Comment identifier et prévenir les e-mails d'hameçonnage sur Gmail

Permettez-moi de vous raconter d'abord un scénario réel.

Vous recevez un e-mail de « l'équipe de sécurité Google » vous informant que votre compte a été signalé pour activité de connexion suspecte et qu'une vérification d'identité immédiate est requise, faute de quoi votre compte sera bloqué sous 24 heures. L'e-mail est impeccablement présenté, avec un logo bien visible et une mention de droit d'auteur en bas de page. Un peu paniqué, vous cliquez sur le bouton « Vérifier maintenant », ce qui vous redirige vers une page web identique à la page de connexion Google. Vous saisissez votre adresse e-mail et votre mot de passe…

Votre compte Google ne vous appartiendra alors plus.

C’est exactement le principe des e-mails d’hameçonnage. Nul besoin de pirater votre mot de passe ni de posséder des compétences de piratage sophistiquées ; il suffit que vous cliquiez sur un lien et, pris de panique, que vous saisissiez votre mot de passe.

Pourquoi les courriels d'hameçonnage sont-ils de plus en plus difficiles à identifier ?

Il y a cinq ou six ans, les courriels d'hameçonnage étaient assez faciles à repérer : ils regorgeaient de fautes de grammaire, de mauvaises traductions et de logos manifestement faux. Mais la situation a changé.

Les courriels d'hameçonnage sont désormais extrêmement peu coûteux à créer, et les outils utilisés sont très sophistiqués. Les attaquants peuvent :

• Reproduit à la perfection les modèles d'e-mails de Google, des banques et des entreprises de messagerie, avec une fidélité au pixel près.
• Nom d'expéditeur falsifié, et même, dans certains cas, adresse d'expéditeur falsifiée.
• Les faux domaines qui ressemblent beaucoup à de vrais domaines (comme g00gle.com , google-security.com ).
• Utilisation d'outils d'IA pour générer du contenu localisé grammaticalement correct
• Utilisation ciblée de votre vrai nom et de certaines informations personnelles pour accroître la crédibilité

Pour être clair, les courriels d'hameçonnage ne sont plus « manifestement faux » de nos jours. Beaucoup de gens ne font tout simplement pas la différence à moins de les vérifier spécifiquement.

Les techniques de pêche les plus courantes

1. Usurpation des notifications de sécurité Google

Il s'agit de la tactique classique. Le courriel vous informe qu'une « connexion anormale a été détectée », que votre mot de passe a expiré ou que votre compte sera bientôt suspendu, puis inclut un lien vous permettant de « vérifier votre identité » ou de « mettre à jour votre mot de passe ».

Les notifications de sécurité Google authentiques sont bien envoyées par e-mail, ce qui explique pourquoi beaucoup de personnes les confondent avec les fausses. Nous verrons plus loin comment les différencier.

2. Faites semblant d'être un collègue ou un supérieur hiérarchique.

C'est particulièrement fréquent en entreprise. Vous recevez un courriel qui semble provenir de votre supérieur, disant : « Je suis en réunion et ne peux pas appeler, pourriez-vous m'acheter des cartes-cadeaux et m'envoyer les numéros ? » Ou encore : « Pourriez-vous mettre à jour les données de ce fichier et me l'envoyer ? » — le fichier est en réalité une pièce jointe malveillante.

Ce type d'attaque est appelé « hameçonnage par courriel professionnel » (BEC), et les pertes financières sont généralement beaucoup plus importantes que celles liées à l'hameçonnage classique.

3. Notification de gain/remboursement de taxe/remboursement

« Félicitations, vous avez gagné un iPhone 16 ! », « Vous avez un remboursement d'impôt de 320 $ en attente », « Le remboursement de votre commande Amazon a été crédité sur votre compte, veuillez confirmer » — tout avantage offert sans préavis est en réalité un appât.

4. Alertes d'urgence

« Votre compte sera définitivement supprimé dans 2 heures », « Votre compte a été détecté en train d'envoyer du spam à d'autres personnes », « Votre espace de stockage Google Drive a été restreint en raison de contenu inapproprié » — ces messages utilisent la peur pour vous forcer à agir immédiatement, sans vous laisser le temps de réfléchir.

5. Hameçonnage par partage de documents

C'est plus subtil. Vous recevez un courriel vous informant que « Untel a partagé un document avec vous », dans un format presque identique à celui d'une véritable notification de partage Google Docs. En cliquant dessus, vous êtes invité à vous connecter pour consulter le document ; la page de connexion, bien sûr, est fausse.

Comment déterminer si un courriel est un courriel d'hameçonnage ?

Aucune expertise particulière n'est requise ; il suffit de développer les habitudes d'inspection suivantes.

Regardez l'adresse de l'expéditeur, pas le nom affiché.

Il s'agit de l'étape la plus élémentaire, mais aussi la plus cruciale. Le nom de l'expéditeur affiché dans l'e-mail peut être modifié à volonté ; n'importe qui peut le définir sur « Équipe de sécurité Google ». En revanche, l'adresse e-mail réelle de l'expéditeur est essentielle.

Dans Gmail, cliquez sur la petite flèche à côté du nom de l'expéditeur pour afficher les détails et voir l'adresse e-mail réelle. Google utilise officiellement uniquement des domaines comme @google.com ou @accounts.google.com . Si l'adresse ressemble à security-alert@google-verify.com ou noreply@g00gle-support.net , il s'agit d'une arnaque.

Passez votre souris sur le lien pour voir l'URL réelle.

Le texte du lien dans l'e-mail peut être complètement différent de l'URL réelle vers laquelle il pointe. Un bouton intitulé « Se connecter à Google » peut en réalité pointer vers http://accounts-google.security-check.xyz/login .

Sur un ordinateur, survolez le lien avec votre souris sans cliquer ; l’URL s’affichera alors en bas à gauche de votre navigateur ou dans une infobulle. Sur un téléphone mobile, appuyez longuement sur le lien pour prévisualiser l’adresse.

L'adresse officielle de la page de connexion Google commence toujours par https://accounts.google.com/ . Ne vous fiez à aucune autre variante.

Faites attention au sentiment d'urgence dans votre ton.

Les courriels d'hameçonnage adorent créer un sentiment d'urgence en utilisant des expressions comme « immédiatement », « tout de suite », « dans les 24 heures » et « sinon il sera définitivement supprimé », car les gens sont plus susceptibles de faire des erreurs lorsqu'ils sont nerveux.

Même si une notification d'une entreprise réputée a une durée limitée, son contenu sera plus modéré et non menaçant. De plus, en cas de problème de sécurité majeur concernant votre compte, Google vous avertira par plusieurs canaux (notifications push, e-mails de confirmation, SMS), et non par un seul e-mail.

N’ouvrez pas les pièces jointes non vérifiées.

Évitez tout particulièrement d'ouvrir les fichiers avec les extensions .exe , .scr , .zip ou .js . Même les fichiers .pdf ou .docx ne doivent pas être ouverts si leur source est inconnue. Des documents malveillants peuvent exploiter des failles de sécurité logicielles pour exécuter du code malveillant dès leur ouverture.

Si vous avez vraiment besoin de consulter les pièces jointes, vous pouvez les ouvrir en utilisant la fonction d'aperçu en ligne de Google Drive, au lieu de les télécharger sur votre disque local.

Vérifiez en utilisant les informations fournies par Gmail.

Gmail possède plusieurs fonctionnalités intégrées qui peuvent vous aider à le déterminer :

• Alerte d'expéditeur externe — Si vous utilisez Google Workspace (Enterprise), une barre d'alerte jaune s'affichera lorsque vous recevrez des e-mails provenant de l'extérieur de votre organisation.
• Un point d'interrogation (« ? » ) apparaîtra dans la zone de la photo de profil si l'expéditeur n'est pas vérifié.
• Bannière d'avertissement rouge — Gmail affiche un avertissement rouge en haut lorsqu'il détecte des courriels suspects, vous indiquant « Ce courriel semble suspect ».

Soyez très attentifs à ces conseils.

Si vous avez déjà cliqué sur le lien d'hameçonnage

Pas de panique, mais agissez vite. Suivez ces étapes :

J'ai simplement cliqué sur le lien mais je n'ai saisi aucune information.

Ce n'est pas grave. Fermez la page et videz le cache et les cookies de votre navigateur. Si vous craignez la présence de scripts malveillants sur la page, effectuez une analyse complète de votre système avec votre logiciel antivirus.

Mot de passe saisi

1. Changez immédiatement votre mot de passe : connectez-vous à myaccount.google.com depuis un autre appareil dont vous êtes sûr de la sécurité et modifiez votre mot de passe.
2. Vérifiez votre activité de connexion récente : dans les paramètres de sécurité, consultez « Votre appareil » et « Activité de sécurité récente », puis déconnectez-vous de tout appareil inconnu.
3. Vérifiez les options de récupération — assurez-vous que votre adresse e-mail et votre numéro de téléphone de secours n’ont pas été modifiés.
4. Vérifiez vos paramètres de transfert d'e-mails : les auteurs de tentatives d'hameçonnage peuvent configurer un transfert automatique vers leur propre boîte de réception. Accédez aux paramètres Gmail → Transfert et POP/IMAP et recherchez toute adresse de transfert suspecte.
5. Activez la vérification en deux étapes ; si vous ne l’avez pas encore fait, faites-le maintenant. Il est recommandé de définir un code d’accès ou une clé de sécurité.
6. Vérifiez les autorisations des applications tierces : rendez-vous sur myaccount.google.com/permissions pour voir si des applications inconnues ont obtenu l’accès à votre compte.

Informations de carte bancaire ou de paiement saisies

En plus des étapes ci-dessus, vous devez contacter immédiatement la banque pour bloquer les cartes concernées et surveiller les relevés de transactions récentes.

Défense proactive : rendre les courriels d’hameçonnage plus difficiles à intercepter.

Au lieu de se fier à une inspection visuelle pour déterminer l'authenticité à chaque fois, il est préférable de prendre des mesures préventives afin que même si un courriel d'hameçonnage vous amène à lui communiquer votre mot de passe, il ne puisse pas se connecter à votre compte.

Activer la vérification en deux étapes

Il s'agit de la mesure de sécurité la plus rentable. Une fois activée, même si votre mot de passe est volé, les pirates ne pourront pas se connecter sans votre téléphone.

Rendez-vous sur myaccount.google.com → Sécurité → Validation en deux étapes et suivez les instructions pour la configurer. L'utilisation de Google Authenticator ou de Passkey est recommandée ; les codes de vérification par SMS sont déconseillés (les SMS peuvent être interceptés par les cartes SIM).

Définir le code d'accès

Il va plus loin que la double authentification. Les mots de passe sont intrinsèquement protégés contre le phishing car ils vérifient automatiquement le domaine du site web, empêchant ainsi les faux sites de déclencher le processus de vérification. Pour des instructions de configuration détaillées, veuillez consulter notre article précédent : « Qu'est-ce que Google Passkey ? Une nouvelle façon de dire adieu aux mots de passe traditionnels. »

Laissez les fonctions de sécurité de Gmail activées.

Gmail possède de nombreuses fonctionnalités de sécurité activées par défaut ; ne les désactivez pas inutilement.

• Filtrage des spams
• Détection des courriels d'hameçonnage
• Analyse des pièces jointes suspectes
• Protection contre la navigation sécurisée (le système vérifie la sécurité du site web cible lorsqu'un lien est cliqué).

Ces fonctionnalités permettent de bloquer plus de 99 % des courriels d'hameçonnage. Toutefois, un petit nombre d'entre eux parviennent encore à passer entre les mailles du filet et à atteindre la boîte de réception ; une vérification manuelle reste donc essentielle.

Vérifiez régulièrement l'état de sécurité de votre compte.

Google propose un outil de « vérification de sécurité » à l' myaccount.google.com/security-checkup . Il vous permettra de vérifier :

• Existe-t-il des appareils de connexion récents suspects ?
• Les autorisations des applications tierces sont-elles normales ?
• La vérification en deux étapes a été activée.
• Les informations de récupération sont-elles complètes ?

Je suggère de prendre deux minutes pour y jeter un œil chaque mois.

Soyez prudent avec les réseaux Wi-Fi publics.

Se connecter à sa messagerie électronique via un réseau Wi-Fi public dans les cafés, les aéroports ou les hôtels est beaucoup plus risqué qu'à la maison. Si vous devez utiliser un réseau public, il est recommandé d'utiliser un VPN.

Points supplémentaires à noter pour les utilisateurs en entreprise

Si vous utilisez Google Workspace (Gmail pour les entreprises), les administrateurs peuvent également effectuer les actions suivantes pour protéger l'ensemble de l'organisation :

• Activation de la vérification en deux étapes — Configurez cette option dans la console de gestion ; tous les employés doivent l’activer.
• Déployez une politique DMARC — Empêchez les tiers d'usurper l'identité de votre domaine et d'envoyer des courriels d'hameçonnage à vos clients ou employés.
• Pour activer la protection anti-phishing avancée , accédez à la console d'administration Workspace → Sécurité → Gmail → Sécurité. Vous y trouverez plusieurs options de protection avancées.
• Formez régulièrement vos employés aux courriels d'hameçonnage ; la sensibilisation à la sécurité est plus importante que n'importe quel moyen technique.

Comment signaler les courriels d'hameçonnage

Ne vous contentez pas de le supprimer ; prenez deux secondes pour le signaler afin d’aider Google à améliorer son algorithme de filtrage et à protéger les autres utilisateurs.

1. Ouvrez ce courriel
2. Cliquez sur le menu à trois points situé dans le coin supérieur droit.
3. Sélectionnez « Signaler comme courriel d'hameçonnage »

C'est aussi simple que cela. Google met à jour sa base de données de signatures d'e-mails d'hameçonnage en fonction des données signalées, ce qui facilite le blocage automatique des e-mails similaires à l'avenir.

Rappelez-vous un principe général

Enfin, voici le principe le plus pratique pour évaluer les courriels : lorsque vous recevez un courriel qui vous laisse perplexe, souvenez-vous de ceci :

Les organisations légitimes ne vous demanderont jamais de saisir votre mot de passe via un lien dans un courriel.

Aussi authentique ou urgent qu'un courriel puisse paraître, s'il vous demande de cliquer sur un lien pour vous connecter ou saisir des informations sensibles, n'y donnez pas suite. La bonne méthode consiste à ouvrir votre navigateur, à saisir manuellement l'adresse du site web officiel, à vous connecter et à vérifier vous-même vos courriels. Une fois cette habitude prise, le risque d'hameçonnage sera quasiment nul.