On vous a probablement déjà dit de « faire attention aux mails suspects ». Très bien. Mais qu'est-ce qu'un mail suspect, concrètement, quand il imite parfaitement votre banque et qu'il arrive à 19h30 ? Voici les six signaux que nous regardons en priorité, dans l'ordre.

Avant de commencer : il n'y a aucune honte à se faire avoir. Les arnaques par mail ont fait un saut technique majeur en 2023-2024, et même des professionnels de la sécurité s'y laissent prendre une fois sur dix. L'objectif n'est pas d'être infaillible — c'est d'avoir un réflexe rapide qui élimine 95 % des pièges en moins d'une minute.

Indice n°1 · L'adresse réelle de l'expéditeur

Le premier mensonge d'un mail piégé, c'est son nom d'expéditeur. "Service Clientèle Crédit Mutuel" peut être écrit par n'importe qui — c'est juste un libellé. Ce qui compte, c'est l'adresse e-mail réelle qui se cache derrière, et notamment ce qu'il y a après le @.

★ À retenir Lisez toujours de droite à gauche.

Dans service@cm-secure.alerte-banque.io, la marque "Crédit Mutuel" apparaît dans le nom de sous-domaine pour faire illusion, mais le vrai domaine est alerte-banque.io — un site qui n'a rien à voir avec votre banque. C'est toujours le mot juste avant le .com ou .fr qui dit la vérité.

Schéma · Lecture d'un domaine de droite à gauche
Le vrai expéditeur n'est jamais celui que le nom affiché vous suggère. Lisez le domaine final.

Indice n°2 · Le ton d'urgence artificielle

Aucune institution sérieuse ne vous donne 24h, 48h, ou 2h pour réagir par mail. Pas votre banque. Pas le fisc. Pas la CAF. Pas Ameli. Pas la Sécurité Sociale. Pas la Poste. Pas votre opérateur. Si un mail vous met sous pression, c'est statistiquement un piège — l'urgence est la matière première du phishing.

  • « Votre compte sera bloqué sous 24h » — non.
  • « Régularisez avant ce soir minuit » — non.
  • « Réclamez votre remboursement avant expiration » — non.
  • « Confirmez votre identité immédiatement » — toujours non.
Le phishing n'attaque pas votre intelligence. Il attaque votre fatigue, votre urgence, votre soir, votre dimanche, votre 19h30 en cuisine. — Manifeste interne · équipe Lucien

Indice n°3 · Le lien qui ne dit pas où il mène

Sur ordinateur, passez la souris sur un lien sans cliquer : son adresse réelle s'affiche en bas de l'écran. Sur téléphone, appuyez longuement (sans relâcher) sur le lien : une petite fenêtre s'ouvre avec la vraie destination. Si l'adresse affichée n'est pas exactement celle attendue (par exemple impots.gouv.fr), ne cliquez pas — même si le mail semble parfait.

Les variantes qui marchent en 2024

Les attaquants ont compris que vous regardez le début du lien. Donc ils mettent le bon mot au début, et le piège à la fin :

  • impots.gouv.fr.declaration-2024.click — le vrai domaine est declaration-2024.click.
  • amazon-confirmation.security-check.io — le vrai domaine est security-check.io.
  • https://laposte.fr-suivi.colis-livraison.eu — vrai domaine : colis-livraison.eu.

Indice n°4 · Les fautes utiles (et celles qui n'existent plus)

Le mythe des « phishing pleins de fautes » a la vie dure. C'était vrai il y a dix ans, ça ne l'est plus. Avec ChatGPT et consorts, les mails frauduleux sont désormais parfaitement rédigés — souvent mieux que ceux de votre vrai conseiller bancaire.

Mais quelques fautes restent volontaires : elles servent à filtrer les destinataires trop vigilants. Si vous repérez la faute, vous ne mordez pas à l'hameçon — et l'arnaqueur préfère ne perdre son temps qu'avec ceux qui ne la repèrent pas. Donc une faute grossière dans un mail "officiel" est, paradoxalement, un signal très fort.

⚐ Cas pratique « Madame, Monsieur l'usager »

Cette formule sonne presque français. Elle ne l'est pas. Aucune administration n'écrit comme ça. C'est typiquement le genre de tournure que produit un attaquant non-francophone, ou un modèle de langage configuré en « formel administratif » sans relecture humaine.

Indice n°5 · La pièce jointe qu'on ne vous a pas demandée

Un service que vous n'avez pas sollicité ne vous enverra jamais une pièce jointe que vous devez ouvrir « pour vérifier votre identité ». Les .pdf, .docx, .xlsx et surtout .zip et .html envoyés en pièce jointe par des inconnus sont la principale porte d'entrée des rançongiciels en 2024.

Cas particulier : la pièce jointe .html. C'est un mini site web déguisé en document. Vous l'ouvrez, votre navigateur affiche une copie parfaite de la page de connexion de votre banque, et tout ce que vous y tapez part directement vers l'attaquant. Le mail n'a même pas besoin de lien — il vous donne la fausse page en pièce jointe.

Indice n°6 · Le contexte manquant

Le dernier indice est le plus humain, et probablement le plus utile à apprendre à ses parents. Posez-vous une seule question : « Est-ce que j'attendais ce mail ? »

  • Avez-vous commandé un colis ? Si non, le SMS DPD est un piège.
  • Avez-vous déclaré un trop-perçu d'impôts ? Si non, le mail de remboursement est un piège.
  • Avez-vous changé de mot de passe Netflix ce matin ? Si non, l'alerte « tentative de connexion » est un piège.
  • Êtes-vous client chez cette banque ? Si non, c'est forcément un piège.

Cette question seule élimine 70 % des mails de phishing. Apprenez-la à ceux que vous aimez avant tout le reste.

La méthode Lucien, en 30 secondes

Quand un mail vous laisse un doute, voici la routine que Lucien applique — et que vous pouvez appliquer aussi :

  • 3 secondes — Est-ce que j'attendais ce mail ? Si non, méfiance.
  • 5 secondes — Lire l'adresse réelle de l'expéditeur, de droite à gauche.
  • 5 secondes — Repérer un ton d'urgence ou une menace.
  • 10 secondes — Survoler (ou appuyer long) sur les liens, sans cliquer.
  • 5 secondes — Vérifier la présence d'une pièce jointe non sollicitée.
  • 2 secondes — Au moindre doute : transférer à lucien@monassistantcyber.fr et faire autre chose.

À imprimer et coller sur le frigo

Si vous lisez cet article pour quelqu'un d'autre — un parent, un grand-parent, un voisin qui doute — voici la version courte, à imprimer et glisser dans le tiroir à côté de l'ordinateur.

★ Aide-mémoire Le réflexe en 4 mots

Attendu ? Ce mail, je l'attendais ?
Pressé ? On me met sous pression ?
Lien ? Le vrai domaine est-il bon ?
Doute ? Transférer à Lucien et passer à autre chose.

Cet article fait partie d'une série en six chapitres sur l'autodéfense numérique au quotidien. Le prochain — Votre adresse mail a fuité — que faire, concrètement — explique ce qu'il faut faire si votre adresse apparaît dans une base de données volée.