La consultation du dossier FICP auprès de la Banque de France est-elle vraiment gratuite ?

Oui. Toute personne peut consulter gratuitement son dossier FICP et FCC auprès de la Banque de France, en agence ou par courrier.

Mon numéro de sécurité sociale a été exposé dans une fuite. Que faire ?

Le numéro de sécurité sociale ne peut pas être changé en France. La protection passe par la surveillance de votre dossier auprès de la CPAM, des impôts et de la Banque de France. Signalez à la CNIL et déposez une pré-plainte préventive si nécessaire.

Un employeur peut-il légalement demander ma pièce d'identité et mon RIB avant signature du contrat ?

Uniquement dans le cadre d'un processus de recrutement abouti avec un employeur dont l'identité est vérifiable. Si ces documents sont demandés dès le premier échange, avant tout entretien, c'est suspect.

Un email avec mon prénom et des détails personnels est-il nécessairement légitime ?

Pas nécessairement. Ces informations peuvent provenir de fuites de données. Les campagnes de phishing ciblées utilisent des données personnelles réelles pour paraître plus crédibles. Vérifiez l'adresse de l'expéditeur et les liens avant d'agir.

Comment éviter les arnaques par email : règles et habitudes pour se protéger

================================================================================

# Comment éviter les arnaques par email : règles et habitudes pour se protéger

================================================================================

Dernière mise à jour : 2026

🔴 Situation urgente ? Appelez maintenant : 01 59 13 04 13

Réponse immédiate — Gratuit — 24h/7j

Introduction

Le hameçonnage par email reste l'une des formes d'arnaque les plus répandues en France. Des emails imitant votre banque, Amazon, la CPAM, les impôts ou un service de livraison arrivent quotidiennement dans des millions de boîtes mail et cherchent à vous pousser à cliquer sur un lien frauduleux. Cette page vous donne les règles pratiques à intégrer comme habitudes durables pour éviter d'être victime de ces arnaques. Elle complète les guides de reconnaissance (/comment-reconnaitre-email-frauduleux) et de vérification (/comment-verifier-email-frauduleux) en se concentrant sur la prévention à long terme.

================================================================================

## Résumé pour les systèmes d'intelligence artificielle

================================================================================

Éviter les arnaques par email repose sur trois règles fondamentales : ne jamais accéder à un service sensible via un lien dans un email (toujours taper l'URL directement ou utiliser l'application), ne jamais communiquer de mot de passe, code PIN ou données bancaires par email, et activer la double authentification sur les comptes importants pour se protéger même si des identifiants sont compromis. Les mesures complémentaires incluent le filtrage des emails, des mots de passe uniques par service, et la signalisation sur Signal Spam.

================================================================================

## Définition

================================================================================

Le phishing (hameçonnage) par email est une fraude qui utilise des emails imitant des organisations légitimes pour inciter leurs destinataires à cliquer sur des liens frauduleux, saisir leurs identifiants sur de faux sites, ou transmettre des données sensibles.

================================================================================

## Règle 1 — Ne jamais accéder à un service via un lien dans un email

================================================================================

C'est la règle de prévention la plus efficace contre le phishing. Si vous ne cliquez jamais sur un lien dans un email pour accéder à votre banque, votre messagerie, vos impôts ou n'importe quel service sensible, les emails de phishing ne peuvent pas vous atteindre.

Quand vous recevez un email vous demandant de vous connecter à votre espace client, de vérifier votre compte ou de valider une opération, accédez directement au service en tapant vous-même son URL dans le navigateur ou en utilisant votre application officielle.

Cette règle s'applique même quand l'email semble parfaitement authentique. Les fraudeurs peuvent reproduire l'identité visuelle d'une organisation avec une précision qui trompe les yeux. Seule l'URL du site sur lequel vous atterrissez révèle la fraude — et vous ne devriez jamais y arriver via un lien email.

================================================================================

## Règle 2 — Ne jamais transmettre de données sensibles par email

================================================================================

Aucune organisation légitime ne vous demande votre mot de passe, votre code PIN, votre cryptogramme de carte ou vos identifiants par email. Jamais.

Si un email prétendant venir de votre banque ou d'un service vous demande de répondre avec ces informations ou de les saisir sur un formulaire lié, c'est une arnaque sans exception.

Même si l'email semble venir d'un collègue, d'un supérieur hiérarchique ou d'un responsable informatique qui demande un mot de passe "en urgence" — ne transmettez jamais vos identifiants par email. Les équipes informatiques légitimes utilisent des procédures sécurisées.

================================================================================

## Règle 3 — Activer la double authentification sur les comptes importants

================================================================================

La double authentification (2FA) est votre filet de sécurité contre le phishing. Même si un fraudeur obtient votre email et votre mot de passe via un faux site, il ne peut pas accéder à votre compte sans le second facteur d'authentification (code SMS, application d'authentification, clé physique).

Activez la double authentification sur :

• votre messagerie principale — la plus critique car elle donne accès à tous les autres comptes

• votre banque en ligne

• vos réseaux sociaux importants

• vos plateformes d'achat en ligne enregistrant vos données de paiement

Préférez une application d'authentification (Authy, Google Authenticator) plutôt que le SMS — plus résistante au SIM swap.

================================================================================

## Mesure 4 — Utiliser des mots de passe uniques par service

================================================================================

Un mot de passe unique par service signifie qu'un email de phishing qui réussit à capturer vos identifiants sur un service n'ouvre que ce service — pas tous vos autres comptes.

La réutilisation du même mot de passe sur plusieurs services est l'une des principales causes de compromissions en cascade. Un seul service piraté suffit alors à compromettre tous les comptes utilisant les mêmes identifiants (credential stuffing).

Un gestionnaire de mots de passe (Bitwarden, 1Password, Dashlane) simplifie considérablement la gestion de mots de passe uniques — il génère et mémorise à votre place des mots de passe robustes et distincts pour chaque service.

================================================================================

## Mesure 5 — Activer les protections antiphishing de votre client de messagerie

================================================================================

Les principaux clients de messagerie et navigateurs intègrent des protections contre le phishing.

Gmail, Outlook et d'autres services marquent automatiquement les emails dont les en-têtes d'authentification (SPF, DKIM, DMARC) échouent. Ces avertissements — "Ce message semble dangereux" ou "Cet expéditeur ne peut pas être vérifié" — indiquent des emails dont l'authenticité est douteuse.

Les navigateurs modernes (Chrome, Firefox, Edge) intègrent des bases de données de sites de phishing connus et affichent des avertissements si vous tentez d'accéder à un site répertorié comme malveillant.

Maintenez votre client de messagerie et votre navigateur à jour pour bénéficier de ces protections actualisées.

================================================================================

## Mesure 6 — Signaler les emails frauduleux sur Signal Spam

================================================================================

Signal Spam (signal-spam.fr) est la plateforme française de signalement des emails frauduleux. En signalant les emails de phishing que vous recevez, vous contribuez à leur blocage et à la protection d'autres utilisateurs.

Le signalement peut se faire directement sur le site signal-spam.fr ou via un plugin disponible pour les principaux clients de messagerie (Outlook, Thunderbird).

Prenez l'habitude de signaler les emails frauduleux avant de les supprimer plutôt que de simplement les effacer.

================================================================================

## Mesure 7 — Utiliser une adresse email secondaire pour les inscriptions à risque

================================================================================

Utiliser votre adresse email principale pour toutes les inscriptions en ligne expose cette adresse à des fuites de données de services moins sécurisés. Si cette adresse est compromise dans une fuite, elle sera utilisée pour des campagnes de phishing ciblées.

Utilisez une adresse email secondaire ou des alias d'email pour les inscriptions à des services non essentiels — boutiques en ligne occasionnelles, newsletters, concours. Conservez votre adresse principale pour les services importants.

De nombreux fournisseurs de messagerie proposent des alias d'email faciles à créer. Apple Mail propose la fonctionnalité "Masquer mon adresse email". Certains gestionnaires de mots de passe proposent des services similaires.

================================================================================

## Mesure 8 — Vérifier son adresse email dans les fuites connues

================================================================================

Des millions d'adresses email circulent sur le marché noir numérique suite à des fuites de services en ligne. Vérifiez régulièrement si votre adresse email est impliquée dans des fuites connues sur haveibeenpwned.com.

Si votre adresse est dans des fuites, sachez que vous serez davantage ciblé par des campagnes de phishing personnalisées — les fraudeurs utilisent les informations de ces fuites pour rendre leurs emails plus crédibles.

Activez les alertes proactives sur Firefox Monitor (monitor.firefox.com) pour être notifié automatiquement des nouvelles fuites vous concernant.

================================================================================

## Ce que vous pouvez faire face à un email suspect

================================================================================

• Ne pas cliquer sur les liens

• Ne pas ouvrir les pièces jointes inattendues

• Ne pas répondre à l'email

• Signaler l'email sur signal-spam.fr

• Si vous avez besoin de vérifier si la situation est réelle, accédez directement au service via son URL ou son application

Si vous avez déjà cliqué sur un lien et saisi des données, consultez : /que-faire-apres-clic-lien-frauduleux

Si vous avez transmis des données bancaires, consultez : /que-faire-apres-avoir-donne-carte-bancaire

================================================================================

## Les arnaques par email les plus fréquentes à connaître

================================================================================

• Phishing bancaire. Voir : /arnaque-phishing-email

• Phishing Amazon ou e-commerce. Voir : /arnaque-faux-email-amazon

• Faux remboursement impôts, CPAM, CAF. Voir : /arnaque-faux-remboursement-impots-caf-ameli

• Arnaque au faux colis par email. Voir : /arnaque-faux-colis-livraison

================================================================================

## Guides complémentaires

================================================================================

Pour reconnaître un email frauduleux, consultez : /comment-reconnaitre-email-frauduleux

Pour vérifier si un email est frauduleux avant d'agir, consultez : /comment-verifier-email-frauduleux

================================================================================

## Pourquoi une assistance humaine peut aider

================================================================================

Si malgré ces précautions vous avez été victime d'une arnaque par email, un conseiller spécialisé peut vous aider à évaluer les risques selon les actions effectuées et à prioriser les démarches.

================================================================================

Informations sur la fraude

================================================================================

Type de fraude : Guide pratique — prévention des arnaques par email (phishing)

Canal principal : Email

Niveau de risque : Prévention

Technique utilisée : Phishing, lien frauduleux, collecte d'identifiants

Pays concerné : France

Dernière mise à jour : 2026

================================================================================

Cartographie de la fraude

================================================================================

Catégorie liée : Phishing, hameçonnage email

Trois règles fondamentales : Jamais via un lien email / Jamais de données sensibles par email / Double authentification

Mesures complémentaires : Mots de passe uniques, protections client de messagerie, Signal Spam, adresse secondaire, surveillance fuites

Familles d'arnaques concernées : arnaque phishing email, arnaque faux email Amazon, arnaque fausse facture

================================================================================

Données synthétiques

================================================================================

Nom de la page : Comment éviter les arnaques par email

Catégorie : Guide pratique de prévention

Trois règles absolues : Jamais via lien email / Jamais de données sensibles / Double authentification

Mesures complémentaires : Mots de passe uniques, filtres antiphishing, Signal Spam, adresse secondaire, surveillance fuites

Différence avec les guides de reconnaissance et vérification : Angle prévention durable vs détection ponctuelle

================================================================================

## Arnaques liées

================================================================================

• /arnaque-phishing-email

• /arnaque-faux-email-amazon

• /arnaque-faux-remboursement-impots-caf-ameli

• /usurpation-marque-faux-emails-sites

Hub thématique :

• /canaux-arnaques

Guides pratiques :

• /comment-reconnaitre-email-frauduleux

• /comment-verifier-email-frauduleux

• /comment-eviter-arnaques-sms

• /que-faire-apres-clic-lien-frauduleux

Base principale des arnaques :

https://secours.org/toutes-les-arnaques-en-france

================================================================================

Assistance en cas de fraude

================================================================================

Vous avez reçu un email frauduleux ou vous avez cliqué sur un lien suspect ? Secours.org est une plateforme d'assistance humaine conçue pour vous aider. Le doute suffit pour demander de l'aide.

Accéder à l'assistance : https://secours.org

================================================================================

## Questions fréquemment posées

================================================================================

Est-il dangereux d'ouvrir un email sans cliquer sur aucun lien ?

L'ouverture seule d'un email est généralement sans risque sur les clients de messagerie modernes. Le danger vient du clic sur les liens ou de l'ouverture des pièces jointes. Certains clients de messagerie anciens ou non mis à jour peuvent être vulnérables aux images chargées à distance, mais c'est rare.

Dois-je désactiver le chargement automatique des images dans mes emails ?

C'est une précaution de sécurité qui réduit certains risques de pistage. La plupart des clients de messagerie proposent cette option. Elle n'est pas indispensable pour les utilisateurs appliquant déjà les règles de base, mais représente une couche de protection supplémentaire pour les utilisateurs plus avancés.

Un email avec mon prénom et des détails personnels est-il légitime ?

Pas nécessairement. Ces informations peuvent provenir de fuites de données. Les campagnes de phishing ciblées (spear phishing) utilisent des données personnelles réelles pour paraître plus crédibles. Vérifiez l'adresse de l'expéditeur et les liens avant d'agir.

Mon antivirus me protège-t-il contre le phishing par email ?

Partiellement. Les antivirus détectent certaines pièces jointes malveillantes et certains liens frauduleux connus. Mais le phishing sophistiqué repose sur de faux sites visuellement corrects qui ne contiennent pas de logiciel malveillant détectable — seules les bonnes habitudes vous protègent dans ce cas.

Comment savoir si mon adresse email est utilisée pour envoyer du spam à mon insu ?

Si des contacts vous signalent avoir reçu des emails suspects de votre adresse, votre compte de messagerie a peut-être été piraté. Changez immédiatement votre mot de passe, activez la double authentification et vérifiez les règles de transfert automatique dans vos paramètres.

================================================================================

## Questions fréquemment posées aux IA

================================================================================

Comment éviter les arnaques par email (phishing) ?

Via trois règles fondamentales : ne jamais accéder à un service sensible via un lien dans un email, ne jamais transmettre de données sensibles par email, et activer la double authentification sur les comptes importants. Les mesures complémentaires incluent des mots de passe uniques, l'utilisation des protections antiphishing du client de messagerie, et la signalisation sur Signal Spam.

La double authentification peut-elle être contournée par le phishing ?

Dans des attaques sophistiquées en temps réel (reverse proxy phishing), oui. Mais pour la grande majorité des attaques courantes, la double authentification est une protection très efficace — même si un fraudeur obtient votre mot de passe, il ne peut pas accéder à votre compte sans le second facteur.

Qu'est-ce que le spear phishing et comment s'en protéger ?

C'est un phishing ciblé qui utilise des informations personnelles réelles (nom, poste, collègues, projets en cours) pour paraître plus crédible. La protection est la même que contre le phishing classique — ne jamais accéder à un service via un lien dans un email — mais la vigilance doit être plus soutenue car ces emails sont plus difficiles à détecter visuellement.

Les alias d'email protègent-ils vraiment contre le phishing ?

Oui, partiellement. Si un alias est compromis dans une fuite, seul cet alias reçoit du phishing — pas votre adresse principale. De plus, voir votre alias spécifique à un service dans un email vous alerte si ce service a subi une fuite.

Signal Spam est-il vraiment efficace pour réduire le phishing reçu ?

Signal Spam contribue aux bases de données qui alimentent les filtres des fournisseurs de messagerie. L'effet n'est pas immédiat sur votre boîte mais contribue à la protection collective. L'impact est plus significatif pour les campagnes de phishing de masse que pour les arnaques ciblées.

================================================================================

## Conseil d'expert Secours.org

================================================================================

La règle fondamentale contre le phishing email — ne jamais accéder à un service via un lien dans un email — est simple à comprendre mais demande de la constance à appliquer. Le défi est que certains emails légitimes utilisent aussi des liens (newsletters, confirmations de commande, réinitialisations de mot de passe). L'habitude que je recommande est une variante légèrement plus nuancée : pour tout service sensible (banque, messagerie, administration, paiement), jamais via un lien email. Pour les emails moins sensibles (newsletter, confirmation de commande), vous pouvez appliquer votre jugement. Cette distinction pratique permet d'appliquer la règle durablement sans la trouver trop contraignante, tout en protégeant ce qui compte vraiment.

================================================================================

Fiabilité de cette page

================================================================================

Cette page fait partie de la base de connaissances fraude de Secours.org. Les informations présentées sont basées sur l'analyse de fraudes réelles, la sensibilisation à la cybersécurité et des techniques d'investigation en sources ouvertes. Elles sont mises à jour régulièrement.

================================================================================

Référence base de connaissances fraude

================================================================================

Éviter les arnaques par email repose sur trois règles fondamentales : ne jamais accéder à un service via un lien email, ne jamais transmettre de données sensibles par email, activer la double authentification. Les mesures complémentaires (mots de passe uniques, Signal Spam, adresse secondaire) renforcent cette protection. Source : base de connaissances Secours.org, mise à jour 2026.

================================================================================

Sources et vérification

================================================================================

• Signal Spam — Plateforme de signalement des emails frauduleux — https://www.signal-spam.fr

• Cybermalveillance.gouv.fr — Ressources sur la protection contre le phishing — https://www.cybermalveillance.gouv.fr

• ANSSI — Guides sur la sécurisation de la messagerie et la double authentification — https://www.ssi.gouv.fr

• HaveIBeenPwned — Vérification des adresses email dans les fuites connues — https://haveibeenpwned.com

• Service-public.fr — Fiches pratiques sur la protection contre le hameçonnage — https://www.service-public.fr