Reconnaître le phishing, le smishing et le vishing
Identifiez les formes les plus fréquentes de fraude numérique et sachez comment y répondre — avant qu'il ne soit trop tard.
À la fin de ce module, vous saurez…
- Reconnaître les 5 indices visuels d'un email frauduleux
- Distinguer phishing, smishing et vishing
- Identifier une tentative de BEC (fraude au président)
- Appliquer la méthode de vérification avant de cliquer, répondre ou payer
Comprendre le phishing
Marie reçoit un email de « sa banque » lui demandant de confirmer ses informations de connexion suite à une « activité suspecte ». L'email semble professionnel. Elle clique. Deux heures plus tard, son compte est vidé.
Le phishing (ou hameçonnage) est une technique de fraude où un attaquant se fait passer pour une entité de confiance — banque, gouvernement, service en ligne — pour vous soutirer des informations personnelles, des identifiants ou de l'argent.
Contrairement aux virus qui exploitent des failles techniques, le phishing exploite la psychologie humaine : la confiance, l'urgence, la peur. C'est pourquoi il est si efficace — et si difficile à détecter au premier coup d'œil.
En 2024, le phishing représente plus de 80% des cyberattaques signalées au Canada. Un simple clic suffit à compromettre un compte ou à installer un malware.
Repérer un email frauduleux — les 5 indices
Tout email de phishing contient au moins un de ces 5 indices. Apprenez à les repérer systématiquement.
✓ Les 5 indices à vérifier
- L'adresse expéditeur : survolez l'adresse (pas juste le nom affiché). rbc-securite@support-net.com ≠ rbc.com
- L'URL du lien : survolez sans cliquer. Le vrai domaine est ce qui précède le premier "/" après le "https://"
- L'urgence artificielle : "Votre compte sera fermé dans 24h" — les vraies institutions ne menacent pas ainsi
- La demande inhabituelle : aucune banque légitime ne demande votre NIP ou mot de passe par email
- Les erreurs et incohérences : logo flou, fautes d'orthographe, mise en page bizarre
Spear phishing — les attaques ciblées
Jean-François, directeur financier d'une PME, reçoit un email de son PDG (dont il connaît le prénom et le style d'écriture) lui demandant un virement discret de 15 000 $ pour une acquisition confidentielle. L'email vient de pdg-martin.gauthier@gmail.com — pas du vrai compte.
Le spear phishing est un phishing ciblé : l'attaquant a recherché votre nom, votre rôle, votre entreprise — souvent sur LinkedIn — pour créer un message hyper-personnalisé qui semble provenir de quelqu'un que vous connaissez.
Ces attaques sont beaucoup plus difficiles à détecter que le phishing générique. Le taux de succès est 3 fois plus élevé.
✓ Se protéger du spear phishing
- Vérifiez l'adresse exacte de l'expéditeur — pas juste le nom affiché
- Pour tout virement ou action urgente : confirmez par téléphone au numéro habituel
- Méfiez-vous des demandes "confidentielles" ou "urgentes" même venant d'un supérieur
- Limitez les informations professionnelles que vous publiez sur LinkedIn
Smishing — les arnaques par SMS
SMS reçu : "Canada Post : votre colis n°CA928471 est bloqué en douane. Frais de 2,95$ requis : colis-canada-post.net/payer". Le lien mène à un faux site qui vole les coordonnées bancaires.
Le smishing est du phishing par SMS. Les attaquants exploitent le fait que nous faisons davantage confiance aux SMS qu'aux emails, et que nous les lisons rapidement sur mobile sans vérifier les détails.
✗ Erreurs fréquentes face au smishing
- Cliquer sur le lien "pour vérifier" — vous pourriez installer un malware
- Rappeler le numéro fourni dans le SMS — c'est un numéro contrôlé par l'arnaqueur
- Fournir vos informations de carte pour "régler les frais de douane"
✓ Bons réflexes
- Ne cliquez jamais sur un lien SMS inattendu — allez directement sur le site officiel
- Les vrais services de livraison n'exigent pas de paiement par SMS
- Signalez au 7726 (SPAM) pour bloquer l'expéditeur
Vishing — les arnaques par appel téléphonique
Appel entrant : "Bonjour, je suis le Sergent Tremblay de la GRC. Votre NAS est compromis dans une affaire de blanchiment. Pour protéger votre argent, vous devez l'acheter des cartes-cadeaux Google Play immédiatement…"
Le vishing utilise un appel vocal pour vous manipuler. Les techniques : voix autoritaire, jargon officiel, urgence extrême, menaces de conséquences légales. Les arnaqueurs peuvent même falsifier le numéro qui s'affiche (spoofing) pour qu'il ressemble à un numéro officiel.
✓ Règle absolue
- Les vrais gouvernements et banques NE demandent JAMAIS de cartes-cadeaux
- Raccrochez sans hésiter si on vous presse ou vous menace
- Rappelez vous-même en cherchant le numéro officiel — ne rappelez pas le numéro affiché
Business Email Compromise (BEC) — fraude au président
Sophie, directrice des finances d'une PME, reçoit un email du "PDG" lui demandant un virement de 48 000 $ pour une acquisition confidentielle, à traiter "avant ce soir". L'adresse email est presidentsmirnov@gmail.com — le vrai PDG n'a pas de Gmail.
Le BEC cible spécifiquement les entreprises. Les attaquants se font passer pour un dirigeant (PDG, DG) et demandent un virement urgent et confidentiel. En 2023, le BEC a causé plus de 2,9 milliards $ de pertes aux États-Unis et au Canada.
✓ Procédure anti-BEC
- Toute demande de virement hors-procédure doit être confirmée par appel direct (numéro habituel)
- Mettez en place une règle : 2 signatures pour tout virement au-delà d'un certain montant
- Méfiez-vous de la "confidentialité" — c'est un outil de pression classique
- Formez votre équipe financière : une procédure écrite est la meilleure protection
Faux support technique
Vous visitez un site et une popup s'affiche : "⚠️ ALERTE VIRUS — Votre ordinateur est infecté ! Appelez le 1-800-XXX-XXXX maintenant !" C'est du scareware — du faux support technique.
Les arnaqueurs vous font croire que votre appareil est compromis, puis vous vendent un "nettoyage" ou accèdent à votre ordinateur à distance pour voler vos données.
✓ Réaction face au faux support
- Fermez la fenêtre (ou l'onglet) — ne vous laissez pas impressionner par le bruit ou les alertes clignotantes
- N'appelez JAMAIS un numéro affiché dans une popup de navigateur
- Ne donnez jamais l'accès à distance à votre ordinateur à quelqu'un qui vous a contacté
- Microsoft et Apple ne vous contactent pas spontanément pour un problème technique
Fraudes aux cartes-cadeaux et usurpation
Les cartes-cadeaux (iTunes, Google Play, Steam, Amazon) sont le moyen de paiement préféré des arnaqueurs : elles sont anonymes, non-traçables et irremboursables. Règle absolue : aucun organisme officiel (gouvernement, banque, service public) ne demande jamais un paiement en cartes-cadeaux.
✗ Scénarios d'arnaque courants
- "Vous devez de l'argent à l'ARC — payez en cartes-cadeaux pour éviter l'arrestation"
- "Votre fils est en prison — envoyez des cartes-cadeaux pour sa caution"
- "Vous avez gagné un concours — payez les frais avec des cartes iTunes"
Méthode STOP-VÉRIF avant de cliquer, répondre ou payer
Face à tout message suspect, appliquez cette méthode en 4 étapes avant d'agir.
STOP — Ralentissez
L'urgence est un outil de manipulation. Prenez 30 secondes avant toute action.
VÉRIFIEZ l'expéditeur
Vérifiez l'adresse complète (pas juste le nom affiché). Cherchez les incohérences.
CONFIRMEZ par un autre canal
Appelez la vraie organisation au numéro officiel — jamais celui donné dans le message.
SIGNALEZ si c'est une arnaque
Canada : antifraudcentre.ca / 1-888-495-8501. Signalement protège d'autres victimes.
Simulateur d'email — repérez les indices
Cliquez sur les zones colorées pour révéler les indices de phishing dans cet email simulé.
Cher membre,
Nous avons détecté une activité inhabituelle sur votre compte. Pour protéger votre accès, vous devez confirmer votre identité immédiatement.
Cliquez sur le lien ci-dessous : https://desjardins-verification.com/confirmer-identite
Si vous n'agissez pas dans 24 heures, votre compte sera définitivement suspendu.
Cordialement,
L'équipe de Sécurité Desjardins
Quiz — Module 3
4 questions pour valider vos acquis sur le phishing, smishing et vishing.