Accéder au contenu

Qu’est-ce que le phishing ou hameçonnage ?

Publié le 05 octobre 2021 - Modifié le 31 mai 2024

dossier hameçonnage phishing

Temps de lecture : 18 min

L’hameçonnage ou phishing en anglais est le principal mode opératoire utilisé par les cybercriminels pour dérober des informations personnelles et/ou bancaires aux internautes. Par message électronique (e-mail), SMS ou encore par téléphone, il consiste à usurper l’identité d’un tiers de confiance (banque, administration, réseau social, entreprise de livraison, commerce en ligne…) pour tromper la victime et l’inciter à communiquer ses données d’identité, ses mots de passe ou ses numéros de carte bancaire. Les informations dérobées lors de l’hameçonnage/phishing seront ensuite directement utilisées par les escrocs ou revendus à d’autres cybercriminels pour mener diverses actions frauduleuses (piratage de compte en ligne, fraude à la carte bancaire, usurpation d’identité, hameçonnage ciblé sur la victime…).

Ce dossier rassemble l’ensemble de nos contenus de sensibilisation dédiés à ce phénomène frauduleux
majeur qui est la principale menace en ligne ciblant les particuliers, les entreprises, les collectivités, les
administrations et les associations.

1. L’hameçonnage (phishing en anglais) : définition et généralités

Qu’est-ce que l’hameçonnage/phishing ? Comment l’identifier et s’en prémunir ? Que faire si l’on en est victime ? Quelles infractions peuvent-être retenues contre leurs auteurs ?
Retrouvez l’ensemble de nos conseils dans notre article dédié, et sous une forme plus synthétique, dans nos fiches réflexe et mémo.
Retrouvez également notre article consacré à l’hameçonnage par SMS, également appelé « smishing ». Un phénomène plus récent et en forte croissance depuis 2020.

Pour aller plus loin

• Nos recommandations pour vous permettre d’identifier et déjouer les tentatives d’hameçonnage.

• Testez vos connaissances grâce à notre quizz !

« Phishing ou hameçonnage – Escroquerie sur Internet : comment ne pas se faire avoir ? » – Consomag réalisé en partenariat avec l’INC.

2. Les formes les plus courantes et récurrentes de phishing ou hameçonnage

Sans discontinuer, Cybermalveillance.gouv.fr constate de nombreuses campagnes d’hameçonnage usurpant l’identité de diverses entreprises ou administrations. Les thématiques utilisées par les cybercriminels varient mais l’objectif est toujours le même : dérober des informations confidentielles, personnelles ou professionnelles, pour en faire un usage frauduleux.

Retrouvez ci-après nos articles sur les méthodes d’hameçonnage parmi les plus fréquemment utilisées par les escrocs en ligne. Ils analysent les ressorts de ces tentatives d’escroquerie et vous prodiguent nos conseils pour s’en prémunir et y faire face lorsqu’on en est victime.

1. L’hameçonnage (phishing) aux couleurs des impôts

Fausse annonce de remboursement ou demande de règlement d’un impayé, fausse demande d’informations personnelles et/ou professionnelles, fausse mise à jour de dossier fiscal… Les messages (e-mails et SMS) frauduleux aux couleurs de la Direction Générale des Finances Publiques (DGFiP) et de son portail Internet Impots.gouv.fr ciblent aussi bien les particuliers que les entreprises.

Cet article vous décrit les différentes techniques utilisées par les cybercriminels et vous donne les moyens de les déjouer ou y répondre.

2. L’hameçonnage/phishing bancaire et la DSP2

L’hameçonnage (ou phishing en anglais) : » Comment pêcher un numéro de carte bancaire ? »

Autre méthode récurrente, l’hameçonnage usurpant l’identité d’établissements bancaires (La Banque Postale, Crédit Agricole, BNP Paribas…) ou de services de paiements (PayPal). Cybermalveillance.gouv.fr a constaté de nombreuses campagnes malveillantes exploitant le thème de la sécurité des comptes bancaires en lien avec la mise en œuvre de la deuxième Directive européenne sur les Services de Paiements (DSP2). Sous couvert d’un renforcement de la sécurité de leur compte, les messages trompeurs (e-mails ou SMS) tentent ainsi d’inciter les victimes à communiquer les informations de connexion à leur compte bancaire en ligne et/ou leur numéro de carte de paiement.

3. Les escroqueries à la livraison de colis

Ce type d’hameçonnage/phishing usurpe l’identité de sociétés de livraison (La Poste, Colissimo, DPD, Chronopost, UPS…et prétexte généralement un problème d’acheminement d’un colis qui nécessite le paiement d’une somme de faible montant. Là encore, il s’agit en général de dérober les informations de carte bancaire des victimes et également ses coordonnées postales et téléphoniques. Des variantes existent avec d’autres objectifs telles la souscription à un abonnement non souhaité, l’installation de virus ou encore la fraude au faux support technique.

4. Les escroqueries à la loterie

Autre forme courante d’hameçonnage, les escroqueries à la loterie démarrent généralement par un courriel (mail) qui usurpe l’identité d’entreprises organisatrices de jeux de loterie. Le message indique que la victime a été tirée au sort et qu’une importante somme d’argent a été remportée. La victime est alors incitée à communiquer des informations personnelles auprès d’un prétendu avocat, notaire ou huissier de justice qui serait chargé de la remise des gains. Ces informations dérobées seront alors utilisées par les escrocs à des fins frauduleuses.

5. L’escroquerie à la fausse commande

Usurpant l’identité d’un site marchand ou d’un service de paiement, ce type d’hameçonnage vise à faire croire à la victime qu’une commande a été effectuée en son nom. En général, le message frauduleux reçu précise une identité et une adresse de livraison qui ne sont pas celles de la victime et lui propose d’annuler la commande pour en obtenir le remboursement. L’objectif de cette escroquerie est de faire paniquer la victime pour l’inciter à fournir ses informations personnelles et de carte bancaire qui lui sont réclamées pour pouvoir invalider ce supposé achat.

6. L’hameçonnage/phishing aux couleurs de l’Assurance Maladie (Ameli)

Dans cette catégorie d’hameçonnage récurrent, un message (mail ou SMS) qui semble provenir de l’Assurance Maladie ou de sa plateforme Internet Ameli, annonce un remboursement en attente ou la disponibilité d’une nouvelle carte Vitale. La victime y est incitée à cliquer sur un lien qui l’amène sur un site frauduleux d’apparence officielle sur lequel elle est appelée à renseigner ses informations personnelles et de carte bancaire qui lui seront alors dérobées à des fins d’usages malveillants.

7. L’hameçonnage à la vignette Crit’Air

Ce type d’hameçonnage apparu à l’automne 2022 en lien avec l’actualité prend la forme d’un message (SMS ou email) qui évoque une obligation de commander rapidement une vignette Crit’Air pour être en conformité avec la réglementation en vigueur sous peine d’amende. Ces messages contiennent un lien qui oriente la victime sur un site frauduleux d’apparence officielle sur lequel elle sera incitée à renseigner ses informations personnelles et de carte bancaire pour les lui dérober afin d’en faire un usage frauduleux.

8. L’hameçonnage à la contravention

Depuis le début de l’année 2023, Cybermalveillance.gouv.fr a identifié des vagues importantes de messages frauduleux par mail ou SMS qui usurpent l’identité de l’ANTAI et/ou du service de paiement en ligne des amendes, Amendes.gouv.fr, pour réclamer le paiement d’une contravention sous peine de pénalités ou poursuites. Les victimes qui donnent suite se voient redirigées vers un site frauduleux d’apparence officielle où leur sera demandé leurs informations personnelles et de carte bancaire. Ces informations dérobées seront alors utilisées par les escrocs à des fins malveillantes.

> Comment reconnaître un mail de phishing ?
Si les tentatives d’hameçonnage sont aujourd’hui de mieux en mieux réalisées, un mail frauduleux présente souvent des signes d’alerte qu’il est possible de déceler : offre alléchante, apparence suspecte, pièce jointe inattendue, adresse d’expédition fantaisiste… Pour vous aider à reconnaître un mail de phishing ou d’hameçonnage, Cybermalveillance.gouv.fr vous donne les principaux signaux dont il faut se méfier

> Comment signaler un mail ou un SMS de phishing ou d’hameçonnage ?
Il existe plusieurs façons de signaler un mail ou SMS frauduleux aux services compétents : signaler le message à Signal Spam ou au 33700 pour les SMS, alerter l’entité dont l’identité est usurpée, signaler le site frauduleux de phishing à Phishing Initiative, informer les autorités… Dans tous les cas, veillez à conserver les preuves, et en particulier, le message d’hameçonnage reçu. Pour  signaler efficacement une tentative de phishing, il est important de transmettre le plus d’informations possible. Pour vous aider, Cybermalveillance.gouv.fr vous explique en détail comment et à qui signaler un phishing par mail ou SMS.  

3. Autres types d’escroquerie basée sur l’usurpation d’identité

Assimilables à l’hameçonnage/phishing, d’autres tentatives d’escroquerie se basent sur l’usurpation d’identité pour tromper leurs victimes. Alors que l’hameçonnage a pour objectif de dérober des informations personnelles et/ou professionnelles pour en faire un usage malveillant par la suite, ces méthodes consistent particulièrement à dérober directement de l’argent aux victimes. Quelques exemples :

  • L’arnaque au faux support technique qui vise à faire payer à la victime un pseudo dépannage informatique réalisé à distance.

  • Les escroqueries au Compte Personnel de Formation (CPF) qui usurpent souvent l’identité d’un organisme officiel (Pôle Emploi, Moncompteformation.gouv.fr…) pour s’approprier le compte formation de la victime afin d’en détourner les fonds.

  • Le chantage à la webcam piraté où les escrocs prétendent avoir piraté l’ordinateur ou le téléphone mobile (smartphone) de la victime et la menace de divulguer ses informations et des vidéos prises à son insu si elle ne paie pas une rançon.

  • La fraude au virement (faux RIB) vise à tromper la victime en usurpant l’identité d’un créancier avec lequel elle est en relation (artisan, notaire, avocat…) afin de lui faire réaliser un virement vers un compte bancaire détenu par un escroc.

  • Les messages d’arnaque à la menace de mort ou d’agression par un prétendu tueur à gages qui vise à effrayer la victime pour lui extorquer de l’argent.

  • L’escroquerie à l’enfant qui a un problème avec son téléphone dans laquelle les escrocs se font passer pour un enfant qui a un problème avec son téléphone et demandent à son parent d’échanger sur WhatsApp pour lui réclamer de l’argent.

  • L’escroquerie au détournement de loyer où les escrocs se font passer pour des propriétaires/bailleurs et qui vise à tromper les locataires dans le but de détourner le paiement de leur loyer en leur communiquant de nouvelles modalités de règlement.

4. Nos supports PDF consacrés au sujet

L'hameçonnage ou phishing
L’hameçonnage ou phishing

Apprenez à repérer et vous prémunir de l’hameçonnage grâce à notre fiche réflexe consacrée au sujet.

Publié le 26/06/2023PDF 163 KoTélécharger
L’hameçonnage en fiche mémo
L’hameçonnage en fiche mémo

Retrouvez la synthèse de la fiche réflexe sur l’hameçonnage au format mémo.

Publié le 08/04/2021PDF 175 KoTélécharger

AIDE RECOMMANDÉE

QUESTIONS RÉPONSES - Contextualisées

QUESTIONS GÉNÉRALES