Comment reconnaître un mail frauduleux (phishing)

Guide complet 2026 - Sécurité numérique

Les arnaques par e-mail explosent en France. Chaque jour, des milliers de personnes reçoivent des messages qui imitent la CAF, Ameli, les Impôts, La Poste, leur banque ou même leur employeur. Le but est toujours le même : voler vos informations personnelles, bancaires ou vos identifiants.

Dans ce guide complet, vous allez apprendre à reconnaître un mail frauduleux en quelques secondes, même lorsqu'il semble parfaitement officiel.

1. Vérifier l'adresse e-mail de l'expéditeur

C'est l'indice le plus important.

Adresses officielles (exemples)

• @caf.fr
• @ameli.fr
• @dgfip.finances.gouv.fr
• @laposte.fr
• @gendarmerie.interieur.gouv.fr

Adresses suspectes (exemples)

• @gmail.com, @outlook.com, @yahoo.com, @proton.me
• contact-caf-support@secure-info247.com
• ameli-verification@franceconnect-help.net

Si le domaine n'est pas officiel, c'est très probablement une arnaque.

2. Repérer les fautes d'orthographe et de grammaire

Les fraudeurs utilisent souvent des traductions automatiques ou écrivent dans un français approximatif. Quelques exemples typiques :

• « Votre compte sera suspendu si vous ne confirmé pas. »
• « Cliquer ici pour validé votre identité. »

Une administration française ne laisse pas passer ce type d'erreurs grossières.

3. Analyser le ton du message

Un mail frauduleux joue presque toujours sur :

• la peur ;
• l'urgence ;
• la menace ou la pression.

Exemples de formulations :

• « Votre compte sera supprimé dans 24h. »
• « Dernier avertissement avant pénalité. »
• « Votre remboursement est bloqué, agissez immédiatement. »

Une administration ne menace pas par e-mail et ne vous met pas la pression en quelques heures.

4. Vérifier les liens avant de cliquer

Avant de cliquer, passez votre souris (sur ordinateur) ou maintenez votre doigt (sur mobile) sur le lien pour voir l'adresse réelle.

Liens officiels (exemples)

• https://www.ameli.fr
• https://www.impots.gouv.fr
• https://www.caf.fr

Liens frauduleux (exemples)

• https://ameli-france-verification.com
• https://impots-gouv-france-secure.net
• https://laposte-colis-urgent.info

Si le lien n'est pas exactement le domaine officiel, ne cliquez pas.

5. Se méfier des pièces jointes

Les fraudeurs envoient souvent des pièces jointes infectées pour installer un virus ou voler vos données.

• Fichiers PDF suspects
• Fichiers ZIP ou RAR
• Fichiers Word ou Excel demandant « d'activer le contenu » ou les macros

Une administration ne vous envoie jamais une pièce jointe sensible sans contexte clair.

6. Repérer les demandes impossibles ou illégales

Un mail frauduleux demande souvent des informations que personne ne doit vous demander par e-mail :

• votre mot de passe ;
• votre code de carte bancaire ou CVV ;
• votre RIB complet ;
• votre code FranceConnect ;
• la copie recto-verso de votre pièce d'identité.

Aucune administration sérieuse ne demande ces informations par simple e-mail.

7. Vérifier dans votre espace officiel

En cas de doute, ne cliquez jamais sur le lien du mail. Faites plutôt ceci :

• Ouvrez votre navigateur.
• Tapez vous-même l'adresse officielle (ameli.fr, impots.gouv.fr, caf.fr, etc.).
• Connectez-vous à votre espace personnel.

Si aucune notification n'apparaît dans votre espace, le mail que vous avez reçu est très probablement frauduleux.

8. Exemples d'arnaques très courantes en 2026

• « Votre colis La Poste est bloqué, payez les frais de douane. »
• « Votre carte Vitale doit être renouvelée, cliquez ici. »
• « Un remboursement CAF est disponible, confirmez vos coordonnées bancaires. »
• « Mise à jour urgente de votre compte bancaire. »
• « Facture EDF impayée, régularisez immédiatement. »

Ces messages imitent parfaitement les logos et les couleurs des vrais sites, mais les liens mènent vers des pages frauduleuses.

9. Que faire si vous avez cliqué ?

1. Changez immédiatement le mot de passe du compte concerné.
2. Activez la double authentification si possible.
3. Si vous avez donné vos coordonnées bancaires, contactez votre banque sans attendre.
4. Surveillez vos comptes (banque, e-mails, comptes administratifs) pendant au moins 48 heures.
5. Signalez le mail sur le portail officiel : signalement.gouv.fr.

Conclusion

Reconnaître un mail frauduleux devient beaucoup plus simple lorsque l'on connaît les bons réflexes : vérifier l'expéditeur, analyser le ton, contrôler les liens, se méfier des pièces jointes et ne jamais communiquer d'informations sensibles par e-mail.

En appliquant ces conseils, vous éviterez la grande majorité des tentatives de phishing et protégerez vos données ainsi que vos démarches en ligne.