Vérifier un email : le guide complet contre le phishing

Si les ransomwares et les attaques DDoS font les gros titres, c'est le phishing qui cause le plus de dégâts au quotidien. Selon le rapport annuel 2026 de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), le phishing représente 36 % de toutes les cyberattaques recensées en France, avec une hausse de 18 % par rapport à l'année précédente. Les pertes financières directes causées par le phishing par email sont estimées à 312 millions d'euros pour l'année 2026.

Ce qui rend le phishing si efficace, c'est sa simplicité déconcertante. Un fraudeur n'a besoin que d'une adresse email, d'un serveur d'envoi, et d'un message suffisamment convaincant pour inciter la victime à cliquer sur un lien ou à ouvrir une pièce jointe. Contrairement aux attaques informatiques sophistiquées qui nécessitent des compétences techniques avancées, le phishing s'appuie sur l'ingénierie sociale — la manipulation psychologique — pour atteindre ses objectifs.

Les cibles privilégiées des phishers ont évolué. Si les particuliers restent massivement visés par les arnaques classiques (banques, livraisons, impôts), les entreprises subissent une vague croissante de spear-phishing et de whale-phishing. Le spear-phishing cible des individus spécifiques avec des messages personnalisés basés sur des informations recueillies sur les réseaux sociaux. Le whale-phishing vise les dirigeants et cadres supérieurs, dont la compromission peut entraîner des pertes financières colossales pour l'entreprise.

Heureusement, la détection du phishing repose sur des principes simples et accessibles à tous. En apprenant à vérifier l'authenticité d'un email, à inspecter ses en-têtes techniques, à analyser ses liens et ses pièces jointes, vous développez un instinct de vigilance qui vous protégera dans la grande majorité des cas. Ce guide vous accompagne pas à pas dans cette démarche.

La première étape de la vérification d'un email consiste à évaluer son authenticité globale avant même d'examiner ses détails techniques. Cette évaluation d'ensemble permet souvent d'identifier un phishing grossier en quelques secondes, sans avoir besoin d'outils complexes.

1.1 L'expéditeur et le contexte

Commencez par vous demander si vous attendiez cet email. Un email inattendu prétendant provenir de votre banque, de l'administration fiscale, ou d'un service en ligne, doit immédiatement être traité avec suspicion. Les organismes légitimes n'envoient pas d'emails surprises demandant une action urgente. Si vous n'avez pas initié de transaction, de demande de remboursement, ou de changement de mot de passe, l'email est très probablement frauduleux.

Examinez le ton du message. Le phishing repose sur l'urgence et la peur : "Votre compte sera suspendu dans 24 heures", "Paiement refusé — action requise immédiatement", "Activité suspecte détectée". Ces formulations sont conçues pour vous pousser à agir sans réfléchir. Un email légitime, même s'il concerne un problème important, adoptera généralement un ton professionnel et vous donnera le temps de vérifier l'information.

1.2 Les erreurs de langue

Bien que les fraudeurs aient progressé en matière de qualité rédactionnelle, de nombreux emails de phishing contiennent encore des fautes d'orthographe, de grammaire, ou des tournures maladroites. Ces erreurs peuvent être involontaires (le fraudeur ne maîtrise pas la langue) ou volontaires (elles servent à filtrer les victimes les plus crédules). Quelle qu'en soit la raison, un email officiel d'une grande entreprise ou d'une administration ne contiendra jamais de fautes flagrantes.

Attention toutefois : l'absence de fautes ne garantit pas l'authenticité. Les campagnes de phishing les plus sophistiquées utilisent des templates parfaitement rédigés, parfois copiés intégralement sur des emails légitimes. L'analyse linguistique est un premier filtre, mais elle ne doit pas être votre seule ligne de défense.

1.3 Le design et les logos

Les fraudeurs reproduisent souvent le design des emails officiels en copiant les logos, les couleurs, et la mise en page. Cependant, des détails trahissent généralement la supercherie : une résolution d'image médiocre, des couleurs légèrement décalées, une mise en page bancale sur mobile, ou des boutons d'action mal dimensionnés. Passez la souris sur les images : si elles proviennent d'un hébergeur suspect ou d'un domaine différent de celui de l'expéditeur officiel, c'est un signe d'alerte.

L'adresse affichée dans la colonne "De" de votre client email peut être facilement usurpée. Pour vérifier réellement d'où provient un email, il est indispensable de consulter ses en-têtes complets (headers). Ces métadonnées techniques, invisibles dans la vue normale, tracent le parcours du message depuis son expéditeur jusqu'à votre boîte de réception.

2.1 Comment afficher les en-têtes

Dans Gmail : ouvrez l'email, cliquez sur les trois points verticaux en haut à droite, puis sélectionnez "Afficher l'original". Vous verrez alors le code source brut de l'email, incluant tous les en-têtes. Dans Outlook (web) : cliquez sur les trois points puis "Afficher les détails du message". Dans Outlook bureau : Fichier > Propriétés. Dans Apple Mail : Affichage > Message > Tous les en-têtes. Dans Thunderbird : Affichage > En-têtes du message > Tous.

2.2 Comprendre les en-têtes clés

Parmi les dizaines de lignes d'en-têtes, certaines sont particulièrement importantes. Le champ "Return-Path" ou "Reply-To" indique l'adresse qui recevra votre réponse : si elle diffère de l'adresse d'expédition affichée, c'est un signe d'usurpation. Le champ "Received" trace le parcours du message à travers les serveurs. S'il indique des serveurs situés dans des pays étrangers alors que l'expéditeur prétend être français, la suspicion est justifiée.

Les en-têtes d'authentification SPF, DKIM et DMARC sont cruciaux. SPF (Sender Policy Framework) vérifie si le serveur d'envoi est autorisé à envoyer des emails pour ce domaine. DKIM (DomainKeys Identified Mail) ajoute une signature cryptographique qui garantit que le message n'a pas été altéré en transit. DMARC (Domain-based Message Authentication) définit la politique à suivre si SPF ou DKIM échouent. Un email authentique de la part d'une grande entreprise aura généralement les trois validations en place.

2.3 L'adresse réelle vs le nom affiché

Le nom affiché à côté de l'adresse email peut être choisi arbitrairement par l'expéditeur. Un fraudeur peut afficher "Service Client Amazon" avec une adresse réelle du type service-client-amazon-verifiez-votre-compte@gmail.com. Toujours cliquez sur le nom de l'expéditeur pour révéler l'adresse email complète. Méfiez-vous des adresses qui utilisent des substitutions de caractères (arnazon.com au lieu d'amazon.com), des sous-domaines suspects (amazon-verification-security.com), ou des extensions de domaine étrangères inattendues.

Les liens sont le vecteur principal du phishing. Un email peut paraître parfaitement légitime, mais si le lien qu'il contient mène vers un site frauduleux, cliquer suffit à compromettre vos identifiants ou à infecter votre appareil. La technique du "hover" (survol) est la méthode la plus simple et la plus efficace pour vérifier un lien sans risque.

3.1 Le hover sans clic

Placez simplement votre curseur de souris sur le lien sans cliquer. Dans la quasi-totalité des clients email et des navigateurs, l'URL réelle s'affiche en bas de la fenêtre ou dans une infobulle. Comparez cette URL avec le texte affiché du lien. Si le lien affiche "Connexion sécurisée à votre compte BNP Paribas" mais que l'URL réelle est https://bnp-paribas-securite-client.com/verify.php, il s'agit d'un phishing.

Sur mobile, la technique du hover est impossible. Appuyez longuement sur le lien pour afficher l'aperçu de l'URL. Ne relâchez pas votre doigt pour éviter d'ouvrir le lien. Si l'URL semble suspecte, ne cliquez pas et supprimez l'email.

3.2 Analyser l'URL

Une URL peut être trompeuse. Apprenez à en lire la structure. Le domaine principal est ce qui se trouve immédiatement avant l'extension (.com, .fr, .net). Par exemple, dans https://login.amazon.com.verify-account.net, le domaine principal est verify-account.net, pas amazon.com. Les sous-domaines (ce qui précède le domaine principal) peuvent être choisis arbitrairement. Un fraudeur peut créer amazon.com.phishing-site.ru où amazon.com n'est qu'un sous-domaine.

Méfiez-vous également des URL raccourcies (bit.ly, t.co, tinyurl.com) dans un email officiel. Les entreprises sérieuses utilisent leurs propres domaines pour tous leurs liens. Enfin, vérifiez le protocole : un site de connexion légitime utilisera toujours HTTPS (le cadenas dans la barre d'adresse). Cependant, attention : la présence de HTTPS ne garantit pas la légitimité du site, seulement que la connexion est chiffrée.

Les pièces jointes malveillantes sont le deuxième vecteur d'attaque du phishing, après les liens frauduleux. Contrairement aux liens, qui nécessitent que vous cliquiez volontairement, certaines pièces jointes peuvent exploiter des failles de sécurité pour s'exécuter automatiquement lors de l'ouverture. La prudence est donc de mise à chaque pièce jointe reçue.

4.1 Les formats à risque

Les fichiers exécutables sont les plus dangereux : .exe, .scr, .bat, .cmd, .msi, .com, .js, .vbs, .ps1. Ces fichiers peuvent exécuter du code malveillant dès leur lancement et prendre le contrôle de votre système. Les documents Office avec macros (.docm, .xlsm, .pptm) sont également très risqués car les macros peuvent contenir des scripts malveillants. Les fichiers PDF peuvent exploiter des vulnérabilités des lecteurs PDF, et les archives ZIP, RAR ou 7z peuvent masquer des fichiers malveillants derrière des noms inoffensifs.

Même les formats généralement considérés comme sûrs peuvent être dangereux dans certains contextes. Une image .jpg ou .png peut exploiter une faille du visualiseur d'images. Un fichier .mp3 peut contenir un exploit du lecteur audio. Cependant, ces attaques sont rares et nécessitent généralement que le fichier soit ouvert avec une application vulnérable non mise à jour.

4.2 Les règles de sécurité

La règle fondamentale est simple : ne téléchargez et n'ouvrez une pièce jointe que si vous attendiez ce fichier et que vous connaissez l'expéditeur. Un email inattendu avec une pièce jointe, même d'un expéditeur connu, doit être traité avec suspicion : le compte de l'expéditeur a peut-être été compromis. Vérifiez par un autre canal (SMS, appel téléphonique, messagerie instantanée) que l'expéditeur a bien envoyé ce fichier.

Si vous devez ouvrir un document suspect, utilisez un environnement isolé. Ouvrez-le dans un navigateur web (Google Docs Viewer, Office Online) plutôt que dans l'application native. Ces visualiseurs en ligne exécutent le document dans un bac à sable qui protège votre système. Vous pouvez également utiliser une machine virtuelle dédiée ou un service d'analyse en ligne comme VirusTotal pour scanner la pièce jointe avant de l'ouvrir.

Votre adresse email est l'identifiant central de votre vie numérique. Si elle a été compromise dans une fuite de données, les fraudeurs peuvent l'utiliser pour vous cibler avec des campagnes de phishing personnalisées, tenter de réinitialiser vos mots de passe, ou même accéder à vos comptes si vous utilisez le même mot de passe sur plusieurs services.

5.1 Have I Been Pwned

Have I Been Pwned (haveibeenpwned.com) est le service de référence pour vérifier si une adresse email a été compromise dans une fuite de données. Créé par le chercheur en sécurité Troy Hunt, ce service agrège des milliards de comptes provenant de fuites connues et vous permet de rechercher votre email de manière sécurisée. Le site ne stocke pas les recherches et utilise un système de hachage k-anonyme pour protéger la confidentialité.

Pour vérifier votre email, saisissez-le dans le champ de recherche du site. Si l'email apparaît dans une ou plusieurs fuites, le site vous indiquera quelles entreprises ont été concernées (LinkedIn, Dropbox, Adobe, etc.), la date approximative de la fuite, et quelles données ont été exposées (mot de passe, numéro de téléphone, adresse postale, etc.).

5.2 Que faire en cas de compromission

Si votre email apparaît dans une fuite, agissez immédiatement. Changez le mot de passe du service concerné, puis changez le mot de passe de votre adresse email principale. Activez l'authentification à deux facteurs sur tous les comptes qui le proposent. Si vous utilisiez le même mot de passe sur d'autres services, changez-le aussi sur ceux-ci (et arrêtez de réutiliser les mots de passe !).

Surveillez attentivement vos comptes bancaires et vos emails dans les semaines suivantes. Les fraudeurs peuvent tenter d'utiliser les données volées des semaines ou des mois après la fuite initiale. Vous pouvez également vous inscrire aux alertes Have I Been Pwned pour être notifié en temps réel si votre adresse apparaît dans une nouvelle fuite.

Les fraudeurs adaptent constamment leurs techniques aux actualités et aux saisons. Voici les cinq arnaques email les plus fréquemment signalées en France en 2026, avec leurs mécanismes et les moyens de les reconnaître.

6.1 Le faux remboursement d'impôts

Sous couvert de l'administration fiscale, l'email annonce un remboursement d'impôts de plusieurs centaines d'euros. Un lien invite à "valider vos coordonnées bancaires" pour percevoir le remboursement. Le site imite parfaitement impots.gouv.fr mais vole vos identifiants et vos données bancaires. L'administration fiscale ne communique jamais les remboursements par email avec un lien à cliquer.

6.2 La fausse livraison

Colissimo, Chronopost, DHL, ou Amazon : l'email prétend qu'une livraison a échoué faute de paiement de frais de douane ou d'une adresse incomplète. Un lien permet de "régulariser la situation". En réalité, le site vole vos coordonnées bancaires. Si vous attendez un colis, connectez-vous directement sur le site officiel du transporteur avec votre numéro de suivi.

6.3 Le phishing bancaire

L'email usurpe l'identité de votre banque et mentionne une "opération inhabituelle", un "dépassement de seuil", ou une "mise à jour de sécurité obligatoire". Le lien mène vers un clone du site bancaire qui capture vos identifiants. Les banques n'envoient jamais de liens de connexion par email. En cas de doute, appelez votre conseiller au numéro du verso de votre carte.

6.4 L'arnaque au CEO (BEC)

Cette arnaque cible les entreprises. Un email semblant provenir du PDG ou d'un directeur demande à un employé de réaliser en urgence un virement vers un fournisseur. L'email utilise une adresse légèrement modifiée (par exemple jean.dupont@entreprise.co au lieu de jean.dupont@entreprise.com). L'employé pressé effectue le virement, qui part directement vers le compte du fraudeur. Ces arnaques ont causé des pertes de plusieurs millions d'euros en France.

6.5 L'extorsion par email (sextorsion)

L'email prétend avoir enregistré la victime via sa webcam en train de consulter des sites pornographiques. Le fraudeur menace de diffuser la vidéo à tous les contacts de la victime à moins d'un paiement en bitcoins. En réalité, le fraudeur n'a aucune vidéo : il utilise des mots de passe trouvés dans des fuites de données pour rendre sa menace crédible. Ne payez jamais et signalez l'email.

Heureusement, de nombreux outils gratuits existent pour vous aider à vérifier la légitimité d'un email et à protéger vos adresses. Voici une sélection des outils les plus fiables et les plus accessibles.

7.1 Clairmo

Clairmo offre une vérification complète d'adresse email en quelques secondes. Le service vérifie la syntaxe, les enregistrements DNS (MX), la configuration SPF/DMARC du domaine, et interroge la base Have I Been Pwned pour détecter d'éventuelles compromissions. Pour les adresses associées à des profils publics, Clairmo peut également retrouver les réseaux sociaux et la présence web. Le service est particulièrement utile pour vérifier des emails suspects reçus ou pour valider des adresses professionnelles.

7.2 Have I Been Pwned

Indispensable pour vérifier si votre adresse email a été compromise dans une fuite de données. Le service est gratuit, respectueux de la vie privée, et propose des alertes par email pour les nouvelles fuites. Si vous gérez un domaine entier, vous pouvez même utiliser la fonctionnalité de recherche par domaine pour vérifier toutes les adresses de votre organisation.

7.3 VirusTotal

VirusTotal (virustotal.com) permet d'analyser des pièces jointes suspectes, des liens, et même des adresses IP. Le service agrège les moteurs d'analyse de plus de 70 antivirus et fournit un rapport détaillé. Si vous recevez une pièce jointe douteuse, téléchargez-la (sans l'ouvrir) et soumettez-la à VirusTotal pour un scan complet.

7.4 MXToolbox et Mail Tester

MXToolbox est une suite d'outils en ligne pour diagnostiquer les problèmes de messagerie. Vous pouvez vérifier les enregistrements SPF, DKIM et DMARC d'un domaine, consulter la réputation d'une adresse IP, et analyser les en-têtes d'un email. Mail Tester (mail-tester.com) permet quant à lui d'évaluer la "spam-score" d'un email en analysant sa conformité aux meilleures pratiques.

Le phishing par email est une menace omniprésente qui évolue constamment, mais sa détection repose sur des principes simples et accessibles à tous. En vérifiant systématiquement l'expéditeur, en analysant les liens avant de cliquer, en méfiant des pièces jointes inattendues, et en surveillant la compromission de vos adresses email, vous développez une hygiène numérique qui vous protégera efficacement.

N'oubliez pas les règles d'or : ne cliquez jamais sur un lien d'email pour vous connecter à un service, ne téléchargez une pièce jointe que si vous l'attendiez, et ne communiquez jamais d'informations sensibles en réponse à un email. La prudence est votre meilleure alliée face aux fraudeurs.

Si vous avez reçu un email suspect et souhaitez vérifier son authenticité, utilisez notre outil de vérification d'email. En quelques secondes, vous saurez si le domaine est authentique, si l'adresse a été compromise, et quels profils publics lui sont associés.