En 2026, le phishing n’est plus juste un email mal orthographié avec un faux logo. Grâce à l’IA générative (ChatGPT, Grok, Claude, Gemini, etc.), les attaquants créent des messages ultra-personnalisés, sans faute, qui imitent parfaitement le ton de votre patron, de votre banque ou même de votre meilleur ami. Certains emails sont maintenant générés en temps réel à partir de vos publications LinkedIn, Facebook ou Instagram.
J’ai vu des cas réels où des employés ont transféré 40 000 € à un faux fournisseur parce que « le directeur financier » leur avait envoyé un mail crédible à 100 %. Voici les 8 réflexes concrets que j’applique moi-même et que je recommande à tous mes proches et clients pour ne plus se faire avoir.
1. Vérifiez TOUJOURS l’adresse email réelle (pas juste le nom affiché)
Le truc le plus simple et le plus efficace : cliquez sur le nom de l’expéditeur (sur mobile, appuyez longuement) et regardez l’adresse réelle.
Exemples de pièges courants en 2026 :
- [email protected] → faux (le 1 remplace le l)
- [email protected] → faux (pas amazon.fr ou amazon.com)
- [email protected] → faux si l’expéditeur réel est une adresse Gmail ou Proton
Règle absolue : si l’adresse ne correspond pas exactement au domaine officiel de l’entreprise, c’est suspect.
2. Ne cliquez jamais sur un lien dans un email urgent ou inattendu
Les attaquants adorent créer un sentiment d’urgence : « Votre compte sera bloqué dans 24h », « Facture impayée urgente », « Colis en attente de paiement des frais de douane ».
Réflexe simple : ne cliquez pas. Allez directement sur le site officiel en tapant l’adresse vous-même (ex: amazon.fr, impots.gouv.fr, votre banque). Vérifiez-y si le message est réel.
3. Activez la 2FA partout (et jamais par SMS)
En 2026, le SMS est mort pour la sécurité. Le SIM-swapping est trop facile. Utilisez uniquement :
- Application TOTP (Authy, Google Authenticator, Microsoft Authenticator)
- Passkeys (clé d’accès biométrique) quand disponible
- Clé physique (YubiKey) pour les comptes ultra-sensibles
Si un site vous propose encore seulement le SMS comme 2FA, changez de fournisseur si possible.
4. Méfiez-vous des pièces jointes, même de « collègues » ou « amis »
Les malwares arrivent maintenant via des fichiers Word/Excel/PDF qui demandent d’activer les macros ou d’ouvrir un lien « pour voir le document ». Ne l’ouvrez jamais si :
- Vous n’attendiez pas ce document
- Le nom du fichier est bizarre (facture_2026_urgent.pdf.exe)
- Il vient d’un expéditeur que vous ne connaissez pas bien
Demander toujours une confirmation par un autre canal (appel, message WhatsApp, Teams).
5. Utilisez un filtre anti-phishing efficace
Les filtres modernes bloquent 95-99 % des tentatives :
- Gmail / Proton Mail / Outlook : déjà excellents
- Extensions navigateur : uBlock Origin + Malwarebytes Browser Guard
- Antivirus avec protection web : Bitdefender, Kaspersky, Norton
Si un mail passe au travers, c’est souvent parce qu’il est ultra-ciblé (spear-phishing). Dans ce cas, les réflexes humains comptent plus que le logiciel.
6. Vérifiez les URL avant de cliquer
Sur ordinateur : passez la souris sur le lien (sans cliquer) → regardez la vraie URL en bas à gauche.
Sur mobile : appuyez longuement sur le lien → regardez l’adresse.
Signes de danger :
- URL raccourcie (bit.ly, tinyurl) sans raison
- Domaine bizarre (amaz0n-login.com, office365-support.net)
- HTTPS absent ou certificat invalide
7. Méfiez-vous des appels ou SMS non sollicités
Le phishing vocal (vishing) et par SMS (smishing) explose en 2026 :
- « Votre colis est bloqué, cliquez ici pour payer 2,99 € »
- Appel d’un « technicien Microsoft » qui voit des erreurs sur votre PC
- SMS de votre banque vous demandant de confirmer une transaction inconnue
Règle : jamais de clic ou de code donné par téléphone/SMS si vous n’avez pas initié la démarche.
8. Formez-vous et formez vos proches
Le meilleur antivirus reste le bon sens. Montrez ce classement à votre famille, vos collègues :
- Ne jamais entrer d’identifiants sur un mail reçu
- Toujours vérifier l’expéditeur réel
- Utiliser un gestionnaire de mots de passe + 2FA TOTP/passkeys
- En cas de doute : demander confirmation par un autre canal
En 2026, ceux qui se font piéger sont presque toujours ceux qui n’ont jamais pris 5 minutes pour comprendre ces réflexes de base.
Conclusion
Le phishing IA est puissant, mais il repose toujours sur la même faiblesse : vous. Appliquez ces 8 réflexes, et 99 % des tentatives passeront à côté de vous. C’est ennuyeux au début, mais ça devient vite un réflexe automatique.
Et si jamais vous doutez : ne cliquez pas. C’est la règle numéro 1 qui sauve le plus de comptes.