Les outils IA rédigent désormais des e-mails de phishing grammaticalement impeccables et au ton professionnel, ce qui rend obsolète le vieux conseil de chercher les fautes d'orthographe. Mais les arnaqueurs laissent encore des traces détectables — dans l'adresse de l'expéditeur, les destinations des liens, le langage d'urgence et ce qu'ils vous demandent de faire. Vérifier ces six signaux prend moins d'une minute et arrête la plupart des attaques.
Pendant des années, le conseil était simple : si un e-mail contient des fautes et des formulations maladroites, c'est probablement une arnaque. Ce conseil est maintenant dépassé. Les outils de rédaction IA produisent en quelques secondes un texte soigné et au son naturel, et les e-mails de phishing d'aujourd'hui sont souvent indiscernables en ton et en grammaire des vraies communications d'entreprise.
La bonne nouvelle : les arnaqueurs doivent encore contourner des réalités techniques et psychologiques qui laissent des schémas détectables. Ces six signaux ne nécessitent aucun logiciel spécial — juste un moment d'attention.
Vérifier l'adresse d'envoi réelle, pas le nom affiché
Chaque client de messagerie affiche un nom « de » que n'importe qui peut définir comme il veut. « Équipe de sécurité PayPal » peut s'afficher depuis n'importe qui envoyant depuis arnaqueur123@domainealeatoire.xyz.
Cliquez ou appuyez sur le nom de l'expéditeur pour développer et voir l'adresse e-mail complète. Regardez le domaine — la partie après le symbole @. Si un e-mail prétendant venir de votre banque provient d'un domaine qui n'est pas l'adresse réelle de votre banque, c'est un faux. Attention aux substitutions subtiles comme « paypa1.com » (le chiffre 1 à la place de la lettre l) ou des mots ajoutés comme « paypal-support.com ».
Survoler chaque lien avant de cliquer
Sur un ordinateur, placez le curseur de votre souris sur n'importe quel lien dans l'e-mail sans cliquer. L'URL de destination réelle apparaît dans le coin inférieur gauche de votre navigateur ou client de messagerie. Sur un téléphone, appuyez et maintenez un lien pour voir l'URL de destination avant de l'ouvrir.
Comparez cette URL à l'adresse réelle du site de l'entreprise. Si elles ne correspondent pas, ne cliquez pas. Même si le texte du lien indique « amazon.com », la destination réelle peut être n'importe où.
Repérer le langage d'urgence et de peur
L'IA rend les e-mails frauduleux grammaticalement parfaits, mais elle ne peut pas supprimer le mécanisme fondamental qui fait fonctionner le phishing : la panique. Les arnaqueurs ont besoin que vous agissiez avant de réfléchir.
Attention aux formules comme « votre compte sera fermé dans 24 heures », « action immédiate requise », « accès non autorisé détecté » ou « vérifiez maintenant pour éviter la suspension ». Les vraies entreprises envoient aussi ce genre d'avertissements — mais elles vous donnent des jours pour répondre, pas des heures, et elles ne menacent pas d'une perte permanente dès la première phrase. Quand un e-mail cherche à vous faire sentir pressé, c'est exactement le moment où vous devez ralentir.
Remarquer quelles informations on vous demande vraiment
Les vraies entreprises ne vous demandent presque jamais de confirmer votre mot de passe complet, votre numéro de sécurité sociale ou les détails de votre carte de paiement en cliquant sur un lien dans un e-mail. Elles ont déjà votre compte dans leurs fichiers. Quand un e-mail vous demande de « confirmer vos informations » en les saisissant à nouveau quelque part, c'est le mécanisme central de l'arnaque — collecter vos identifiants.
Méfiez-vous également des demandes qui semblent légèrement déplacées pour l'entreprise : une notification d'expédition vous demandant de payer des frais de douane, un service de streaming vous demandant de mettre à jour votre facturation en cliquant sur un lien, ou un service informatique vous demandant vos identifiants de connexion « pour maintenance ».
Vérifier directement via le canal officiel de l'entreprise
Si un e-mail prétend qu'il y a un problème avec votre compte, n'utilisez aucun lien, numéro de téléphone ou pièce jointe dans cet e-mail. Au lieu de cela :
Ouvrez un nouvel onglet de navigateur et tapez directement l'adresse de l'entreprise — ou utilisez un favori que vous avez créé vous-même. Connectez-vous là-bas et vérifiez si la même alerte apparaît dans votre compte. Appelez le service client en utilisant le numéro figurant sur le site officiel de l'entreprise ou au dos de votre carte, pas un numéro tiré de l'e-mail. Cette seule étape arrête pratiquement toutes les attaques de phishing.
Utiliser les outils de signalement intégrés à votre messagerie
Chaque service de messagerie majeur — Gmail, Outlook, Apple Mail — dispose d'une option « signaler le phishing » ou « marquer comme spam ». Utilisez-la. Ces signalements contribuent à entraîner les filtres qui protègent tout le monde contre la même campagne.
Vous pouvez également transférer les e-mails suspects à reportphishing@apwg.org, une organisation à but non lucratif qui suit les campagnes de phishing dans le monde entier. Si l'e-mail usurpe une entreprise spécifique, l'équipe de sécurité de cette entreprise souhaite être informée — recherchez « nom de l'entreprise signaler phishing » pour trouver leur adresse dédiée.
Que faire ensuite
Les e-mails de phishing sont souvent la première étape d'une attaque plus large. Les arnaques au faux service client explique ce qui se passe après que vous avez cliqué — comment les arnaqueurs imitent le vrai support des marques et collectent vos identifiants — et comment trouver les vraies coordonnées d'une entreprise. Pour un aperçu de l'intégration de la voix générée par IA dans ces attaques, les arnaques au clonage vocal IA explique à quoi ressemble la technologie et comment garder une longueur d'avance.



