Definition Phishing
Le phishing, traduit en français par hameçonnage, est une forme d’ingénierie sociale utilisée par les cybercriminels pour soutirer des informations sensibles à leurs victimes. L’attaquant se fait passer pour un expéditeur légitime (banque, administration, service en ligne, entreprise connue) et adresse à sa cible un message frauduleux, généralement par email, SMS ou via les réseaux sociaux. Ce message contient le plus souvent un lien vers une page web falsifiée, conçue pour imiter l’interface officielle du service usurpé, sur laquelle la victime est invitée à saisir ses identifiants, coordonnées bancaires ou données personnelles.
Le phishing repose sur la confiance et l’urgence : les messages frauduleux miment le ton et les codes visuels des communications officielles, et créent souvent une pression temporelle pour court-circuiter le jugement de la victime. Parmi les variantes, le spear phishing cible un individu précis à partir d’informations personnelles collectées en amont, tandis que le smishing utilise les SMS comme vecteur d’attaque et le vishing la voix (appels téléphoniques). Le phishing est fréquemment le point d’entrée d’attaques plus graves : piratage de compte, fraude bancaire, installation de rançongiciel ou usurpation d’identité.
L'IA agentique, nouvel accélérateur du phishing
Phishing, smishing, vishing, spear phishing : les variantes à connaître
Le phishing se décline en plusieurs formes selon le canal utilisé et le niveau de ciblage. Le smishing (SMS phishing) utilise les messages texte comme vecteur : la victime reçoit un SMS qui l’invite à cliquer sur un lien ou à rappeler un numéro frauduleux. Ce canal est particulièrement efficace car les SMS inspirent davantage confiance que les emails et sont lus plus rapidement.
Le vishing (voice phishing) se pratique par téléphone : un faux conseiller bancaire, un prétendu agent des impôts ou un faux support technique cherche à recueillir des informations sensibles. Avec l’IA générative, les voix synthétiques permettent désormais d’imiter celle d’un interlocuteur connu, ce qui rend ces attaques plus difficiles à détecter.
Le spear phishing est une version ciblée du phishing classique. Contrairement aux campagnes de masse, il vise un individu précis, souvent un dirigeant ou un responsable financier, à partir d’informations personnelles collectées sur les réseaux sociaux ou via des fuites de données. Le message est personnalisé et crédible, ce qui augmente considérablement le taux de succès de l’attaque. Le whaling en est une variante extrême, ciblant exclusivement les profils à très haute valeur (PDG, directeurs financiers).
Comment reconnaître et signaler une tentative de phishing
Plusieurs signaux permettent d’identifier un message de phishing. L’adresse email de l’expéditeur présente souvent une légère variation par rapport au domaine officiel (une lettre changée, un domaine inhabituel). L’URL du lien proposé ne correspond pas au site légitime, même si la page de destination en imite fidèlement l’apparence. Le message crée une urgence artificielle (suspension de compte, remboursement à confirmer, colis en attente) pour inciter à agir sans réfléchir.
La règle la plus fiable reste de ne jamais cliquer sur un lien reçu par email ou SMS pour accéder à un espace personnel : mieux vaut se rendre directement sur le site via son navigateur ou l’application officielle. L’activation de l’authentification à deux facteurs (2FA) limite les dégâts en cas de compromission d’un identifiant.
En France, les tentatives de phishing peuvent être signalées sur la plateforme Cybermalveillance.gouv.fr, qui propose aussi des ressources d’assistance pour les victimes. Les emails suspects peuvent être transmis à Signal Spam, un dispositif national de signalement collaboratif.
