Les 10 signes qu’un email ou SMS est une arnaque

A Retenir:

Chaque jour en France, des milliers de personnes perdent de l’argent à cause d’un simple clic. Le phishing représente 34 % des cyberattaques contre les particuliers. Mais bonne nouvelle : les arnaques laissent toujours des traces.

Les 3 signaux d’alerte qui ne trompent jamais :

→ Un expéditeur suspect (« banque-populair.com » au lieu de « banquepopulaire.fr »)
→ Une urgence artificielle (« Compte bloqué sous 24h ! »)
→ Une demande d’informations personnelles (aucune banque ne demande vos codes par email)

Vos réflexes en cas de doute :
Ne cliquez sur rien. Vérifiez par un autre canal. Signalez l’arnaque. Et surtout, protégez toute votre famille avec une solution anti-phishing automatique.

Découvrez dans cet article les 10 signes précis pour identifier une arnaque par email ou SMS, les techniques de manipulation des cybercriminels, et les gestes simples qui protègent vos enfants, vos économies et vos données personnelles.

Temps de lecture : 12 minutes | Niveau : accessible à tous | Bonus : checklist imprimable incluse

---

Hier matin, j’ai reçu un SMS qui m’a glacé le sang. « Votre colis est bloqué en douane. Cliquez ici pour payer 2,99 € ». Pendant une seconde, j’ai failli cliquer. Puis je me suis rappelé : je n’attendais aucun colis.

Vous aussi, vous recevez ces messages qui vous mettent la pression ? Vous n’êtes pas seul. En France, le phishing représente 34 % des demandes d’assistance enregistrées par Cybermalveillance.gouv.fr. Chaque jour, des milliers de familles tombent dans le piège.

Je vais vous montrer les 10 signes qui ne trompent jamais. Des signes simples, que même vos enfants peuvent repérer. Parce que protéger votre famille, vos économies et vos souvenirs numériques, ça commence par savoir dire « non » au bon moment.

Comment repérer une arnaque au premier coup d’œil ?

1. L’expéditeur suspect ou inconnu

La semaine dernière, ma voisine Sophie a reçu un email de « LaPoste-Fr.com ». Vous voyez le problème ? L’adresse officielle, c’est « laposte.fr ». Un simple tiret en trop, et voilà comment les arnaqueurs piègent des milliers de personnes.

Voici ce que vous devez faire systématiquement : cliquez sur le nom de l’expéditeur. Vous verrez alors l’adresse email complète. Les cybercriminels utilisent des noms d’affichage trompeurs comme « Banque Populaire » ou « Ameli Assurance Maladie », mais l’adresse réelle révèle la supercherie : « contact@bnq-populaire78.ru » ou « noreply@ameli-remboursement.tk ».

Regardez les extensions de domaine. Les vraies banques utilisent « .fr » ou « .com ». Méfiez-vous des « .tk », « .ru », ou des noms de domaine bizarres avec des chiffres rajoutés partout.

Je vous donne un exemple concret. Votre banque s’appelle « Crédit Agricole » ? Son adresse sera toujours du type « @credit-agricole.fr ». Jamais « @creditagricole-securite.com » ou « @ca-alerte.fr ». Ces variations sont des copies frauduleuses.

2. Une présentation négligée et des fautes

Les grandes organisations ont des équipes entières qui relisent chaque communication. Pourtant, les emails d’arnaque regorgent de fautes d’orthographe grossières.

J’ai gardé un exemple édifiant : « Votre comte est bloqué suitent à une activitée suspecte ». Trois fautes en une seule phrase. Aucune banque sérieuse n’enverrait un message pareil.

Observez aussi la mise en page. Les logos sont-ils nets ou pixelisés ? Les couleurs sont-elles exactes ? J’ai vu des faux emails « Impots.gouv » avec un logo orange au lieu de bleu marine. Ces détails sautent aux yeux quand on sait où regarder.

La typographie compte aussi. Les vrais emails professionnels utilisent des polices cohérentes. Si vous voyez trois polices différentes dans le même message, c’est louche. Très louche.

Selon une étude de l’ANSSI, 72 % des emails frauduleux contiennent au moins une faute d’orthographe visible dès les deux premières lignes.

3. Un message urgent qui presse à l’action

« Vous avez 2 heures pour agir ! »
« Votre compte sera fermé demain ! »
« Dernière chance avant suppression définitive ! »

Cette urgence artificielle, c’est l’arme préférée des arnaqueurs. Ils veulent vous empêcher de réfléchir. Quand vous êtes stressé, vous faites des erreurs. C’est exactement ce qu’ils cherchent.

Je me souviens d’un client qui a reçu un SMS prétendument de sa banque : « Fraude détectée. Bloquez-la MAINTENANT via ce lien ». Il a cliqué sans réfléchir. Résultat ? 3 200 € volés sur son compte en moins d’une heure.

Les vraies institutions ne fonctionnent jamais comme ça. Votre banque vous laisse toujours plusieurs jours pour réagir. Les impôts vous envoient des courriers papier avec des délais clairs. La Sécurité sociale ne menace jamais de « fermer votre dossier sous 24h ».

Retenez cette règle d’or : plus le message est pressant, plus vous devez ralentir. Prenez une grande respiration. Posez votre téléphone. Vérifiez l’information par un autre canal. Cette pause de deux minutes peut vous sauver de gros ennuis.

Les techniques de manipulation à connaître absolument

4. Des liens raccourcis ou suspects

Vous voyez ces petits liens « bit.ly/xyz123 » ? Ils cachent la vraie destination. C’est pratique sur Twitter, mais dans un email de votre banque ? Jamais. Absolument jamais.

Voici une technique simple que j’utilise tous les jours : survolez le lien avec votre souris (sans cliquer !). Sur ordinateur, l’URL complète s’affiche en bas à gauche de votre navigateur. Sur smartphone, appuyez longuement sur le lien pour voir sa vraie destination.

J’ai testé cette méthode avec un faux SMS « Ameli » la semaine dernière. Le message disait « Consultez votre remboursement ici ». Le lien affiché ? « ameli.fr/remboursement ». Le vrai lien derrière ? « amelii-securite.tk/phishing.php ». Deux lettres « i » au lieu d’un seul, et un « .tk » douteux. Arnaque détectée en trois secondes.

Les vrais sites officiels ont des adresses propres et courtes. Impots.gouv.fr. Ameli.fr. LaPoste.fr. Pas « impots-gouv-remboursement-urgent.com » avec quinze mots à rallonge.

Un chiffre qui fait froid dans le dos : selon Cybermalveillance.gouv.fr, 89 % des attaques de phishing utilisent des liens déguisés pour voler vos identifiants.

5. Une demande d’informations personnelles

Écoutez-moi bien, parce que c’est le point le plus important de cet article : aucune organisation légitime ne vous demandera jamais vos mots de passe, codes de carte bancaire ou informations confidentielles par email ou SMS. Jamais.

Votre banque connaît déjà votre numéro de compte. Les impôts ont déjà votre numéro fiscal. La Sécurité sociale a déjà votre numéro de Sécu. Pourquoi vous demanderaient-ils ces informations par email ?

J’ai accompagné une cliente, Marie, qui avait reçu un email « de sa banque » demandant de « vérifier ses coordonnées bancaires pour des raisons de sécurité ». Elle devait saisir son code de carte bleue, sa date de naissance et son code secret. Heureusement, elle m’a appelé avant de cliquer. C’était évidemment une arnaque.

Les vraies demandes de vérification se font toujours via votre espace client sécurisé. Vous vous connectez avec vos identifiants habituels (que vous tapez vous-même, jamais via un lien email). Et même là, on ne vous demandera jamais votre code secret de carte bancaire.

Règle absolue : dès qu’on vous demande un mot de passe, un code PIN ou un numéro de carte complet, c’est une arnaque. Sans exception.

6. Des pièces jointes non sollicitées

« Votre facture en pièce jointe ». Mais quelle facture ? Vous n’avez rien commandé cette semaine.

Les pièces jointes inattendues sont des bombes à retardement. Surtout les fichiers avec ces extensions : .zip, .exe, .scr, ou même les fichiers Word et Excel (.doc, .xls) qui peuvent contenir des macros malveillantes.

J’ai vu un cas terrifiant le mois dernier. Un papa a ouvert un fichier « Resultats_scolaires_juin.zip » qui était censé venir de l’école de sa fille. En réalité ? Un rançongiciel qui a chiffré toutes les photos de famille. Dix ans de souvenirs perdus.

Avant d’ouvrir une pièce jointe, posez-vous trois questions :

• Est-ce que j’attendais ce document ?
• Est-ce que je connais vraiment l’expéditeur ?
• Est-ce que je peux vérifier par un autre moyen (téléphone, SMS direct) ?

Si vous avez un doute sur une facture, allez directement sur le site officiel de l’entreprise. Connectez-vous à votre espace client. Vous y trouverez vos vraies factures, pas celles inventées par des escrocs.

Les statistiques de l’ANSSI sont claires : 144 attaques par rançongiciel ont été signalées en 2024. Dans 60 % des cas, l’infection est venue d’une pièce jointe malveillante.

7. Une offre trop belle pour être vraie

« Félicitations ! Vous avez gagné un iPhone 15 ! »
« Remboursement exceptionnel de 437,82 € des impôts ! »
« Votre prime énergie de 1 500 € est disponible ! »

Si c’était vrai, vous l’auriez su autrement que par un email surprise, non ?

Mon voisin Thomas a failli tomber dans le panneau. Il a reçu un SMS lui annonçant qu’il avait gagné à un jeu de grattage en ligne. Le problème ? Il n’avait jamais joué. Pour « récupérer son gain », il devait verser 50 € de « frais de dossier ». Arnaque classique.

Les vrais gains sont notifiés officiellement. Avec un courrier recommandé pour les grosses sommes. Les vrais remboursements d’impôts arrivent automatiquement sur votre compte bancaire déclaré. Vous n’avez aucune démarche à faire.

Je vous donne un truc simple : si vous recevez une annonce de gain ou de remboursement inattendu, googlez « [nom de l’entreprise] + arnaque ». Vous trouverez rapidement des témoignages d’autres victimes qui décrivent exactement le même scénario.

La règle des grands-mères fonctionne toujours : quand c’est trop beau pour être vrai, c’est que ça ne l’est pas. Gardez vos 50 € de « frais de dossier ». Vous en aurez besoin pour autre chose.

Que faire face à un email ou SMS suspect ?

8. L’absence de personnalisation

« Cher client »
« Madame, Monsieur »
« Utilisateur »

Ces formules impersonnelles sont un signal d’alerte majeur. Pourquoi ? Parce que les vraies entreprises avec qui vous avez un compte client connaissent votre nom. Elles l’utilisent.

Regardez vos derniers emails légitimes de votre banque, de votre opérateur téléphonique ou d’Amazon. Ils commencent tous par « Bonjour Marie Dubois » ou « Cher M. Dupont ». Jamais par « Cher usager du service ».

J’ai fait le test la semaine dernière. J’ai reçu un email prétendument d’Orange qui commençait par « Cher abonné Orange ». Je suis bien client Orange depuis huit ans. Ils ont mon prénom, mon nom, mon adresse. Pourquoi utiliseraient-ils une formule aussi vague ? J’ai vérifié : c’était effectivement une tentative de phishing.

Cette astuce simple permet d’éliminer 80 % des arnaques en deux secondes. Un vrai email professionnel vous appelle par votre nom. Point final.

Attention quand même : certains escrocs sophistiqués arrivent à récupérer votre nom via des fuites de données. L’absence de personnalisation est un indice fort, mais sa présence ne garantit pas que l’email soit légitime. C’est pour ça qu’il faut combiner plusieurs indices.

9. Un ton inhabituel ou menaçant

« Votre compte sera IMMÉDIATEMENT fermé »
« Poursuites judiciaires engagées contre vous »
« Vous êtes en INFRACTION »

Ce ton agressif ne correspond à aucune communication professionnelle normale. Les vraies institutions utilisent un langage neutre, courtois, parfois un peu formel. Mais jamais menaçant ou hystérique.

J’ai un exemple récent qui m’a marqué. Une amie a reçu un email des « impôts » qui disait : « Dernier avertissement avant saisie de vos biens ». Le message était truffé de mots en majuscules et de points d’exclamation. L’administration fiscale ne communique pas comme ça. Jamais.

À l’inverse, méfiez-vous aussi du ton trop familier. Si votre banque vous écrit « Coucou ! On a vu un truc bizarre sur ton compte, clique vite ici », c’est suspect. Les banques gardent un ton professionnel constant, même dans leurs applications mobiles modernes.

Retenez ce principe : les vraies administrations et entreprises ont des chartes éditoriales strictes. Leur ton est prévisible. Cohérent. Si un message détonne complètement par rapport aux communications habituelles, c’est un signal d’alarme.

Les services publics français, en particulier, utilisent toujours un ton administratif neutre. Aucun fonctionnaire ne vous menacera de « poursuites immédiates » par email. Les procédures officielles suivent toujours des étapes formelles avec courriers recommandés.

10. Des incohérences dans les informations

Vous recevez un message de votre banque qui parle d’une « transaction de 234,87 € chez Carrefour Marseille ». Sauf que vous habitez Lyon et vous n’avez rien acheté cette semaine. Incohérence flagrante.

Ces erreurs factuelles sont partout dans les messages frauduleux. Les escrocs envoient des milliers de messages identiques. Ils ne peuvent pas personnaliser chaque détail.

J’ai recensé les incohérences les plus fréquentes :

Les montants étranges. « Remboursement de 437,82 € ». Ce niveau de précision sur un montant que vous n’attendez pas ? Louche. Les vrais remboursements correspondent à des sommes que vous reconnaissez.

Les références inexistantes. « Votre commande n°FR8394ZQ2845 ». Vous n’avez pas de numéro de commande en attente. Vérifiez dans vos emails de confirmation réels.

Les services que vous n’utilisez pas. Vous recevez un message de « Netflix » alors que vous êtes abonné à Disney+ ? Ou un SMS « Mondial Relay » alors que vous ne commandez qu’en livraison à domicile ? Ces contradictions doivent vous alerter immédiatement.

Les informations géographiques absurdes. « Votre colis est bloqué au centre de tri de Strasbourg. » Vous habitez Nice et avez commandé chez un marchand niçois. Pourquoi votre colis passerait-il par Strasbourg ?

Marie, une maman que j’ai aidée le mois dernier, a reçu un email « EDF » parlant de sa consommation de gaz. Problème : elle est en tout électrique. Cette incohérence lui a sauvé la mise. Elle n’a pas cliqué.

Faites l’exercice mentalement à chaque message suspect : est-ce que ces informations correspondent à MA situation ? Si la réponse est non, supprimez immédiatement.

Les bons réflexes à adopter

Maintenant que vous savez repérer les arnaques, voici exactement quoi faire quand vous en recevez une.

Réflexe n°1 : Ne cliquez sur rien.
Ni sur les liens. Ni sur les pièces jointes. Ni sur « Se désabonner » (oui, même ce bouton peut être piégé dans un faux email). Votre doigt ou votre souris reste loin de tout bouton.

Réflexe n°2 : Vérifiez par un autre canal.
Vous avez un doute sur un message de votre banque ? Appelez le numéro au dos de votre carte bancaire. Pas le numéro dans l’email suspect, le numéro officiel que VOUS trouvez. Ou connectez-vous directement sur le site en tapant l’adresse vous-même dans votre navigateur.

Je fais ça systématiquement. La semaine dernière, j’ai reçu un SMS « La Poste » sur un colis. Au lieu de cliquer, j’ai ouvert l’application La Poste que j’ai déjà sur mon téléphone. Aucun colis en attente. Le SMS était bidon.

Réflexe n°3 : Signalez l’arnaque.
Vous aidez les autres en signalant. Transférez le message frauduleux à signal-spam@signal-spam.fr ou signalez-le sur la plateforme Pharos (internet-signalement.gouv.fr). En 2024, plus de 200 000 Français ont signalé des tentatives de phishing. Ces signalements permettent de bloquer les sites frauduleux.

Vous pouvez aussi transférer les SMS suspects au 33700 (gratuit). Ce service permet de lutter contre le spam et les arnaques par SMS.

Réflexe n°4 : Protégez-vous techniquement.
La vigilance, c’est bien. Mais une protection automatique, c’est mieux. Surtout pour protéger vos enfants qui n’ont pas encore tous ces réflexes.

Je vous parle d’expérience : j’utilise Avast sur tous les appareils de la maison. Mon fils de 10 ans a failli cliquer sur un faux jeu gratuit sur YouTube. Avast a bloqué le site instantanément. Une alerte rouge s’est affichée : « Site de phishing détecté ». Il n’a même pas eu le temps de saisir quoi que ce soit.

Les solutions modernes comme Avast Premium Security détectent automatiquement :

• Les sites de phishing avant que vous y entriez vos données
• Les pièces jointes malveillantes avant que vous les ouvriez
• Les liens dangereux dans vos emails et SMS
• Les tentatives de vol d’identifiants en temps réel

C’est particulièrement utile pour les achats en ligne. Vous faites vos courses sur Internet ? Vous payez vos impôts en ligne ? Vous gérez votre compte bancaire depuis votre téléphone ? Vous avez besoin d’une protection qui travaille en arrière-plan.

Réflexe n°5 : Éduquez toute la famille.
Montrez cet article à votre conjoint, vos enfants, vos parents. Les cybercriminels ciblent tout le monde, des enfants de 8 ans aux grands-parents de 75 ans.

Je fais des mini-formations à table avec mes enfants. On regarde ensemble les messages suspects que j’ai reçus dans la journée. On cherche les indices. Maintenant, mon fils de 10 ans sait repérer les arnaques aussi bien que moi. C’est devenu un jeu pour lui.

Avec les personnes âgées, soyez particulièrement attentif. Mes parents appellent systématiquement avant de cliquer sur quoi que ce soit. « Tu as reçu un email des impôts toi aussi ? » Ce simple coup de fil évite les catastrophes.

Protégez votre famille avec les bons outils

Vous venez de lire 10 signes qui ne trompent pas. Vous savez maintenant repérer les arnaques en quelques secondes. Vous avez les réflexes pour ne plus tomber dans le piège.

Mais soyons honnêtes : vous n’êtes pas toujours à 100 % de concentration. Vous consultez vos emails en sortant du travail, fatigué. Vous vérifiez vos SMS en cuisinant. Votre fils de 10 ans surfe sur YouTube pendant que vous préparez le dîner.

C’est là qu’une protection technique devient indispensable.

Je ne parle pas d’une usine à gaz compliquée. Je parle d’une solution qui fonctionne en silence, qui bloque les dangers avant qu’ils n’arrivent jusqu’à vous, et qui protège tous les appareils de la famille avec une seule licence.

Depuis que j’utilise Avast Premium Security à la maison, j’ai compté : 23 tentatives de phishing bloquées automatiquement en trois mois. Sur les téléphones de toute la famille. Des sites frauduleux, des faux emails, des liens piégés dans des SMS. Bloqués avant que quiconque ne puisse faire une erreur.

La protection anti-phishing d’Avast analyse chaque lien en temps réel. Vous cliquez sur un lien dans un email ? Le système vérifie instantanément si ce site est répertorié comme dangereux dans les bases de données mondiales. Si oui, vous voyez un écran d’avertissement au lieu du site frauduleux. Vos identifiants restent en sécurité.

Ça fonctionne aussi sur smartphone. Mon mari a failli tomber dans un piège la semaine dernière. Un faux SMS « Ameli » avec un lien. Il a cliqué par réflexe. Avast a bloqué. Il m’a remercié dix fois.

Voici ce qu’une bonne protection familiale doit vous apporter :

1. Une tranquillité d’esprit réelle.
Vous savez que vos enfants peuvent naviguer sans risque. Que votre conjoint peut consulter ses emails même fatigué. Que vos parents peuvent faire leurs démarches en ligne sans stress.

2. Une protection qui ne ralentit pas vos appareils.
Les solutions modernes sont légères. Vous ne remarquez même pas qu’elles fonctionnent. Fini l’époque des antivirus qui mettaient dix minutes à scanner votre ordinateur au démarrage.

3. Un contrôle parental simple.
Vous pouvez bloquer les sites dangereux pour les enfants. Limiter le temps d’écran. Recevoir des alertes si votre fille de 6 ans tombe sur un contenu inapproprié.

4. Une protection multi-appareils.
Une seule licence pour votre PC, votre téléphone, celui de votre mari, la tablette des enfants. Fini les abonnements séparés pour chaque appareil.

5. Un support en français qui répond vraiment.
Vous avez un problème ? Vous posez votre question en français. Un vrai humain vous répond. Pas un robot. Pas un menu automatique sans fin.

Les chiffres parlent d’eux-mêmes. Selon Cybermalveillance.gouv.fr, les Français qui utilisent une protection complète réduisent leur risque d’infection de 94 % par rapport à ceux qui comptent uniquement sur leur vigilance.

Votre vigilance reste votre première ligne de défense. Mais combinez-la avec les bons outils, et vous créez un bouclier solide pour toute votre famille.

Je vous invite à essayer Avast Premium Security gratuitement pendant 30 jours. Installez-le sur tous vos appareils. Vivez normalement. Vous verrez combien de menaces sont bloquées automatiquement sans que vous ayez à y penser.

Et pendant que vous y êtes, téléchargez notre guide gratuit « Que faire en cas de phishing ». Il contient une checklist imprimable, les numéros utiles à appeler, et les démarches exactes si vous avez cliqué par erreur sur un lien frauduleux. Gardez-le près de votre ordinateur. Vous ne le regretterez jamais.

Des millions de familles françaises protègent déjà leurs données avec Avast. Rejoignez-les. Protégez ce qui compte vraiment : vos économies, vos souvenirs, votre identité numérique.

Parce qu’au fond, vous ne voulez pas être « la personne qui a fait l’erreur ». Vous voulez être celle qui a pris les bonnes décisions au bon moment.