1 Introduction
Le phishing (ou hameçonnage) est la technique d'arnaque la plus répandue sur Internet. Le principe est simple : vous recevoir un lien qui ressemble à un site de confiance (votre banque, PayPal, La Poste...) mais qui mène en réalité à une copie frauduleuse conçue pour voler vos identifiants.
C'est comme recevoir une lettre avec le logo de votre banque qui vous demande de vous rendre à une fausse adresse. Le courrier semble officiel, le logo est parfait, mais l'adresse vous conduit chez un escroc. Sur Internet, l'adresse c'est le lien URL, et apprendre à le décrypter est votre meilleure protection.
Quelques chiffres
91%
des cyberattaques commencent par un email de phishing
1.2M
de sites de phishing actifs en moyenne dans le monde
36%
des violations de données impliquent du phishing
2 Comment ça marche
Testez un lien suspect avec notre analyseur de phishing :
Anatomie d'une URL
Pour repérer un lien de phishing, il faut d'abord comprendre la structure d'une URL :
Protocole
https:// signifie connexion chiffrée (mais ne garantit PAS que le site est légitime)
Domaine (la partie essentielle)
C'est ICI qu'il faut concentrer votre attention. Tout le reste peut être trompeur.
Chemin
La page spécifique sur le site. Les attaquants y mettent souvent des mots rassurants.
Paramètres
Données supplémentaires. Peuvent contenir votre email pour pré-remplir le formulaire piège.
Exemples concrets de liens de phishing
https://paypal-verification.secure-update.com/login
Le vrai domaine est secure-update.com, pas PayPal. Le mot "paypal" n'est qu'un sous-domaine trompeur.
https://192.168.45.12/banque-de-france/connexion
Une adresse IP au lieu d'un nom de domaine. Aucune banque sérieuse ne vous enverra vers une IP directe.
https://bit.ly/3xK9mQz
Un raccourcisseur d'URL masque complètement la destination réelle. Ne cliquez jamais sur un lien raccourci dans un email suspect.
https://www.la-banque-postale.fr/identification
Repérez-vous la différence ? Le "o" est en réalité un caractère Unicode spécial qui ressemble au "o" latin. C'est une attaque par homoglyphe.
3 Analyse détaillée
La règle d'or : identifier le vrai domaine
Le domaine réel d'une URL est toujours situé juste avant le premier slash simple (/) après le protocole. Plus précisément, c'est le dernier groupe avant l'extension (.com, .fr, etc.).
https://connexion.mabanque.fr/espace-client
Domaine réel : mabanque.fr -- Légitime
https://mabanque.fr.connexion-securisee.com/login
Domaine réel : connexion-securisee.com -- PHISHING ! "mabanque.fr" est un sous-domaine piège
Les attaques par homoglyphes
Les homoglyphes sont des caractères de différents alphabets qui se ressemblent visuellement. Par exemple, le "a" cyrillique (а) est visuellement identique au "a" latin, mais ce sont deux caractères différents pour un ordinateur.
| Caractère latin | Homoglyphe | Alphabet |
|---|---|---|
| a | а | Cyrillique |
| e | е | Cyrillique |
| o | ο | Grec |
| p | р | Cyrillique |
Les navigateurs modernes affichent le nom en Punycode (xn--...) quand un domaine mélange des alphabets, ce qui permet de détecter ces attaques. Mais tous les logiciels ne le font pas.
Le piège du cadenas HTTPS
Beaucoup de gens pensent qu'un site avec le cadenas HTTPS est forcément sûr. C'est faux. Le cadenas signifie uniquement que la connexion entre vous et le site est chiffrée. Mais si le site est celui d'un escroc, vous envoyez vos données de manière chiffrée... directement à l'escroc. Aujourd'hui, plus de 80% des sites de phishing utilisent HTTPS. Le cadenas ne protège pas contre le phishing.
Essayez sur mlab.sh
Collez une URL suspecte pour analyser son domaine, verifier sa reputation et detecter les signes de phishing. Identifiez les liens dangereux avant de cliquer.
Vérifier une URL sur mlab.sh4 Red Flags
Voici les signaux d'alerte pour repérer un lien de phishing :
Faute dans le domaine
paypa1.com, arnazon.fr, gogle.com : toute faute de frappe dans un domaine connu est un signe de phishing.
URL anormalement longue
Les liens de phishing sont souvent très longs avec de multiples sous-domaines et paramètres pour masquer le vrai domaine loin à gauche de la barre d'adresse.
Adresse IP au lieu d'un domaine
Un lien du type https://185.23.45.67/login est presque toujours malveillant. Les vrais services utilisent des noms de domaine.
Raccourcisseur d'URL
Les liens bit.ly, tinyurl.com ou t.co dans un email prétendument officiel sont suspects. Une banque utilise son propre domaine.
Urgence artificielle
"Votre compte sera supprimé dans 24h", "Action immédiate requise" : l'urgence vise à vous empêcher de vérifier le lien avant de cliquer.
Le texte du lien ne correspond pas
Le texte affiché dit "www.mabanque.fr" mais le vrai lien (visible au survol) pointe vers un autre domaine. Passez toujours la souris sur un lien avant de cliquer.
Modules connexes
Analyser un email suspect
Décortiquer les en-têtes d'email pour identifier les tentatives de phishing et de spoofing.
Les techniques de spoofing
Usurpation d'identité numérique : email spoofing, caller ID spoofing et domain spoofing.
Analyser un domaine suspect
Techniques pour évaluer si un domaine est légitime ou potentiellement malveillant.
Source : mlab Academy — Plateforme de sensibilisation à la cybersécurité
URL : https://academy.mlab.sh/fr-FR/page/lien-phishing
Module : Reconnaître un lien de phishing — Phishing & Ingénierie sociale
Avertissement : Ce contenu est à des fins de sensibilisation uniquement.