Signaler un site de phishing : 7 scénarios concrets pour réagir sans paniquer

Face à un site de phishing, la majorité des internautes oscille entre panique, colère et sentiment d’impuissance. Pourtant, il est possible de réagir avec sang-froid, de protéger ses comptes et d’aider concrètement les autorités à faire fermer ces sites frauduleux. Dans le contexte français et européen, plusieurs dispositifs existent pour dénoncer anonymement ou de manière encadrée les tentatives de hameçonnage, tout en respectant le cadre légal.

1. Comprendre ce qu’est un site de phishing pour mieux le repérer

Avant de savoir comment réagir, il est essentiel de comprendre ce qu’est un site de phishing (ou « hameçonnage ») et pourquoi il est si dangereux. Un site de phishing est une page web qui imite un site officiel (banque, impôts, réseau social, service de livraison, administration…) afin de vous pousser à saisir des informations sensibles :

• Identifiants et mots de passe (messagerie, réseaux sociaux, comptes professionnels)
• Données bancaires (numéro de carte, cryptogramme, date d’expiration)
• Données personnelles (numéro de sécurité sociale, adresse, copie de pièce d’identité)
• Codes de validation reçus par SMS (3D Secure, OTP, codes de sécurité divers)

Les cybercriminels copient généralement :

• Le logo et la charte graphique d’un site officiel
• Le ton des emails et SMS d’organismes connus (banques, administration fiscale, opérateurs télécoms, etc.)
• Les formulaires de connexion ou de paiement « classiques »

Quelques indices permettent de repérer un site de phishing :

• Une adresse URL suspecte (erreurs de frappe, nom de domaine inconnu, extensions étranges)
• Des fautes d’orthographe ou de grammaire récurrentes
• Une urgence artificielle (« Votre compte va être fermé dans les 24h », « Dernier avertissement »)
• Des demandes d’informations inhabituelles ou excessives
• L’absence de protocole sécurisé ou un certificat douteux, même si de plus en plus de sites de phishing utilisent le HTTPS pour paraître crédibles

Mieux connaître ces signaux permet de limiter les risques de cliquer, mais personne n’est totalement à l’abri. L’important est de savoir comment réagir concrètement lorsque l’on est confronté à ce type de site.

2. 7 scénarios concrets et la bonne réaction pour chacun

Scénario 1 : Vous recevez un email avec un lien suspect vers un faux site

Vous recevez un email prétendument envoyé par votre banque, les impôts, un service de livraison ou un site de commerce en ligne. Le message vous demande de cliquer sur un lien pour « vérifier vos informations », « régulariser un paiement » ou « éviter la suspension de votre compte ».

Réflexes recommandés :

• Ne cliquez pas immédiatement sur le lien, même si le logo et la mise en page semblent authentiques.
• Passez la souris sur le lien (sans cliquer) pour voir l’URL réelle en bas de votre navigateur ou de votre client mail.
• Si l’adresse semble incohérente avec le site officiel (nom de domaine étrange, suite de caractères, domaine étranger…), partez du principe qu’il s’agit d’une tentative de phishing.

Que faire ensuite :

• Signalez l’email à votre fournisseur de messagerie comme « phishing » ou « courrier indésirable ».
• Transférez le message à l’adresse de signalement des services officiels (en France, vous pouvez par exemple utiliser la plateforme de signalement mise en avant par cybermalveillance.gouv.fr ou par votre banque, qui dispose souvent d’une adresse dédiée).
• Supprimez le message de votre boite de réception et de la corbeille.

Scénario 2 : Vous avez cliqué sur le lien mais n’avez rien saisi

Par réflexe, vous avez cliqué sur le lien. Le site s’ouvre, ressemble à votre banque ou à une administration, mais vous avez un doute et fermez la page avant de taper quoi que ce soit.

Dans ce cas, vous avez limité le risque, mais vous pouvez encore agir utilement :

• Videz le cache et l’historique de votre navigateur pour éviter un retour accidentel.
• Exécutez un scan antivirus et antimalware pour vérifier qu’aucun logiciel malveillant ne s’est installé.
• Notez l’adresse URL du site (si vous la retrouvez dans l’historique) pour la signaler ensuite.

Vous pouvez ensuite déclarer ce site aux services compétents. Des plateformes spécialisées permettent de faire remonter l’URL afin qu’elle soit bloquée ou déréférencée. Sur Cyberdénonciation, vous trouverez par exemple notre dossier complet sur la dénonciation des sites de phishing et les bons interlocuteurs à contacter selon la situation.

Scénario 3 : Vous avez saisi vos identifiants sur le faux site de votre banque

Vous avez cliqué, saisi votre identifiant et votre mot de passe bancaire, puis un doute vous a pris, ou vous avez été alerté par un message de sécurité. Ce scénario est fréquent et doit être géré sans panique, mais avec rapidité.

Étapes prioritaires :

• Contactez immédiatement votre banque via son numéro officiel (celui présent sur votre carte ou sur le site officiel, jamais via le courriel suspect).
• Expliquez la situation de manière factuelle : date, heure, type de données saisies, adresse du site si vous l’avez.
• Demandez le blocage préventif de votre accès en ligne, la modification de vos identifiants, et vérifiez s’il existe un dispositif de surveillance renforcée ou d’alerte en temps réel.
• Changez immédiatement votre mot de passe, en évitant de réutiliser un mot de passe identique à celui d’autres services.

Sur le plan juridique et administratif :

• Conservez toutes les preuves (captures d’écran, emails reçus, numéro de téléphone éventuel, adresse URL).
• Si des opérations frauduleuses apparaissent, déposez plainte auprès de la gendarmerie ou de la police (vous pouvez préparer votre dépôt de plainte en listant chronologiquement les faits).
• En parallèle, effectuez un signalement sur les plateformes officielles dédiées à la cybercriminalité.

Scénario 4 : Vous avez communiqué les données de votre carte bancaire

Sur un faux site de livraison, de streaming ou de commerce en ligne, vous avez entré les informations de votre carte bancaire, persuadé(e) de payer un service légitime. Vous découvrez ensuite que le site est frauduleux.

Actions immédiates :

• Appelez sans délai le service d’opposition de votre banque (ou le numéro d’urgence indiqué sur votre carte).
• Demandez le blocage de la carte et l’émission d’une nouvelle carte.
• Surveillez vos relevés bancaires en ligne et signalez toute opération suspecte.

Sur le plan de la dénonciation :

• Conservez les échanges, les confirmations de commande suspectes et les adresses URL consultées.
• Effectuez un signalement auprès de la plateforme de votre banque si elle propose un service de recensement des sites frauduleux.
• Signalez le site à des organisations qui coopèrent avec les autorités pour faire bloquer les pages de phishing (par exemple, les dispositifs de signalement en ligne référencés par l’ANSSI ou les autorités nationales).

En fonction du montant et des circonstances, une plainte pénale peut être pertinente. Le fait de documenter précisément la chronologie des faits facilitera l’instruction de votre dossier.

Scénario 5 : Vous recevez un SMS (smishing) vers un site de phishing

Le phishing ne passe pas uniquement par l’email. Les SMS frauduleux (smishing) se multiplient : faux messages d’un opérateur, d’un service postal, d’une administration, vous incitant à cliquer sur un lien court.

Ce que vous pouvez faire :

• Ne répondez jamais au numéro qui a envoyé le SMS.
• Ne cliquez pas sur le lien ou, si vous l’avez fait, ne saisissez aucune information et fermez la page.
• Signalez le SMS au numéro 33700 (service officiel gratuit pour signaler les SMS frauduleux en France), en suivant les instructions officielles.
• Bloquez le numéro sur votre téléphone et supprimez le message une fois signalé.

Le site indiqué dans le SMS peut également être dénoncé via les dispositifs de signalement de phishing. Si vous anonymisez vos captures d’écran, vous pouvez les transmettre aux autorités ou aux plateformes dédiées pour faciliter l’analyse technique.

Scénario 6 : Vous découvrez un site frauduleux en tant que professionnel (RH, DSI, admin système)

Dans un cadre professionnel, vous pouvez être confronté à des campagnes de phishing visant votre entreprise ou votre administration : faux portails de connexion, pages imitant votre webmail, sites se faisant passer pour votre outil RH, etc.

Responsabilités et bonnes pratiques :

• Prévenez immédiatement l’équipe sécurité, le RSSI ou la DSI si ce n’est pas déjà vous.
• Diffusez une alerte interne factuelle aux équipes, en expliquant comment reconnaître le message frauduleux et en rappelant de ne jamais répondre ni cliquer.
• Bloquez l’accès au site dans le pare-feu ou le proxy d’entreprise.
• Centralisez les captures d’écran et les en-têtes des messages reçus pour les transmettre aux organismes spécialisés et, si nécessaire, aux autorités.

En tant qu’employeur, vous avez intérêt à instaurer un protocole clair de signalement interne des emails suspects, afin de les analyser rapidement et, le cas échéant, de les remonter vers les plateformes de lutte contre la cybercriminalité. La dénonciation structurée de ces attaques permet de protéger les salariés, les partenaires et les données de l’organisation.

Scénario 7 : Vous êtes témoin d’un site de phishing mais pas directement victime

Vous tombez par hasard sur un site suspect (moteur de recherche, réseau social, forum, publicité) qui imite un service officiel, alors que vous n’êtes pas la cible directe du message. Vous avez pourtant la possibilité d’agir utilement.

Attitude recommandée :

• Ne testez pas vous-même le formulaire avec de fausses données : certains sites peuvent installer des malwares ou tracer votre navigation.
• Relevez l’adresse complète du site (URL) et, si possible, faites une capture d’écran.
• Signalez le site via les formulaires officiels de votre navigateur (Chrome, Firefox, Edge, etc. disposent d’options de signalement de sites dangereux).
• Transmettez l’URL aux plateformes spécialisées dans la remontée des sites de phishing, qui collaborent avec les autorités et les hébergeurs pour faire fermer les pages frauduleuses.

En agissant ainsi, vous jouez un rôle de lanceur d’alerte numérique. Votre action peut éviter que d’autres internautes, parfois plus vulnérables, deviennent victimes de cette arnaque.

3. À qui signaler un site de phishing en France et en Europe

Signaler un site de phishing ne consiste pas seulement à cliquer sur « spam » dans votre messagerie. Il existe un écosystème d’acteurs publics et privés qui traitent les signalements, analysent les menaces et coopèrent pour faire fermer les sites frauduleux.

Les services publics et plateformes officielles

Plusieurs structures interviennent dans la lutte contre le phishing :

• Les autorités nationales de cybersécurité (en France, l’ANSSI et les dispositifs associés, notamment via les informations relayées par la plateforme cybermalveillance.gouv.fr).
• Les forces de l’ordre (police, gendarmerie), via le dépôt de plainte ou certains formulaires de pré-plainte en ligne, lorsqu’un préjudice est avéré.
• Les autorités de régulation sectorielles (par exemple, pour des arnaques liées aux jeux d’argent, aux investissements financiers, ou aux faux sites administratifs).

En parallèle, certains pays européens disposent de leurs propres portails de signalement de contenus illicites et de fraudes en ligne, souvent interconnectés avec les services judiciaires ou les équipes de réponse à incident (CERT).

Les banques, opérateurs et grandes plateformes

Les banques, opérateurs télécoms, sociétés de livraison, plateformes de paiement et géants du web disposent de services internes de détection et de lutte contre la fraude :

• Adresses emails dédiées pour transférer les messages suspects (voir le site officiel de chaque établissement).
• Formulaires de contact sécurisés pour déclarer une tentative de phishing ciblant l’enseigne.
• Mécanismes de blocage de cartes, d’annulation de paiements et de surveillance des comptes.

En leur signalant le site frauduleux qui se fait passer pour eux, vous les aidez à :

• Mettre à jour leurs systèmes de filtrage et d’alerte.
• Informer plus rapidement leurs autres clients.
• Entreprendre des démarches techniques et juridiques pour faire supprimer ou bloquer le site en question.

Les acteurs spécialisés en détection de phishing

Il existe également des plateformes techniques, parfois en partenariat avec les autorités, qui recueillent les signalements d’URL suspectes et les analysent. Leur rôle :

• Vérifier si l’URL est effectivement frauduleuse.
• La transmettre aux acteurs concernés (hébergeurs, registrars de noms de domaine, éditeurs de navigateurs, solutions de sécurité).
• Contribuer à la mise en liste noire des sites malveillants pour les bloquer dans les navigateurs et solutions antivirus.

Ces signalements, même lorsqu’ils sont faits par des particuliers, ont un impact collectif : ils permettent d’augmenter la visibilité des menaces et d’accélérer la fermeture des sites de phishing.

4. Bonnes pratiques pour dénoncer un site de phishing de manière efficace et sécurisée

Rassembler les preuves sans se mettre en danger

Pour qu’un signalement soit utile, il doit être précis, tout en respectant votre sécurité :

• Notez l’URL exacte du site frauduleux (copier-coller est préférable pour éviter les erreurs).
• Faites, si possible, des captures d’écran des pages importantes : page d’accueil, formulaire de connexion, page de paiement.
• Conservez les emails ou SMS à l’origine du phishing (si vous les avez reçus).
• Évitez de manipuler le site de manière excessive (ne rafraîchissez pas inutilement, ne remplissez pas de champs).

Ces éléments seront utiles tant pour les plateformes de signalement que pour un éventuel dépôt de plainte ou une procédure auprès de votre banque ou d’une administration.

Protéger votre anonymat ou votre identité

Dans certains cas, vous pouvez souhaiter signaler un site de phishing de manière anonyme ou en limitant la diffusion de vos données personnelles, en particulier si :

• Vous êtes un salarié témoin de campagnes de phishing visant votre entreprise.
• Vous découvrez un réseau structuré d’arnaques en ligne.
• Vous craignez des représailles d’individus ou de groupes organisés.

Plusieurs options existent :

• Utiliser les formulaires de signalement qui permettent un dépôt sans création de compte.
• Limiter les informations personnelles communiquées aux seules nécessaires au traitement du signalement.
• Passer par des outils ou plateformes mettant en avant la protection des lanceurs d’alerte, lorsque le phishing s’inscrit dans un contexte plus large de fraude ou de corruption.

Le cadre légal européen et français protège de plus en plus les lanceurs d’alerte, mais il est important de bien connaître vos droits et vos obligations lorsque vous transmettez des informations, notamment si elles concernent d’autres personnes ou des organisations identifiées.

Ne pas confondre dénonciation utile et diffamation

Dénoncer un site de phishing ne pose pas de problème juridique en soi, dès lors que vous vous en tenez à des faits observables (URL, contenu du site, tentative clairement frauduleuse) et que vous utilisez les canaux appropriés (autorités compétentes, plateformes dédiées, banques, opérateurs).

En revanche, il est essentiel de :

• Éviter de publier publiquement des accusations nominatives non vérifiées (par exemple sur les réseaux sociaux) contre des personnes physiques ou morales.
• Ne pas divulguer sans raison des données personnelles de tiers dans vos signalements.
• Préférer des formules factuelles (« j’ai constaté », « j’ai reçu », « ce site demande des identifiants bancaires en se présentant comme… ») plutôt que des affirmations catégoriques sur l’identité des auteurs.

Les dispositifs de signalement existent précisément pour canaliser l’information vers des acteurs capables de vérifier, d’enquêter et d’agir dans un cadre légal, sans vous exposer inutilement.

Renforcer votre hygiène numérique après un incident

Après avoir été confronté à un site de phishing, que vous en soyez victime ou simple témoin, il est utile de :

• Mettre à jour vos mots de passe, en privilégiant des mots de passe uniques et robustes (et, si possible, un gestionnaire de mots de passe).
• Activer l’authentification à deux facteurs sur vos comptes sensibles (banque, messagerie, réseaux sociaux, comptes professionnels).
• Mettre à jour votre système d’exploitation, votre navigateur et vos logiciels de sécurité.
• Former, sensibiliser ou informer votre entourage (famille, collègues) sur les indices qui permettent de repérer un phishing.

Chaque expérience peut devenir une occasion d’améliorer sa propre sécurité numérique et de contribuer à une culture de vigilance partagée. La dénonciation structurée des sites de phishing s’inscrit dans cette démarche : elle ne relève pas de la délation, mais de la protection collective face à des comportements clairement illégaux.