Qu'est-ce qu'un lien de phishing ?

Imaginez que vous parcourez votre boîte de réception un mardi matin chargé. Vous tombez sur une notification urgente de votre banque ou sur une alerte d'expédition concernant un colis dont vous ne vous souvenez pas avoir commandé. Les deux contiennent un bouton ou une URL, et les deux sont conçus pour susciter un sentiment de panique. Ce simple lien constitue le point névralgique de la cybersécurité moderne. Ce type d'attaque, souvent appelé « hameçonnage par URL », repose sur des liens trompeurs conçus pour paraître légitimes à première vue.

Selon la CISA, le phishing reste la forme la plus répandue de cyberattaque, représentant plus de 90 % de toutes les violations de données. Si les escroqueries elles-mêmes sont complexes, le « lien de phishing » en est le principal vecteur. Ces URL malveillantes sont diffusées par e-mail, SMS (smishing), messages privés sur les réseaux sociaux, et même via des codes QR imprimés (quishing). Comprendre le fonctionnement de ces liens fait toute la différence entre la sécurité de votre vie numérique et le fait de remettre les clés à un parfait inconnu.

Dans ce guide, nous vous expliquerons en détail comment repérer ces liens avant de cliquer, ce qui se passe si vous cliquez par inadvertance et les mesures à prendre pour remédier à la situation.

Qu'est-ce qu'un lien de phishing ?

Un lien de phishing est une URL malveillante conçue pour paraître légitime, utilisée pour inciter les utilisateurs à divulguer leurs identifiants ou leurs données personnelles, ou pour déclencher le téléchargement d'un logiciel malveillant. Il ne s'agit pas d'une attaque en soi, mais plutôt d'un vecteur qui relie un message trompeur à une destination malveillante. En cliquant dessus, l'utilisateur établit, sans le savoir, un pont entre un environnement sûr et l'infrastructure d'un pirate.

Comment fonctionne un lien de hameçonnage ?

Une attaque par hameçonnage ne se résume pas à un simple lien aléatoire ; il s'agit d'un processus psychologique et technique mûrement réfléchi. Voici comment ce mécanisme se déroule du point de vue de l'utilisateur :

1. La configuration

Un pirate informatique rédige un message convaincant, généralement un e-mail ou un SMS, qui se fait passer pour une marque de confiance telle que Microsoft, Amazon ou une banque locale. Ce message recourt à des techniques d’« ingénierie sociale », telles que la peur, l’urgence ou la curiosité, pour inciter le destinataire à agir.

2. Le clic

L'utilisateur clique sur le lien, se fiant au contexte de l'expéditeur. Par exemple, un lien « réinitialiser le mot de passe » dans un e-mail qui ressemble en tous points à une notification standard.

3. La charge utile

L'utilisateur est redirigé vers une fausse page d'accueil conçue pour récupérer des identifiants tels que les noms d'utilisateur et les mots de passe. Dans les cas les plus graves, le lien déclenche un « téléchargement furtif », au cours duquel un logiciel malveillant s'installe discrètement en arrière-plan sans aucune intervention de l'utilisateur.

4. L'exploitation

Une fois les données dérobées ou l'appareil compromis, le pirate utilise cet accès pour commettre des fraudes financières, des usurpations d'identité ou pour s'introduire dans un réseau d'entreprise en vue d'une attaque par ransomware à plus grande échelle.

Quels sont les différents types de liens de phishing ?

Les pirates ont recours à diverses méthodes pour dissimuler les URL malveillantes, afin de déjouer à la fois l'intuition humaine et les filtres de sécurité de base.

Liens vers des domaines similaires

Ces erreurs reposent sur de légères fautes d'orthographe que l'œil humain a souvent tendance à ne pas remarquer lors d'un rapide coup d'œil.

• Exemple: amazon-secure.net ou wellsfarg0.com au lieu des domaines officiels. Ces noms de domaine rendent difficile, à première vue, de distinguer le site légitime de la contrefaçon.

Liens vers des homographes

Il s'agit d'une technique plus sophistiquée dans laquelle les pirates utilisent des caractères Unicode issus de différents alphabets qui ressemblent à s'y méprendre à des lettres latines.

• Exemple: un « а » cyrillique peut remplacer un « a » latin. Pour un navigateur, apple.com (avec un « a » cyrillique) est une destination totalement différente du véritable apple.com, alors que les deux sites semblent identiques pour l'utilisateur.

URL raccourcies

Des services comme Bitly ou TinyURL sont utiles pour les réseaux sociaux, mais constituent une aubaine pour les hameçonneurs, car ils masquent la véritable destination derrière une suite de caractères aléatoires.

• Exemple: un lien tel que bit.ly/3xK7zY9 peut renvoyer vers un document légitime ou vers un site visant à récupérer des identifiants ; l'utilisateur n'a aucun moyen de le savoir tant que la page ne s'est pas chargée.

Liens de redirection

Les pirates exploitent souvent les « redirections ouvertes » sur des sites web légitimes et hautement fiables. Ils identifient un domaine de confiance qui permet à un paramètre d'URL de rediriger les utilisateurs vers un autre site.

• Exemple: https://trusted-site.com/redirect?url=malicious-site.com. Comme le lien commence par le nom d'une marque en laquelle vous avez confiance, les filtres de sécurité le laissent passer plus facilement et les utilisateurs sont plus enclins à l'accepter.

Liens vers des codes QR (« quishing »)

De plus en plus souvent, des URL malveillantes sont intégrées dans des codes QR afin de contourner les contrôles visuels classiques. Comme l'œil humain ne peut pas « lire » le code, le lien reste invisible tant qu'il n'a pas été scanné.

• Exemple: un autocollant frauduleux apposé sur un véritable code QR figurant sur un parcmètre, qui redirige vers le site pay-parking-portal.xyz au lieu de l'application de paiement officielle de la ville.

Liens vers des pièces jointes HTML et SVG

De plus en plus répandues en 2025 et 2026, ces attaques consistent désormais à envoyer des « images » ou des « documents » qui sont en réalité des mini-pages web. Une fois ouverts, ces fichiers s’exécutent localement dans votre navigateur afin de contourner les filtres de sécurité des e-mails.

• Exemple: une pièce jointe nommée Invoice_99.svg. Une fois ouverte, elle affiche une fausse fenêtre de connexion à Microsoft 365 qui ressemble à une invite du système, mais qui est en réalité un script conçu pour voler votre mot de passe.

Liens d'invitation au calendrier

Ce vecteur d'attaque exploite la fonctionnalité « acceptation automatique » présente dans de nombreuses applications de calendrier. Les pirates envoient une invitation à une réunion qui s'affiche automatiquement dans votre agenda, souvent accompagnée d'une notification.

• Exemple: un événement de calendrier intitulé « Urgent : révision des salaires RH » contenant un lien tel que company-hr-portal.web.app. Comme la notification provient de votre propre application de calendrier, elle inspire un sentiment injustifié de légitimité et d'urgence.

Conseil: passez toujours la souris sur un lien (sur ordinateur) ou appuyez longuement dessus (sur mobile) pour prévisualiser l'URL de destination avant de cliquer. Si le lien vous a été envoyé via une invitation de calendrier inattendue ou une pièce jointe HTML, faites preuve d'une extrême prudence.

Que se passe-t-il lorsque vous cliquez sur un lien de hameçonnage ?

Les conséquences d'un clic peuvent être immédiates ou différées, et elles ne sont pas toujours visibles.

1. La redirection « fantôme » : pour ne pas éveiller les soupçons, de nombreux sites de phishing vous redirigent vers le site web légitime après que vous avez saisi votre mot de passe. Vous pourriez penser que la connexion a simplement « planté », alors que le pirate dispose déjà de vos identifiants.
2. Vol d'identifiants : la plupart des liens mènent à une fausse page de connexion. Si vous saisissez vos identifiants, le pirate informatique aura immédiatement accès à votre compte.
3. Installation silencieuse de logiciels malveillants : un simple clic peut déclencher un script qui installe un logiciel espion ou un rançongiciel. Cela se produit souvent « en arrière-plan », c'est-à-dire sans qu'aucune fenêtre contextuelle ni aucune fenêtre ne s'affiche pour vous alerter.
4. Confirmation de la validité de l'adresse : même si vous ne saisissez aucune donnée, le simple fait de cliquer indique au pirate que votre adresse e-mail est active et que vous êtes susceptible de cliquer sur des liens.

Toutes les conséquences ne sont pas visibles. Certaines charges utiles s'activent plusieurs jours plus tard, ou ne se révèlent qu'au moment où les identifiants volés sont utilisés pour prendre le contrôle d'un compte ou commettre une fraude.

Comment repérer un lien de hameçonnage (avant de cliquer)

La prévention est la meilleure défense. Utilisez cette liste de contrôle pour vérifier tout lien que vous recevez :

• Passez la souris dessus avant de cliquer: sur un ordinateur, passez la souris sur un lien (sans cliquer !) pour voir l'URL de destination réelle dans le coin inférieur de votre navigateur. Sur mobile, appuyez longuement sur le lien pour voir l'aperçu.
• Analysez le nom de domaine: Recherchez les domaines de premier niveau inhabituels. Si nous faisons confiance aux extensions .com, .org ou .gov, méfiez-vous des extensions .xyz, .top, .cc ou .work dans les messages non sollicités.
• Vérifiez s'il y a des sous-domaines qui ne correspondent pas: un lien tel que apple.com.security-check.xyz n'est pas un site Apple. Le véritable domaine est toujours la partie située immédiatement à gauche du nom de domaine de premier niveau (dans ce cas, security-check.xyz).
• Examinez attentivement le contexte: le lien correspond-il à l'expéditeur ? Si « Netflix » vous envoie un lien vers un domaine tel que billing-update-now.com, il s'agit d'une arnaque.
• Utilisez un vérificateur de liens: en cas de doute, faites un clic droit sur le lien, sélectionnez « Copier l'adresse du lien », puis collez-la dans l'outil gratuit de vérification d'URL de phishing de PowerDMARC pour analyser instantanément tout lien suspect. Cet outil compare l'URL à des listes noires mondiales de sites malveillants connus.

Que faire si vous avez cliqué sur un lien de hameçonnage

Si vous avez déjà cliqué, pas de panique. En réagissant rapidement et calmement, vous pouvez éviter qu'un simple « clic » ne se transforme en « compromission ».

1. Fermez immédiatement l'onglet : si vous vous retrouvez sur une page, ne cliquez sur rien d'autre. Ne cliquez pas sur « Se désabonner » ni sur « Annuler ». Fermez simplement la fenêtre.
2. Déconnectez-vous d'Internet : si vous pensez qu'un fichier a commencé à se télécharger, désactivez votre Wi-Fi ou débranchez votre câble Ethernet. Cela empêche le logiciel malveillant de communiquer avec le serveur de commande et de contrôle (C2) de l'attaquant ou de transmettre vos données.
3. Modifiez les mots de passe concernés : si vous avez saisi vos identifiants, rendez-vous sur le site officiel (en saisissant l'adresse manuellement) et modifiez immédiatement votre mot de passe. Si vous utilisez ce mot de passe sur d'autres sites, modifiez-le également sur ces sites.
4. Lancez une analyse complète : utilisez un logiciel antivirus ou anti-malware fiable pour analyser votre appareil à la recherche de charges utiles cachées.
5. Prévenez votre service informatique : si vous utilisez un appareil professionnel, informez-en votre équipe informatique. Elle préfère de loin vous aider à sécuriser un seul ordinateur portable plutôt que de devoir gérer une attaque de ransomware à l'échelle de l'entreprise.
6. Signaler l'incident : consultez la rubrique « J'ai cliqué sur un lien de phishing » pour connaître les mesures correctives spécifiques à votre situation.

À quoi ressemble réellement un lien de phishing ?

Comment se prémunir contre les liens de phishing : mesures techniques de protection

Pour protéger efficacement une entreprise ou un réseau personnel contre les liens de hameçonnage, il faut mettre en place des mesures techniques automatisées qui bloquent les URL malveillantes avant même qu'on puisse cliquer dessus.

1. Filtres anti-spam et anti-hameçonnage

Avant même qu'un e-mail n'atteigne votre boîte de réception, des filtres anti-spam et anti-hameçonnage évaluent le message. Ces filtres analysent la réputation de l'expéditeur, la structure de l'e-mail et son contenu à l'aide de l'apprentissage automatique. Ils recherchent des indicateurs d'hameçonnage connus, tels qu'un langage suscitant un faux sentiment d'urgence, des en-têtes « De » incohérents et des liens renvoyant vers des sites malveillants connus, et redirigent automatiquement les e-mails suspects vers le dossier spam ou quarantine.

2. Passerelles de messagerie sécurisées (SEG)

Une passerelle de messagerie sécurisée (SEG) fait office de poste de contrôle numérique pour l'ensemble du trafic de messagerie entrant et sortant. Les SEG analysent les e-mails à la recherche de menaces sophistiquées que les filtres standard pourraient ne pas détecter. Elles décompressent les fichiers compressés, analysent les pièces jointes telles que les fichiers HTML ou SVG dangereux dans un bac à sable sécurisé, et suppriment les contenus malveillants avant qu'ils n'atteignent l'utilisateur final.

3. Réécriture d'URL et analyse au moment du clic

Les pirates ont souvent recours à une astuce consistant à envoyer un lien tout à fait inoffensif pour contourner les filtres de messagerie initiaux, puis à rediriger ce lien vers une page malveillante une fois l'e-mail remis à son destinataire. Pour contrer cette technique, les systèmes de sécurité avancés ont recours à la réécriture d'URL. L'outil de sécurité modifie tous les liens entrants afin qu'ils transitent par un serveur proxy sécurisé. Lorsqu'un utilisateur clique sur le lien, le système effectue une analyse au moment du clic. Il analyse l'URL de destination en temps réel, au moment même où l'utilisateur clique. Si le site est devenu malveillant depuis l'arrivée de l'e-mail, l'accès de l'utilisateur est bloqué et une page d'avertissement s'affiche.

4. Filtrage DNS

Si un utilisateur venait à cliquer sur un lien de hameçonnage via un canal non vérifié, le filtrage DNS agit comme un filet de sécurité essentiel. Chaque fois qu'un appareil tente de charger un site web, il doit interroger un serveur DNS (Domain Name System) pour trouver l'adresse IP du site. Un filtre DNS compare ces requêtes à une base de données en temps réel répertoriant les domaines malveillants. Si un utilisateur clique sur un lien menant à un site de hameçonnage connu, le filtre DNS bloque la résolution, empêchant ainsi le chargement complet de la page web.

Résumé

Les liens de phishing restent l'un des principaux vecteurs de violation de données, mais ce risque est largement maîtrisable. Avec une bonne sensibilisation, une attitude prudente et quelques habitudes de sécurité rigoureuses, vous pouvez réduire considérablement votre exposition au risque. Rester vigilant, vérifier avant de cliquer et respecter les règles élémentaires de sécurité en matière d'e-mails contribuent grandement à vous protéger, vous, mais aussi toutes les personnes avec lesquelles vous communiquez.

Foire aux questions

Comment savoir si un lien est un lien de hameçonnage ?

Le moyen le plus efficace consiste à passer la souris sur le lien pour prévisualiser la page de destination. Vérifiez s'il y a des fautes d'orthographe, des extensions de domaine inhabituelles (comme .cc ou .xyz) ou une incohérence entre l'expéditeur supposé et l'URL. En cas de doute, utilisez un outil de vérification des liens de phishing.

Les liens de hameçonnage sont-ils uniquement envoyés par e-mail ?

Non. Les liens de hameçonnage sont souvent envoyés par SMS (smishing), par messages privés sur les réseaux sociaux, voire via des publicités sur les moteurs de recherche ou des codes QR (quishing).

Les liens HTTPS peuvent-ils être des liens de hameçonnage ?

Oui. Les pirates informatiques d'aujourd'hui utilisent le protocole HTTPS pour donner une fausse impression de sécurité. Le protocole HTTPS garantit uniquement que les données échangées entre vous et le site sont cryptées ; il ne vérifie pas que le propriétaire du site est bien légitime.

En quoi le protocole DMARC aide-t-il à lutter contre les liens de hameçonnage ?

Les liens de phishing sont généralement diffusés via des domaines usurpés. Le protocole DMARC empêche ces e-mails frauduleux d'atteindre la boîte de réception en vérifiant l'identité de l'expéditeur, ce qui neutralise efficacement le système de diffusion du lien.

• À propos de
• Derniers messages

Milena Baghdasaryan

Spécialiste du contenu à PowerDMARC

Milena est une rédactrice et créatrice de contenu qualifiée qui possède plus de 7 ans d'expérience dans la création de contenu attrayant sur les technologies de l'information, la cybersécurité, les événements virtuels, etc. Elle est diplômée d'institutions prestigieuses telles que la New York University Abu Dhabi, l'UWC China et le Collège d'Europe.

Derniers messages de Milena Baghdasaryan (voir tous)

• Qu'est-ce qu'un lien de hameçonnage ? - 19 mai 2026
• Qu'est-ce qu'une attaque hacktiviste et comment fonctionne-t-elle ? - 12 mai 2026
• Fin du support du protocole NTLM : ce que la suppression progressive par Microsoft implique pour les MSP et les équipes informatiques - 8 mai 2026