Le hameçonnage est une attaque qui tente de voler votre argent ou votre identité, en vous incitant à divulguer les informations personnelles, telles que les numéros de cartes de crédits, les informations bancaires, ou les mots de passe, sur les sites web qui prétendent être légitimes. Les cybercriminels procèdent généralement ainsi : ils vous envoient un message dans lequel ils se font passer pour une entreprise, un proche ou une connaissance que vous jugez digne de confiance. Ils intègrent à ce message un lien vers un site web d’hameçonnage.

Votre navigateur ne prend pas en charge la vidéo. Installez Microsoft Silverlight, Adobe Flash Player ou Internet Explorer 9.

Découvrir comment repérer un message de phishing

L’hameçonnage est un type de cybercrime très répandu en raison de son efficacité. Les cybercriminels ont réussi à utiliser les courriers électroniques, les messages texte, les messages directs sur les réseaux sociaux ou les jeux vidéo afin de permettre aux utilisateurs de répondre à leurs informations personnelles. Pour vous protéger contre l’hameçonnage, faites preuve de prudence et apprenez à repérer les éléments suspects.

Voici quelques pistes pour reconnaître un e-mail d’hameçonnage :

  • Appel urgent à une action ou menaces- Méfiez-vous des courriers électroniques qui vous informent que vous devez cliquer, appeler ou ouvrir une pièce jointe immédiatement. Souvent, ils disent que vous devez agir maintenant pour demander une récompense ou éviter une récompense. La création d’une fausse idée d’urgence est une astuce courante pour les attaques par hameçonnage et les escroqueries. Ils le font pour que vous n’y réfléchissez pas trop ou pour vous avertir auprès d’un conseiller de confiance.

    Conseil : Lorsqu’un message s’affiche vous demandant d’agir immédiatement, prenez quelques instants, interrompez-vous et regardez attentivement le message. Êtes-vous sûr que c’est réel ? Ralentissez et soyez prudent.

  • Expéditeurs nouveaux ou peu fréquents : Bien qu’il ne soit pas inhabituel de recevoir un e-mail d’une personne pour la première fois, surtout si elle est externe à votre organisation, ceci peut-être un signe de hameçonnage. Lorsque vous recevez un e-mail d’une personne que vous ne reconnaissez pas ou qu’Outlook identifie comme nouvel expéditeur, prenez le temps de l’examiner très attentivement avant de poursuivre.

  • Grammaire et orthographe mauvaise : Professional entreprises et organisations ont généralement un équipe éditoriale pour s’assurer que les clients obtiennent un contenu professionnel et de haute qualité. Si une faute d’orthographe ou de grammaire est évidente dans un message électronique, il peut s’agir d’une escroquerie. Ces erreurs sont parfois la conséquence de la traduction maladroite d’une langue étrangère ou sont parfois délibérées dans le but d’échapper à des filtres qui tentent de bloquer ces attaques.

  • Messages d’accueil génériques : une organisation collaborant avec vous doit connaître votre nom et il est facile de personnaliser un e-mail ces jours-ci. Si l’e-mail commence par un « Cher monsieur ou madame » générique, c’est un signal d’alerte qu’il ne s’agit pas réellement de votre banque ou d’un site de vente.

  • Domaines de courrier non mis en service : si le message semble faire partie d’une société de confiance, comme Microsoft ou votre banque, mais que le courrier électronique est envoyé par un autre domaine de messagerie comme Gmail.com ou microsoftsupport.ru il s’agit probablement d’une escroquerie. Soyez également attentif aux fautes d’orthographe très subtiles du nom de domaine légitime. Comme micros0ft.com, le deuxième « o » a été remplacé par un 0, ou rnicrosoft.com, où « m » a été remplacé par un « r » et un « n ». Il s’agit d’astuces courantes pour les escroqueries. 

  • Lien suspects ou pièces jointes inattendues : Si vous soupçonnez qu’un e-mail est frauduleux, ne cliquez sur aucun des liens ou pièces jointes qu’il contient. Au lieu de cela, placez le curseur de votre souris, sans cliquer, au-dessus de chacun de ses liens. Vous pourrez ainsi vérifier si l’adresse web correspond au lien tel qu’il se présente dans le corps du message. Dans l’exemple suivant, le fait de pointer sur le lien révèle l’adresse web réelle dans la zone avec un arrière-plan jaune. Notez que la chaîne de chiffres ne ressemble pas à l’adresse web de l’entreprise.

Adresse IP frauduleuse :

Conseil : Sur Android, appuyez longuement sur le lien pour obtenir une page de propriétés qui révélera la destination réelle du lien. Sur iOS, faites ce qu’Apple appelle un « appareil léger, appuyez longuement ».

Les cybercriminels peuvent également vous inciter à visiter des sites web frauduleux. Par exemple, en vous envoyant des SMS ou en vous appelant par téléphone. Les cybercriminels bénéficiant de moyens conséquents configurent des centres d’appels pour composer automatiquement des numéros ou envoyer des SMS à leurs cibles potentielles. Ces messages comportent souvent des champs pour vous inciter à entrer un numéro de code confidentiel ou tout autre type d’information personnelle.

Pour plus d’informations, voir Comment repérer une escroquerie à une « fausse commande ». 

Etes-vous un administrateur ou un professionnel de l’informatique ?

Si vous disposez d’un abonnement Microsoft 365 avec la Protection Avancée contre les Menaces, vous pouvez activer l’application Anti-hameçonnage ATP pour protéger vos utilisateurs. En savoir plus

Si vous recevez un courrier d’hameçonnage

  • Ne cliquez jamais sur des liens ou des pièces jointes dans des e-mails suspects. Si vous recevez un message suspect d’une organisation et que vous craignez que le message puisse être légitime, accédez à votre navigateur web et ouvrez un nouvel onglet. Accédez ensuite au site web de l’organisation à partir de votre propre favori enregistré ou via la recherche web. Vous pouvez également appeler l’organisation à l’aide d’un numéro de téléphone inscrit au dos d’une carte d’abonnement, imprimé sur une facture ou d’un relevé ou que vous trouvez sur le site web officiel de l’organisation.

  • Si le message suspect semble provenir d’une personne que vous connaissez, contactez cette personne par d’autres moyens tels qu’un SMS ou un appel téléphonique pour le confirmer.

  • Signaler le message (voir ci-dessous).

  • Supprimez-le.

Signaler une escroquerie par hameçonnage

  • Microsoft Office Outlook : Dans le message suspect, sélectionnez Message de rapport dans le ruban, puis sélectionnez Hameçonnage. C’est le moyen le plus rapide de le signaler et de supprimer le message de votre Boîte de réception et cela nous permettra d’améliorer nos filtres pour que vous voyiez moins de messages à l’avenir. Pour plus d'informations, voir Utiliser le complément Message de rapport.

  • Outlook.com : Sélectionnez la case à cocher à côté du message suspect dans votre boîte de réception Outlook.com. Sélectionnez la flèche en regard de Courrier indésirable, puis sélectionnez Hameçonnage.

Remarque : Si vous utilisez un client de messagerie autre qu’Outlook, démarrez un nouvel e-mail à phish@office365.microsoft.com et incluez l’e-mail de hameçonnage en tant que pièce jointe. Ne transférez pas cet e-mail suspect. Nous devons le recevoir en tant que pièce jointe pour pouvoir examiner les en-têtes sur le message. 

Si vous consultez un site web suspect :

Lorsque vous êtes sur un site suspect dans Microsoft Edge, sélectionnez l’icône Paramètres et plus (...) dans le coin supérieur droit de la fenêtre, puis l’aide et les commentaires > site non sécurisé.  Vous pouvez également cliquer ici.

Conseil : Alt+F ouvre le menu Paramètres et plus.

Pour plus d’informations, consultez Naviguer sur le web en toute sécurité dans Microsoft Edge.

Procédure à suivre si vous pensez être victime d’un hameçonnage

Si vous pensez que vous avez peut-être subi une attaque d’hameçonnage par inadvertance, vous devez effectuer les opérations suivantes. 

  1. Notez les détails de l’attaque aussitôt que possible. Notamment les informations telles que les noms d’utilisateur, les numéros de compte ou les mots de passe que vous avez partagés.

  2. Modifiez immédiatement les mots de passe des comptes concernés et partout où vous pourriez utiliser le même mot de passe. Lors de la modification de votre mot de passe, vous devez créer un mot de passe unique pour chaque compte et vous pouvez consulter Créer et utiliser des mots de passe forts.

  3. Confirmez que l’authentification multifacteur (également appelée vérification en deux étapes) est désactivée pour chaque compte possible. Consultez Définition: Authentification multifacteur

  4. Si cette agression a une incidence sur vos comptes professionnels ou scolaires, vous devez informer les responsables du support informatique de votre entreprise ou établissement scolaire de l’éventuelle attaque. Si vous avez partagé des informations sur votre carte de crédits ou votre compte bancaire, vous pouvez contacter ces sociétés pour les avertir de toute fraude éventuelle.

  5. Si vous avez perdu de l’argent ou si vous avez été la victime d’une usurpation d’identité, signalez-le à l’organisme local chargé de l'application de la loi. Les détails de l’étape 1 lui sont utiles.

Voir également

Les clés du royaume, Sécurisation de vos appareils et de vos comptes

Menaces des programmes malveillants

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?

Nous vous remercions de vos commentaires.

×