Phishing : comment reconnaître un email frauduleux en 2026 (guide illustré)

Le 4 juillet 2026, votre patron vous envoie un email vous demandant un virement urgent de 18 500 euros vers un nouveau fournisseur. Tout semble normal : sa signature, son adresse, le ton professionnel. Sauf qu’il ne vous a rien envoyé : un attaquant a cloné sa voix via un deepfake et généré cet email par IA en moins de deux minutes. Selon le rapport ANSSI 2025 cité par ISI Sec, 91% des cyberattaques réussies débutent par un email frauduleux. Et avec la généralisation de l’IA générative, ces emails sont devenus quasi indistinguables des messages légitimes. Ce guide illustré vous donne les clés pour reconnaître un phishing en 2026, vérifier un email suspect, et réagir correctement si vous avez déjà cliqué.

Pour les fondamentaux de la cybersécurité quotidienne, vous pouvez consulter notre analyse des vulnérabilités dans les LLM et nos conseils sur la checklist de cybersécurité avant les congés.

💡

L’essentiel en 30 secondes

  • Chiffre clé : 91% des cyberattaques réussies commencent par un email de phishing (ANSSI 2025).
  • Nouveauté 2026 : les emails générés par IA sont sans fautes, personnalisés au contexte professionnel, et souvent impossibles à distinguer d’un vrai message.
  • 7 réflexes en 60 secondes : vérifier l’expéditeur, survoler les liens, contrôler le ton, chercher les urgences, valider les pièces jointes, comparer le contexte, contacter directement.
  • Si vous avez cliqué : déconnecter, changer les mots de passe, surveiller les comptes, signaler à l’ANSSI et déposer plainte.

Quels sont les 7 signes qu’un email est un phishing en 2026 ?

Le phishing a considérablement évolué depuis les années 2010. Les messages truffés de fautes d’orthographe et de promesses de loterie sont devenus minoritaires. En 2026, les attaquants combinent IA générative, renseignement en sources ouvertes (OSINT) et ingénierie sociale pour produire des emails personnalisés, crédibles, et difficiles à détecter. Malgré cette sophistication, sept indices récurrents permettent de démasquer la majorité des tentatives.

1. Une adresse d’expéditeur légèrement modifiée. Le nom affiché peut être correct, mais l’adresse réelle derrière diffère : un caractère remplacé (paulp@entreprlse.com au lieu de paul@entreprise.com), un domaine similaire (.co au lieu de .com), un sous-domaine ajouté (service-client@entreprise.com.securite-update.fr). Toujours vérifier l’adresse complète en survolant le nom affiché.

2. Une demande urgente ou inhabituelle. Le levier classique de l’urgence reste très efficace : “virement à valider avant 17h”, “compte bloqué dans 30 minutes”, “mise à jour obligatoire sous 24h”. Cette pression temporelle vise à court-circuiter la vigilance. Tout email urgent qui sort duprocessus normal doit déclencher une vérification complémentaire.

3. Des liens qui ne correspondent pas au texte affiché. Le texte du lien dit https://www.entreprise.com mais le survol révèle une URL complètement différente :https://entreprise-update.secure-portal-2026.ru/auth. Toujours survoler les liens avant de cliquer, depuis un ordinateur, jamais depuis un téléphone mobile.

4. Une pièce jointe inattendue ou au format inhabituel. Une facture que vous n’attendiez pas, un fichier .zip, .html, .iso, ou un PDF avec un nom générique (Document_urgent.pdf) doivent éveiller la suspicion. Les attaquants dissimulent souvent des macros malveillantes dans des documents Office apparemment normaux.

5. Un ton ou une formulation légèrement décalée. Même générés par IA, certains emails comportent des tournures inhabituelles, des formules de politesse trop appuyées, ou un vocabulaire incohérent avec l’expéditeur habituel. Si votre directeur financier vous appelle “Cher Monsieur” depuis cinq ans qu’il vous tutoie, c’est suspect.

6. Une demande d’informations sensibles inhabituelles. Aucune banque, aucun service public, aucune administration ne demande un mot de passe, un code de carte bancaire ou un identifiant par email. Si c’est demandé, c’est frauduleux. Sans exception.

7. Un contexte décalé par rapport à la réalité. Vous êtes en vacances, mais l’email parle d’une réunion prévue la semaine prochaine. Vous avez quitté cette entreprise il y a trois ans, mais on vous demande d’approuver un document. Toute discordance entre l’email et votre situation réelle est un signal d’alerte.

Comment vérifier un email suspect en moins de 60 secondes ?

Sept réflexes simples à appliquer systématiquement quand un email présente un doute. Cette checklist est conçue pour être appliquée par tout collaborateur, sans formation technique préalable.

Étape Action concrète Temps estimé
1. Adresse expéditeur Vérifier le domaine complet (après le @) et la cohérence avec l’expéditeur habituel 5 secondes
2. Liens suspects Survoler chaque lien pour comparer l’URL réelle avec le texte affiché 10 secondes
3. Pièce jointe Vérifier le format, le nom, et confirmer avec l’expéditeur par un autre canal 10 secondes
4. Ton et contexte Comparer avec les emails précédents du même expéditeur, chercher les anomalies 10 secondes
5. Urgence anormale Tout email urgent non prévu = appel téléphonique de vérification avant action 15 secondes
6. Demande sensible Mot de passe, IBAN, code = toujours frauduleux par email 5 secondes
7. Vérification hors-bande Contacter l’expéditeur par téléphone ou via un canal différent avant toute action 5 secondes

⚠️ Réflexe critique : vérifier hors-bande

Le moyen le plus sûr de confirmer un email suspect est de contacter l’expéditeur par un autre canal : téléphone, SMS, messagerie instantanée d’entreprise. Ne jamais répondre à l’email lui-même pour demander confirmation : vous risquez de dialoguer avec l’attaquant. Utilisez un numéro connu ou un canal déjà établi.

Quels sont les 4 exemples concrets de phishing les plus courants en 2026 ?

Pour rendre ces conseils opérationnels, voici quatre cas réels observés au premier semestre 2026 dans les boîtes mail françaises. Chaque exemple est accompagné des indices qui permettent de l’identifier comme frauduleux.

Exemple 1 : Le faux email Microsoft 365 avec expiration de mot de passe. “Bonjour, votre mot de passe Microsoft 365 expire dans 24 heures. Pour éviter l’interruption de service, cliquez ici pour le renouveler.” L’URL affichée est microsoft365.com mais le survol révèle microsoft-365-portal.security-update-2026.ru. Indice décisif : le vrai Microsoft ne demande jamais un renouvellement par email. Toujours accéder au portail via navigateur en tapant l’adresse manuellement.

Exemple 2 : La fausse demande de virement du PDG. “Bonjour, j’ai besoin que tu traites un virement urgent de 18 500 euros vers un nouveau fournisseur avant ce soir. Je suis en réunion, ne m’appelle pas. Confirme-moi par retour email.” Indices : urgence extrême, demande de ne pas appeler, montant rond, contexte inhabituel. La parade : appeler directement le PDG sur son numéro connu, jamais celui indiqué dans l’email. Les FIDO2 physiques bloquent ce type d’attaque si le pirate n’a pas accès à la clé.

Exemple 3 : Le faux avis de livraison Chronopost/Colissimo. “Votre colis n’a pas pu être livré. Des frais de douane de 2,99 euros sont requis. Scannez le QR code pour régulariser.” Indices : QR code non vérifiable, montant dérisoire pour créer l’habitude, URL finale après scan mène vers un faux site imitant parfaitement Chronopost. La règle : ne jamais scanner un QR code dans un email de livraison non sollicité, toujours vérifier sur le site officiel en tapant l’adresse.

Exemple 4 : La fausse offre d’emploi LinkedIn ciblée. “Bonjour, votre profil a retenu notre attention pour un poste de [intitulé]. Pour avancer dans le processus, merci de remplir ce formulaire de candidature avec vos références bancaires.” Indices : offreur peu connu, demande d’informations sensibles très en amont du processus, formulaire hébergé sur un domaine autre que celui de l’entreprise. Pour les candidats : ne jamais transmettre de RIB avant une vérification formelle de l’employeur.

Ces quatre exemples illustrent la diversité des angles d’attaque. Le point commun reste la pression temporelle et la demande d’action immédiate. Tout email qui exige une action dans l’urgence mérite une vérification hors-bande.

Quelles sont les nouvelles techniques de phishing en 2026 ?

L’année 2026 marque une accélération majeure dans la sophistication des attaques par email. Trois tendances dominent, selon les observations croisées de l’ANSSI, de Cybermalveillance.gouv.fr et des CERT sectoriels internationaux.

Le phishing généré par IA : les attaquants utilisent désormais des modèles de langage pour produire des emails sans fautes, adaptés au contexte professionnel de la cible, reprenant le ton d’un collègue ou d’un dirigeant. Le taux de clic sur ces emails dépasse 35% selon plusieurs études sectorielles récentes, contre moins de 5% pour les phishings génériques des années précédentes. Les attaquants exploitent aussi l’OSINT (LinkedIn, sites d’entreprise, réseaux sociaux professionnels) pour personnaliser le contenu : référence à un projet interne, à une réunion récente, à un fournisseur connu. Cette personnalisation rend la détection beaucoup plus difficile.

Le quishing (phishing par QR code) : les emails contiennent désormais des QR codes qui contournent les filtres anti-spam classiques (les filtres ne peuvent pas analyser le contenu d’une image). Une fois scannés, ces QR codes mènent vers des pages de phishing sophistiquées imitant Microsoft 365, DocuSign ou des portails RH. Pour s’en protéger, vérifier l’URL de destination du QR code avant de le scanner, et privilégier les applications d’authentification qui affichent l’URL cible.

Le MFA bypass par phishing : les attaquants utilisent désormais des proxys transparents (techniques AiTM pour Adversary-in-the-Middle) qui interceptent en temps réel les codes MFA envoyés par SMS ou par application. Quand vous recevez un code à 6 chiffres et le tapez sur le faux portail, l’attaquant le réutilise immédiatement sur le vrai site. Pour s’en protéger, privilégier les clés FIDO2 physiques (YubiKey, etc.) qui ne sont pas phishables, et adopter le MFA résistant au phishing.

Pour une lecture complémentaire sur les vulnérabilités dans les modèles de langage eux-mêmes, vous pouvez consulter notre analyse sur les techniques de jailbreak de Claude 4 et Opus 4.

Comment signaler un email de phishing en France ?

Tout email suspect doit être signalé pour alimenter les bases de données anti-phishing et protéger les autres destinataires. Trois canaux officiels existent en France, avec des finalités distinctes.

✅ Canaux de signalement officiels

  • Signal-Spam.fr : plateforme française de signalement de spams et tentatives de phishing, traitement par les autorités et les fournisseurs de messagerie.
  • Phishing-Initiative.eu : projet français porté par le CERT-FR qui fait bloquer les sites de phishing par les navigateurs en moins de 24 heures.
  • Cybermalveillance.gouv.fr : assistance aux victimes pour les particuliers, TPE et associations, permet de déposer un signalement en cas de clic.
  • Service-Public.fr via l’adresse signalement-spam@numerique.gouv.fr : canal gouvernemental pour signaler les tentatives usurpant l’identité de l’État.
  • Service informatique interne : dans une entreprise, toujours transférer l’email suspect à l’équipe IT ou au RSSI pour analyse et blocage.

❌ Erreurs à éviter après avoir cliqué

  • Continuer à utiliser l’ordinateur infecté : déconnecter immédiatement du réseau (Wi-Fi et câble) sans éteindre la machine.
  • Tenter de “supprimer le virus” soi-même : alerter l’IT ou un prestataire spécialisé avant toute manipulation.
  • Payer si une rançon est demandée : ne jamais payer sans expertise juridique préalable, risque de sanctions et d’effet rebond.
  • Masquer l’incident par peur des sanctions : un signalement rapide limite les dégâts, la transparence est toujours préférable au silence.
  • Réutiliser le même mot de passe : si vous avez tapé un identifiant, considérer ce compte comme compromis et changer immédiatement le mot de passe partout où il est utilisé.

Que faire immédiatement après avoir cliqué sur un lien de phishing ?

Même avec toutes les précautions, un clic peut arriver. La rapidité de la réaction détermine l’étendue des dégâts. Voici la marche à suivre, alignée sur les recommandations de l’ANSSI et de Cybermalveillance.gouv.fr.

  1. Déconnectez immédiatement du réseau : coupez le Wi-Fi et le câble Ethernet sur l’ordinateur concerné. Sans éteindre la machine (l’éteindre peut faire perdre des preuves utiles à l’analyse forensique).
  2. Ne tapez rien : si une page de phishing s’est ouverte, ne saisissez aucun identifiant, aucun mot de passe, aucun code. Fermez l’onglet proprement.
  3. Changez immédiatement les mots de passe : depuis un autre appareil (téléphone, autre ordinateur), changez le mot de passe du compte concerné et activez la double authentification si ce n’est pas déjà fait. Changez aussi les mots de passe de tout autre compte où vous utilisez le même identifiant.
  4. Alertez votre service IT : dans une entreprise, prévenez immédiatement le RSSI ou le support. Un incident signalé dans l’heure peut être contenu ; ignoré, il peut compromettre tout le réseau.
  5. Déposez plainte et signalez : dépôt de plainte sur cybermalveillance.gouv.fr, signalement à l’ANSSI si l’attaque vise une organisation, notification CNIL sous 72 heures si des données personnelles ont fuité.
  6. Surveillez vos comptes : pendant les 30 jours suivants, surveillez vos comptes bancaires, vos emails, et tout service connecté. Les attaquants revendent souvent les accès dans les heures qui suivent la compromission.

Pour les cas graves (virement effectué, données sensibles exfiltrées), faites appel à un prestataire de réponse à incident certifié PRIS (Prestataire de Réponse aux Incidents de Sécurité) par l’ANSSI. La liste est disponible sur le site de l’agence.

Comment se protéger durablement contre le phishing en 2026 ?

Au-delà des réflexes immédiats, une protection durable repose sur trois piliers complémentaires : la technique, l’humain et l’organisation. Aucun des trois ne suffit seul.

Pilier technique : activer le MFA résistant au phishing (clés FIDO2) sur tous les comptes critiques, configurer SPF, DKIM et DMARC sur votre domaine pour empêcher l’usurpation de votre identité, déployer un filtre anti-phishing sur la passerelle de messagerie, utiliser un navigateur avec protection anti-phishing temps réel (Chrome, Firefox, Safari, Edge). Pour les organisations, mettre en place une solution de sandboxing des pièces jointes et de filtrage des URL.

Pilier humain : former les collaborateurs au moins une fois par an, organiser des simulations de phishing régulières, créer une culture où signaler un doute est valorisé plutôt que sanctionné. Les études montrent qu’une simulation mensuelle réduit le taux de clic de 60% à 15% en six mois.

Pilier organisationnel : formaliser une procédure de validation des virements urgents (double signature, vérification téléphonique), documenter les contacts externes légitimes (banques, fournisseurs, administration) pour pouvoir vérifier rapidement, maintenir un annuaire à jour avec les numéros de téléphone directs des dirigeants et partenaires.

Pour une synthèse des fondamentaux de la cybersécurité quotidienne, notre article sur la checklist avant les congés d’été propose un panorama plus large des bons réflexes à adopter.

Questions fréquentes sur le phishing en 2026 (FAQ)

Comment reconnaître un email de phishing en 2026 ?

Sept indices récurrents permettent de démasquer la majorité des tentatives : adresse d’expéditeur légèrement modifiée, demande urgente ou inhabituelle, liens incohérents avec le texte affiché, pièce jointe inattendue, ton décalé par rapport à l’expéditeur habituel, demande d’informations sensibles, contexte discordant. Vérifier hors-bande (téléphone) reste le réflexe le plus sûr en cas de doute.

Que faire si j’ai cliqué sur un lien de phishing ?

Déconnectez immédiatement du réseau sans éteindre l’ordinateur. Fermez l’onglet sans rien taper. Depuis un autre appareil, changez les mots de passe des comptes concernés et activez le MFA. Alertez votre service IT, déposez plainte sur cybermalveillance.gouv.fr et surveillez vos comptes pendant 30 jours.

Faut-il ouvrir les pièces jointes d’un email suspect ?

Jamais sans vérification préalable. Une pièce jointe non sollicitée, surtout si elle est au format .zip, .html, .iso ou avec un nom générique, doit être considérée comme suspecte. Contactez l’expéditeur par un autre canal avant toute ouverture. Les attaquants dissimulent souvent des macros malveillantes dans des documents Office apparemment normaux.

Comment signaler un email de phishing en France ?

Trois canaux principaux : Signal-Spam.fr pour les spams et tentatives courantes, Phishing-Initiative.eu pour faire bloquer rapidement les sites frauduleux, et cybermalveillance.gouv.fr pour obtenir assistance et déposer un signalement. Dans un contexte professionnel, transférez aussi l’email à votre service IT.

Les IA rendent-elles les emails de phishing indétectables ?

Les modèles génératifs permettent de produire des emails sans fautes, personnalisés et contextuellement crédibles, ce qui augmente le taux de clic. Mais les sept indices classiques restent valables : adresse modifiée, urgence anormale, liens incohérents. La vérification hors-bande reste le moyen le plus fiable, quel que soit le niveau de sophistication de l’email.

Qu’est-ce que le MFA bypass par phishing ?

Les attaquants utilisent des proxys transparents (techniques AiTM Adversary-in-the-Middle) qui interceptent en temps réel les codes MFA. Quand vous tapez votre code sur le faux portail, l’attaquant le réutilise immédiatement sur le vrai site. La parade : privilégier les clés FIDO2 physiques (YubiKey) qui sont résistantes au phishing par construction.

Alexi Tauzin
Alexi Tauzin 🛡️ Éditeur & Expert Cyber

Fondateur d’alexitauzin.com, entrepreneur digital et spécialiste des technologies connectées. Il décrypte les enjeux de la souveraineté numérique, de la protection des données et de la sécurité informatique pour rendre la cyber-vigilance accessible à tous.

Laisser un commentaire