📖 Lexique cyber

Qu'est-ce que le phishing ? Définition simple et exemples concrets

Le phishing (ou hameçonnage) est la cyberattaque la plus répandue en France. Définition simple, exemples réels et réflexes pour ne pas tomber dans le piège.

Publié le 8 juin 2026 · 2 min de lecture

Le phishing (en français hameçonnage) est une technique d'arnaque qui consiste à se faire passer pour un organisme de confiance - votre banque, La Poste, Ameli, Netflix, votre employeur - afin de vous pousser à révéler des informations sensibles : mot de passe, numéro de carte bancaire, identifiants de connexion.

C'est, de très loin, la cyberattaque la plus répandue en France : elle est à l'origine de la majorité des piratages de comptes, aussi bien chez les particuliers qu'en entreprise.

Comment fonctionne une attaque de phishing ?

Le principe tient en trois étapes :

  1. L'appât - vous recevez un message (email, SMS, appel, message privé) qui imite parfaitement un organisme que vous connaissez.
  2. L'urgence - le message invoque un problème à régler vite : « votre colis est bloqué », « votre compte va être suspendu », « un remboursement vous attend ».
  3. Le piège - un lien vous mène vers une fausse page de connexion, copie conforme de la vraie. Ce que vous y saisissez part directement chez l'escroc.
Réflexe Cyvio : un organisme légitime ne vous demande jamais votre mot de passe ou votre code par email ou SMS. Jamais.

Les variantes à connaître

  • Smishing : le phishing par SMS (faux colis, fausse vignette Crit'Air, fausse amende).
  • Vishing : le phishing par téléphone, souvent un « faux conseiller bancaire » qui vous appelle après un premier SMS piégé.
  • Spear phishing : une attaque ciblée et personnalisée, fréquente en entreprise - l'escroc connaît votre nom, votre poste, parfois vos collègues.
  • Quishing : le phishing par QR code, collé sur un horodateur ou glissé dans un email.

Exemples réels qui circulent en ce moment

  • « Votre colis n'a pas pu être livré, régularisez 1,95 € » - faux site La Poste/Chronopost qui récupère votre carte bancaire.
  • « Votre carte Vitale arrive à expiration » - Ameli ne vous enverra jamais ce message.
  • « Activité suspecte détectée sur votre compte » - faux email bancaire menant à une fausse page de connexion.

Comment se protéger ?

  • Ne cliquez pas sur les liens reçus par SMS ou email : tapez vous-même l'adresse du site officiel dans votre navigateur.
  • Vérifiez l'adresse de l'expéditeur, pas seulement le nom affiché.
  • Activez la double authentification partout où c'est possible : même volé, votre mot de passe seul ne suffira plus.
  • Prenez 30 secondes. L'urgence est l'arme numéro un des escrocs - un vrai organisme peut attendre.

En cas de doute sur un message reçu, le site gouvernemental cybermalveillance.gouv.fr permet de vérifier les campagnes d'arnaques en cours et de signaler celles que vous recevez.

L'équipe Cyvio

Articles rédigés par le fondateur de Cyvio, ingénieur cybersécurité en exercice. Chaque conseil vient du terrain : les attaques décrites ici sont celles que nous voyons réellement circuler.

Sauriez-vous repérer une arnaque ?

Testez-vous en 1 minute sur 5 vrais exemples de SMS et d'emails - gratuit, sans compte.

🎣 Faire le test anti-phishing