Person bedient einen Laptop auf dem Tisch. Daneben liegen ein Stapel Papier und eine Tasse Kaffee.

Hameçonnage

Définition, exemples et mesures de protection

La plupart des gens s’authentifient quotidiennement pour accéder à des services en ligne, à des réseaux sociaux ou encore à des systèmes de paiement. Les cybercriminels profitent de ces procédures d’authentification routinières pour mettre la main sur des données sensibles, telles que des mots de passe ou des informations de carte de crédit. Découvrez comment identifier l’hameçonnage et vous en protéger.

  •  Temps de lecture: 11 minutes
  • Dernière mise à jour: avril 2026
  • 1
    Nouvelle contribution

L'essentiel en bref

  • L’hameçonnage est une technique par laquelle des cybercriminels tentent d’obtenir des données sensibles, telles que des mots de passe ou des informations de carte de crédit, au moyen de messages frauduleux ou de faux sites web.
  • Il a été observé lors de récentes attaques par hameçonnage que les escrocs procèdent souvent en deux étapes: d’abord, ils obtiennent des données d’accès ou des informations de carte de crédit, puis, ils prennent contact avec la victime pour lui demander de leur transmettre un code de vérification ou d’autoriser une transaction.
  • N’entrez jamais vos données d’accès sur une page web que vous avez ouverte en cliquant sur un lien dans un message. En outre, ne transmettez jamais de codes de vérification et vérifiez attentivement chaque transaction avant de la valider.
 Sur cette page
L’hameçonnage, qu’est-ce que c’est?
Exemples
Assurance
Comment reconnaître une tentative d’hameçonnage?
Questions et réponses

L’hameçonnage, qu’est-ce que c’est?

L’hameçonnage est une forme d’usurpation d’identité sur Internet. Au moyen de messages trompeurs ou de faux sites web, les cybercriminels tentent de dérober des données sensibles, telles que des mots de passe ou des informations de carte de crédit, ou de diffuser des logiciels malveillants.

Dans la plupart des cas, les attaques par hameçonnage visent à prendre le contrôle d’un compte utilisateur dans le but de réaliser un profit financier. Les méthodes utilisées sont très diverses: vol d’argent (Twint ou e-banking), vente de données, escroquerie dans l’environnement social de la victime ou demande de rançon à la suite de l’installation d’un logiciel malveillant.

Les messages d’hameçonnage sont généralement envoyés par l’un des canaux suivants:

  • e-mail, SMS, WhatsApp ou autres messageries de réseaux sociaux;
  • appel téléphonique;
  • plateforme de vente;
  • annonce publicitaire dans un moteur de recherche;
  • code QR manipulé dans une lettre ou dans l’espace public.

En anglais, le terme «phishing» est une combinaison des mots anglais «fishing» (pêcher) et «phreaking» (pirater). Aux États-Unis, dans les années 1960 et 1970, le terme «phreaking» désignait le piratage de systèmes téléphoniques. Il s’agit d’un mot obtenu par la contraction de «phone» et de «freak».

Le «ph» au début de «phreaking» est devenu plus tard la marque de fabrique de la culture du piratage: il a été utilisé au début de plusieurs noms désignant des méthodes de piratage dans la langue anglaise et a également inspiré l’orthographe de «phishing». C’est probablement à cause de ce «ph», non usuel dans la langue courante, que ce terme est souvent mal orthographié. On rencontre par exemple «phising», «pishing», «pisching» ou encore «fishing». En français, «phishing» est traduit par «hameçonnage».

Bien que cette théorie soit largement diffusée, «phishing» n’a pas été composé à partir de «password» ou de «password harvesting» (voir aussi Data Science Lab de l’EPFL).

Hameçonnage: terme générique utilisé pour désigner une tentative de tromperie au moyen de messages frauduleux ou de faux sites web. Les cybercriminels envoient de tels messages pour obtenir les mots de passe ou les informations de carte de crédit du plus grand nombre possible de personnes ou pour propager des logiciels malveillants.

Harponnage (ou «spear phishing»): contrairement au hameçonnage de masse, les attaques de harponnage sont très personnalisées et ciblent donc une personne ou une entreprise en particulier. Lorsqu’une attaque est dirigée contre une personne haut placée, on parle de «fraude au président» (ou «whaling phishing»).

Hameçonnage en temps réel (ou «real time phishing»): comme son nom l’indique, l’hameçonnage en temps réel a lieu en temps réel. Il est souvent utilisé pour obtenir des codes de vérification valables pendant une courte durée ou pour faire approuver une transaction par la victime. Ce type d’hameçonnage a souvent lieu dans les applications de messagerie, lors du traitement de paiements sur des plateformes de vente ou par téléphone (voir aussi «hameçonnage par téléphone»).

Hameçonnage par SMS (ou «smishing»): les escrocs se font passer pour une entreprise de livraison ou une banque et envoient à leur victime potentielle un SMS contenant un lien vers un faux site web. Bien que le terme anglais «smishing» se réfère, au sens étroit, uniquement aux SMS, les attaques d’hameçonnage par WhatsApp ou d’autres services de messagerie sont également qualifiées de «smishing».

Hameçonnage par téléphone (ou «voice phishing» ou encore «vishing»): il s’agit d’une tentative d’escroquerie par téléphone ou message vocal. Les auteurs se font par exemple passer pour des collaborateurs du service d’assistance d’une entreprise ou d’une autorité afin d’inciter la victime à divulguer des données ou à autoriser des paiements. Les escrocs recourent souvent à l’hameçonnage par téléphone s’ils sont déjà en possession de données d’accès ou d’un numéro de carte de crédit. L’hameçonnage par téléphone est une variante d’hameçonnage en temps réel.

Hameçonnage par code QR (ou «QR code phishing» ou encore «quishing»): les escrocs collent leurs propres codes QR sur de vrais codes (p. ex. sur un parcmètre) ou les intègrent à des lettres afin que les personnes qui scannent le code soient dirigées vers de fausses pages de paiement ou de connexion.

Hameçonnage par moteur de recherche ou («search engine phishing»): les criminels diffusent des annonces publicitaires payantes sur Google ou Bing. Lorsqu’une personne tape par exemple les mots clés «Login e-banking», ces annonces apparaissent tout en haut de la page, avant les résultats de recherche, et mènent directement sur des pages d’hameçonnage extrêmement convaincantes.

Comment fonctionne l’hameçonnage?

Dans la plupart des cas, les cybercriminels envoient un message dans lequel ils se font passer pour une organisation digne de confiance. Ils tentent d’inciter les destinataires à cliquer sur un lien ou à ouvrir une pièce jointe dans un message et à exécuter une action spécifique, soit en les menaçant qu’ils subiront un désavantage (blocage du compte) s’ils ne le font pas, soit en leur promettant un avantage (prix à gagner dans le cadre d’un concours). Ils prétextent une urgence afin d’inciter leurs victimes à agir sans réfléchir.

Si l’on clique sur un tel lien, on accède en général à une fausse page de connexion permettant aux pirates d’obtenir des données d’accès ou des numéros de carte de crédit. En règle générale, les pièces jointes dans les messages d’hameçonnage servent à propager des logiciels malveillants. L’ouverture d’une telle pièce jointe peut par exemple entraîner le cryptage des données de l’ordinateur ou de l’ensemble du réseau.

Selon l’Office fédéral de la cybersécurité (OFCS), dans la plupart des attaques par hameçonnage enregistrées en 2025, les pirates ont procédé en deux étapes. Ils ont d’abord obtenu des données d’accès ou des informations de carte de crédit au moyen de messages d’hameçonnage ou via des moteurs de recherche, puis ils ont pris contact avec la victime par téléphone pour la convaincre de leur fournir un code de vérification ou de valider une transaction.

E-mail

Administration des contributions: les cybercriminels se font passer pour l’Administration des contributions (AFC) et vous informent que vous auriez droit à un remboursement d’impôt. Pour l’obtenir, vous devez vous connecter sur une page. Ils vous conduisent ainsi sur une fausse page de connexion, où vous devez remplir un formulaire et notamment fournir les données de votre carte de crédit.

Services de streaming: vous recevez un e-mail censé provenir de Netflix ou de Spotify vous avertissant d’un problème avec le mode de paiement que vous avez choisi et vous menaçant de bloquer immédiatement votre compte. Pour résoudre ce problème, les escrocs vous demandent de cliquer sur un lien menant vers un faux site, où ils vont tenter de faire main basse sur vos informations de carte de crédit.

Sécurité bancaire: vous recevez un e-mail envoyé au nom d’UBS, de PostFinance ou d’une banque cantonale vous demandant de réactiver votre accès en raison de nouvelles mesures de sécurité, par exemple pour que vous puissiez utiliser les applications PhotoTAN ou SecureGo. L’attaque vise le vol de vos données d’accès à l’e-banking.

SMS («smishing»)

La Poste/la douane: la douane ou un service d’expédition vous informent par SMS d’un colis qui ne pourrait apparemment pas être livré en raison de droits de douane non acquittés s’élevant à un faible montant (p. ex. CHF 1,95). Après avoir cliqué sur le lien, vous devez saisir les données de votre carte de crédit.

Service des amendes d’ordre: vous recevez un message vous informant d’une amende de stationnement que vous n’avez soi-disant pas réglée. Vous devez effectuer le paiement dans un bref délai afin de vous éviter des frais supplémentaires. Ce genre de SMS vise à voler les données de votre carte de crédit.

WhatsApp ou autres services de messagerie

Arnaque au faux neveu 2.0: un prétendu membre de votre famille vous écrit depuis un nouveau numéro (p. ex.: «Coucou maman, mon téléphone est cassé...») et vous demande d’effectuer urgemment un versement par Twint. En savoir plus sur les arnaques sur Twint

Arnaque au code: un contact de votre liste vous demande de lui transférer un code que vous venez de recevoir par SMS. En réalité, le compte de votre contact a été piraté et des cybercriminels utilisent ce code pour tenter de prendre le contrôle de votre compte WhatsApp.

Appel téléphonique («vishing»)

Fausses autorités: vous recevez un message vocal vous indiquant que vous risquez une arrestation. Le but est de vous inciter à communiquer vos données d’identité ou à verser une caution en cryptomonnaie ou par Twint.

Service d’assistance bancaire: un prétendu collaborateur du service de sécurité de votre banque vous appelle pour vous avertir de l’existence d’une transaction suspecte en cours et vous presse de la stopper en saisissant un code dans votre application bancaire – ce qui, en réalité, la déclenchera.

Plateforme de vente telle que Tutti, Ricardo ou Facebook Marketplace

Arnaque à l’acompte: un acheteur potentiel vous envoie un lien vers une (fausse) page de paiement de La Poste ou de Twint, sur laquelle vous devez saisir vos coordonnées bancaires pour recevoir l’argent.

Annonce publicitaire dans un moteur de recherche («ad phishing»)

Fausses pages de connexion: lorsque vous tapez les mots clés «Login e-banking» sur Google apparaît tout en haut de la page une annonce payante ressemblant parfaitement à la page de votre banque. Si vous vous connectez sur cette page, des pirates pourront mettre la main sur vos données d’accès.

Courrier (hameçonnage hors ligne) et code QR («quishing»)

Lettre envoyée par votre banque: vous recevez une lettre qui ressemble à un courrier officiel de votre banque vous demandant de scanner un code QR afin de vérifier votre compte en vue d’une mise à jour du système. Les escrocs veulent que vous vous connectiez à votre e-banking depuis la fausse page afin de s’emparer de vos données d’accès.

Codes QR manipulés: des vrais codes QR sur des parcmètres ou des bornes de recharge pour véhicules électriques sont recouverts au moyen d’autocollants qui visent à mener les utilisatrices et utilisateurs sur des sites de paiement frauduleux. L’objectif est de voler vos données de carte de crédit.

Selon l’Office fédéral de la cybersécurité (OFCS), l’hameçonnage est l’une des principales méthodes utilisées par les pirates pour lancer une cyberattaque. En 2025, quelque 65 000 cyberincidents ont été signalés à l’OFCS. Près de 19% d’entre eux étaient directement liés à un cas d’hameçonnage, ce qui représente environ 12 000 cas déclarés.

Les spécialistes estiment que le nombre réel de tentatives d’hameçonnage se chiffre à plusieurs millions par an. Si le nombre total de signalements n’a que légèrement augmenté en 2025 par rapport à l’année précédente (63 000), la qualité des attaques a évolué. Elles sont aujourd’hui plus ciblées et plus sophistiquées qu’il y a deux ans.

Avec la cyberassurance de la Mobilière, vous jouez la carte de la sécurité.

Si vous êtes victime d’hameçonnage, la cyberassurance de la Mobilière est là pour vous aider. Apprenez-en plus sur la cyberassurance ou calculez votre prime d’assurance directement et sans engagement. Prenez ensuite votre décision en toute tranquillité.

La cyberassurance pour le quotidien numérique
Produit

Cyberassurance

Votre disque dur externe avec toutes les photos de famille qu'il contient n'a pas résisté au bain de coca accidentel ? La cyberassurance de La Mobilière vous aide à sauver vos données et à récupérer votre argent en cas d'escroquerie. 
Calculer la prime

Comment reconnaître une tentative d’hameçonnage?

La plupart des attaques par hameçonnage ont pour but de vous diriger vers un faux site Internet, où vous devrez par exemple saisir les données de votre carte de crédit ou les données d’accès à votre e-banking. N’entrez jamais vos données d’accès sur une page web que vous avez ouverte en cliquant sur un lien dans un message.

Une icône cadenas indique simplement que la connexion est chiffrée. Cependant, cela ne signifie pas automatiquement que le site web est fiable. Les indices suivants suggèrent qu’il s’agit très probablement d’un faux site web:

  • Sous-domaines: «post.ch.sicherheit-check.com» ne correspond pas au site web de la Poste. Dans cet exemple, le nom de domaine est «sicherheit-check.com». L’adresse réelle se trouve toujours juste avant le dernier point et l’extension (p. ex. «.ch» ou «.com»).
  • Typosquattage: «ubs-e-banking.ch» au lieu de «ubs.com/e-banking»
  • Extensions inhabituelles: les autorités suisses utilisent souvent le nom de domaine «admin.ch», comme dans «https://ncsc.admin.ch». Les sites d’hameçonnage imitent souvent ces adresses en utilisant des extensions de domaine telles que «.net», «.info» ou «.xyz» (exemple: «https://ncsc-admin.net»), car ces noms de domaines ressemblent à l’adresse officielle et peuvent être enregistrés à moindre coût avec ces extensions.
  • Liens morts: essayez de cliquer sur les mentions légales, les CG, les icônes des réseaux sociaux ou sur les différentes langues. Souvent, ces liens ne fonctionnent pas sur les faux sites, ou ils vous redirigent vers la page de connexion.
  • Carte de crédit lors de la connexion: aucune banque suisse ne vous demande votre numéro de carte de crédit, code CVC inclus, lorsque vous vous connectez à l’e-banking.

Vous trouverez des cas actuels de cyberescroquerie sur cybercrimepolice.ch, le site internet de l’Office fédéral de la cybersécurité (OFCS) et sur cyber­mal­veillance.gouv.fr. Comme l’hameçonnage ne se limite plus aux e-mails depuis longtemps, nous vous montrons ci-après comment reconnaître une tentative d’hameçonnage par SMS ou Messenger, par téléphone, dans un moteur de recherche ou au moyen d’un code QR.

Nom de domaine de l’expéditeur erroné: l’adresse après le @ ne correspond pas exactement au site web officiel de l’entreprise (p. ex. «info@post-service.net» au lieu de «@post.ch»).

Moyens de pression ou appât: le message a un caractère urgent. Il peut s’agir de menaces de désavantages (blocage de compte, frais, actions en justice) ou de promesses d’avantages (concours avec prix à remporter, remboursement).

Erreurs de langue: les messages d’hameçonnage contiennent souvent des fautes d’orthographe, un mélange de plusieurs langues ou une formule d’appel impersonnelle («Cher client»).

Vous trouverez de plus amples informations dans notre guide «Reconnaître un e-mail d’hameçonnage».

Colis inattendus: vous recevez une notification concernant un colis ou des frais de douane. De tels messages peuvent être envoyés aussi bien à des personnes qui ont effectivement commandé quelque chose à ce moment-là qu’à des personnes qui n’ont rien commandé.

Numéros de portable inconnus: les messages proviennent souvent de numéros de portable privés ou de préfixes étrangers plutôt que de numéros courts officiels.

Liens raccourcis: l’URL est rendue méconnaissable (p. ex. «bit.ly/xyz» ou «t.co/abc») au lieu de mener directement vers le site web de l’entreprise.

Usurpation de numéros: même si un numéro officiel voire le nom de votre banque s’affiche sur l’écran de votre téléphone, cela ne signifie pas nécessairement que l’appel provient effectivement de votre banque.

Messages enregistrés: l’appel commence par une voix générée par ordinateur (souvent en anglais) se faisant passer pour la police, Interpol ou le support Microsoft.

L’appelant vous presse d’appuyer sur un bouton, d’installer un logiciel d’accès à distance ou de valider un paiement par Twint.

Annonce publicitaire avec mention: le lien qui s’affiche tout en haut de la page est par exemple assorti de la mention «Annonce» ou «Annonce sponsorisée». Une telle mention est plutôt inhabituelle sur les pages de connexion officielles des banques.

URL suspecte: si vous cliquez sur l’annonce, vous voyez un nom de domaine ne correspondant pas au vrai nom de domaine de la banque dans la ligne d’adresse (p. ex. «raiffeeisen.com» au lieu de «login.raiffeisen.ch»).

Demande instantanée de données: le site vous demande directement votre numéro de carte de crédit ou votre code NIP, avant même que vous ne soyez dans l’e-banking.

Autocollant: le code QR apposé sur un parcmètre ou une station de recharge est clairement un autocollant ou a un design différent du reste de l’appareil.

URL suspecte: votre smartphone affiche l’URL cible avant que vous ne l’ouvriez. Vérifiez alors si l’adresse est bien celle du prestataire (exemple: «easy-park-payment.xyz» est suspect).

Demande de données de carte de crédit: après avoir scanné le code, vous vous retrouvez sur une page qui demande des données de carte de crédit pour un service généralement payé au moyen d’une application ou par Twint.

Questions et réponses

  1. Activez l’authentification à deux facteurs pour chacun de vos comptes en ligne et utilisez des mots de passe sûrs.
  2. N’entrez jamais vos données d’accès sur un site web que vous avez ouvert en cliquant sur un lien dans un message.
  3. Avant de saisir les détails de votre carte de crédit ou votre mot de passe, vérifiez que vous vous trouvez bien sur le site web de l’organisation concernée.
  4. Ne transmettez jamais un code dont on vous dit qu’il a été envoyé par inadvertance à votre numéro de téléphone.
  5. Ne communiquez aucune information sensible par téléphone, sauf si vous avez appelé le service d’assistance de votre banque et que vous devez vous authentifier.
  6. Méfiez-vous des messages urgents qui vous invitent à cliquer sur un lien ou à ouvrir une pièce jointe.

En règle générale, il ne se passe rien lorsque l’on clique sur un lien. Cependant, les escrocs savent ainsi que votre adresse est active et que vous réagissez à de tels appâts. Si vous avez saisi des données sensibles, des criminels pourraient s’approprier votre compte (voir la réponse à la question suivante).

Modifiez immédiatement tous les mots de passe des comptes concernés et activez si possible l’authentification à deux facteurs. En outre, déconnectez-vous de toutes vos sessions en cours, afin d’éviter que des escrocs accèdent à votre compte par une session encore active. Si vous avez saisi vos coordonnées bancaires ou de carte de crédit, vous devez immédiatement faire bloquer vos cartes et votre accès à l’e-banking en appelant le numéro d’urgence de votre banque.

Si votre banque n’est pas joignable, saisissez délibérément le mauvais code PIN ou le mauvais mot de passe jusqu’à ce que votre carte ou votre compte soit bloqué. Vérifiez également vos décomptes afin de déceler toute transaction suspecte. En cas de préjudice financier, déposez plainte auprès de la police et signalez l’incident à l’Office fédéral de la cybersécurité.

En cas de dommage financier dû à une escroquerie sur Internet couverte, c’est la protection juridique qui intervient en premier lieu. Si celle-ci ne parvient pas à récupérer l’argent de la personne assurée, la cyberassurance de la Mobilière examine la possibilité d’une indemnisation pouvant aller jusqu’à 20 000 francs. En savoir plus sur la cyberassurance de la Mobilière

Important: les pirates doivent avoir obtenu l’argent de la personne assurée de manière illégale. Si vous avez versé l’argent parce que vous avez cru la personne qui vous l’a soutiré (p. ex. arnaque aux sentiments), on considérera en général que le cas n’est pas couvert.

Faites donc preuve de prudence si vous devez valider plusieurs paiements par code SMS ou confirmer une transaction dans une application: vérifiez à chaque fois soigneusement le nom de la personne qui fait la demande et le montant.

Pour signaler tout message suspect, veuillez le transmettre à reports@antiphishing.ch. Vous aiderez ainsi à faire bloquer plus rapidement les sites web frauduleux dans le monde entier.

Si vous avez subi un préjudice financier, veuillez déposer plainte auprès de la police et signaler l’incident à l’Office fédéral de la cybersécurité.

La cyberassurance vous intéresse?

Calculateur de primes

Calculer la prime sans engagement

Conseil personnalisé

Demander un conseil
Avez-vous trouvé ce que vous cherchiez?

Thèmes apparentés

Les guides suivants pourraient également vous intéresser.

Junger Mann im Zug, hält sein Smartphone in der Hand. Er ist zufrieden.
Guide

Comment reconnaître une tentative d’hameçonnage?

Comment identifier un e-mail d’hameçonnage, que faire et comment réagir correctement si vous êtes victime d’un e-mail frauduleux.
Vishing: un homme au téléphone portable, symbole du hameçonnage vocal
Guide

Vishing: qu'est-ce que l’hameçonnage vocal?

Qu’entend-on par «hameçonnage vocal»? Comment fonctionne l’hameçonnage vocal et comment s’en protéger?
Arnaques sur Twint
Guide

Comment fonctionne une arnaque sur Twint?

Notre guide vous donne un aperçu des différents types d’arnaques sur Twint et vous explique comment vous en prémunir.
Identifier une escroquerie sur Internet – exemple d’un e-mail d’hameçonnage
Guide

Identifier une escroquerie sur Internet et agir correctement

Internet nous offre d’innombrables possibilités: nous pouvons commander des produits, payer des factures en ligne ou rester en contact avec des amis. Mais cette médaille a un revers: l’escroquerie sur Internet. Nous vous montrons ici à quoi peut ressembler une escroquerie sur Internet et vous expliquons comment vous en protéger et à qui vous adresser pour les dénoncer.