Votre colis sera retourné si vous ne confirmez pas avant ce soir"... Les attaquants cherchent à court-circuiter votre esprit critique en vous mettant sous pression. Une vraie banque ou un vrai service n'exige jamais une action immédiate par email sous peine de conséquences irréversibles. Si vous ressentez une urgence en lisant un email, c'est précisément le moment de ralentir.
Signe 2
L'expéditeur qui ne colle pas
L'affichage du nom de l'expéditeur peut dire "Service Client Amaz0n" mais l'adresse email réelle est support@amazon-update-secure.net. Regardez toujours l'adresse complète, pas seulement le nom affiché. Les domaines légitimes de grandes entreprises sont simples : @amazon.fr, @laposte.fr, @credit-agricole.fr. Tout sous-domaine bizarre ou domaine proche mais différent est un signal d'alarme.
Signe 3
Les liens masqués qui pointent ailleurs
Avant de cliquer sur n'importe quel lien, survolez-le avec votre souris (ou appuyez longuement sur mobile) pour voir l'URL réelle dans la barre d'état. Si le texte du lien indique "Cliquez ici pour vérifier votre compte" mais que l'URL pointe vers http://mon-compte-securise.xyz/fr/login, ne cliquez pas. Les raccourcisseurs d'URL (bit.ly, tinyurl) dans des emails non sollicités sont également suspects.
Signe 4
La demande de credentials, mots de passe ou numéros de carte
Aucun service légitime ne vous demandera jamais votre mot de passe par email, ni votre numéro de carte bancaire complet, ni votre code de sécurité CVV. Si un email vous demande de "confirmer" ou "réinitialiser" vos identifiants en cliquant sur un lien, allez directement sur le site officiel en tapant l'URL dans votre navigateur — n'utilisez jamais le lien de l'email.
Signe 5
La salutation générique et impersonnelle
"Cher client", "Bonjour utilisateur", "Madame, Monsieur" : votre banque, votre opérateur téléphonique ou votre service de streaming vous connaît par votre prénom et votre nom. Un email légitime d'un service où vous avez un compte utilisera votre prénom, voire les derniers chiffres de votre numéro de client. L'absence de personnalisation est un indice fort, même si seul, il ne suffit pas à conclure.
Signe 6
Les fautes d'orthographe, de grammaire ou la mise en page dégradée
Les grandes entreprises disposent d'équipes de communication et de relecture. Leurs emails sont soignés. Un logo flou, des caractères spéciaux manquants dans les accents ("Votre compte a ete suspendu"), une mise en page bancale ou des caractères inhabituels trahissent souvent une traduction automatique ou un template mal copié. Ce signe s'atténue cependant avec l'IA générative, qui permet aujourd'hui de produire des textes parfaitement rédigés — les autres signes restent donc essentiels.
Signe 7
La pièce jointe inattendue ou au format inhabituel
Un fichier .exe, .zip, .iso, ou même un .docx ou .pdf accompagné d'instructions pour "activer les macros" n'a rien à faire dans un email non sollicité. Les ransomwares et chevaux de Troie se propagent très majoritairement via des pièces jointes malveillantes. Si vous n'attendez pas de document, n'ouvrez pas la pièce jointe — même si l'expéditeur semble être quelqu'un que vous connaissez (son compte a peut-être été compromis).

Pourquoi votre vraie adresse email est le principal vecteur d'attaque

Pour vous envoyer un email de phishing, les attaquants ont besoin d'une chose : votre adresse email. Où la trouvent-ils ?

Le problème fondamental est que vous n'avez aucun contrôle sur ce qui arrive à votre adresse une fois que vous l'avez donnée. Dès qu'elle est dans la base de données d'un service, elle peut potentiellement fuiter, être vendue ou partagée sans votre consentement. Et une fois sur une liste de spammeurs, il est quasi impossible de s'en extraire.

En 2025, le site spécialisé Have I Been Pwned recensait plus de 14 milliards de comptes compromis dans des fuites de données. Votre adresse email principale a statistiquement de bonnes chances d'en faire partie.

Comment les alias email rendent le phishing ciblé presque impossible

C'est ici que la logique des alias email change radicalement votre niveau de sécurité. Imaginez que vous utilisez un alias différent pour chaque service :

Si vous recevez un jour un email "urgent de votre banque LCL" sur l'alias netflix-k7m2@mailclear.fr — celui créé uniquement pour Netflix — la conclusion est immédiate : c'est du phishing. Netflix n'a aucune raison de vous contacter au nom de votre banque. La seule explication est que quelqu'un a obtenu cet alias via Netflix (ou une fuite des données Netflix) et essaie de vous faire croire qu'il s'agit de votre banque.

C'est la protection la plus efficace contre le phishing ciblé : le contexte devient une preuve d'authenticité. Un email sur votre alias Netflix ne peut venir que de Netflix (ou d'un attaquant qui a obtenu cet alias via Netflix). Tout autre expéditeur se trahit immédiatement.

De plus, MailClear vous permet de désactiver instantanément un alias si vous commencez à recevoir du spam ou des tentatives de phishing dessus. L'alias est mort, l'attaquant n'a plus de vecteur d'entrée, et votre vraie adresse n'a jamais été exposée.

Que faire si vous avez cliqué sur un lien de phishing ?

Pas de panique : voici les étapes à suivre dans l'ordre.

  1. Ne saisissez aucun identifiant ou information sur la page qui s'est ouverte si vous ne l'avez pas encore fait.
  2. Fermez immédiatement l'onglet ou la fenêtre et ne cliquez sur rien d'autre sur cette page.
  3. Changez votre mot de passe sur le vrai site du service usurpé, depuis votre navigateur (en tapant l'URL directement), si vous avez saisi des identifiants.
  4. Activez l'authentification à deux facteurs (2FA) si ce n'est pas encore fait sur le service concerné.
  5. Signalez le phishing sur les ressources officielles françaises :
  6. Scannez votre appareil avec un antivirus à jour si vous avez téléchargé une pièce jointe.
  7. Contactez votre banque immédiatement si vous avez saisi des informations bancaires.
Important : si vous avez cliqué depuis un appareil professionnel, prévenez immédiatement votre service informatique ou votre responsable de sécurité (RSSI). Le phishing ciblé en entreprise (spear phishing) est souvent la première étape d'une attaque plus large.

La protection proactive avec MailClear

Reconnaître les signes du phishing est nécessaire, mais réactif. La vraie protection est proactive : ne jamais exposer votre vraie adresse email en premier lieu.

Avec MailClear, vous créez un alias unique pour chaque service en moins de 30 secondes. Votre vraie adresse email n'est connue que de vous. En cas de fuite de données chez un service que vous utilisez, seul l'alias est exposé — pas votre identité principale. Vous désactivez l'alias, et le risque s'arrête là.

C'est la différence entre construire une digue après une inondation et ne jamais construire en zone inondable. Les alias email ne remplacent pas la vigilance, mais ils réduisent drastiquement votre surface d'attaque et font du phishing ciblé une tentative vouée à l'échec.