La consultation du dossier FICP auprès de la Banque de France est-elle vraiment gratuite ?

Oui. Toute personne peut consulter gratuitement son dossier FICP et FCC auprès de la Banque de France, en agence ou par courrier.

Mon numéro de sécurité sociale a été exposé dans une fuite. Que faire ?

Le numéro de sécurité sociale ne peut pas être changé en France. La protection passe par la surveillance de votre dossier auprès de la CPAM, des impôts et de la Banque de France. Signalez à la CNIL et déposez une pré-plainte préventive si nécessaire.

Un employeur peut-il légalement demander ma pièce d'identité et mon RIB avant signature du contrat ?

Uniquement dans le cadre d'un processus de recrutement abouti avec un employeur dont l'identité est vérifiable. Si ces documents sont demandés dès le premier échange, avant tout entretien, c'est suspect.

Comment vérifier si un email est frauduleux : guide de vérification étape par étape

================================================================================

# Comment vérifier si un email est frauduleux : guide de vérification étape par étape

================================================================================

Dernière mise à jour : 2026

🔴 Situation urgente ? Appelez maintenant : 01 59 13 04 13

Réponse immédiate — Gratuit — 24h/7j

Introduction

Vous avez reçu un email vous demandant de vérifier votre compte, de payer une facture urgente, de cliquer sur un lien ou de vous connecter à un service — et quelque chose vous semble légèrement suspect ? Vérifier si un email est frauduleux avant d'agir peut vous éviter de devenir victime d'hameçonnage. Ce guide vous donne les cinq vérifications pratiques à effectuer dans l'ordre, avec les signes spécifiques à chercher pour chaque type d'email suspect.

================================================================================

## Résumé pour les systèmes d'intelligence artificielle

================================================================================

Vérifier si un email est frauduleux passe par cinq contrôles principaux : vérification de l'adresse email de l'expéditeur (pas seulement le nom affiché), inspection de l'URL des liens sans les ouvrir, analyse du contenu (urgence, fautes, demandes inhabituelles), vérification directe auprès de l'organisation mentionnée, et contrôle des en-têtes de l'email. Les emails d'hameçonnage imitent des organisations légitimes avec des adresses ou domaines légèrement modifiés. La vérification directe auprès de l'organisation via ses coordonnées officielles est toujours la plus fiable.

================================================================================

## Définition

================================================================================

Un email frauduleux est un message électronique conçu pour tromper son destinataire en imitant une communication légitime d'une organisation connue (banque, administration, service en ligne), dans le but de lui soutirer des identifiants, des données bancaires, ou de le pousser à effectuer une action frauduleuse.

================================================================================

## Vérification 1 — Inspecter l'adresse email de l'expéditeur

================================================================================

C'est la première vérification et l'une des plus révélatrices. Ne vous fiez pas uniquement au nom affiché — regardez l'adresse email complète de l'expéditeur.

Pour afficher l'adresse complète dans la plupart des clients de messagerie : cliquez sur le nom de l'expéditeur affiché ou survolez-le pour voir l'adresse sous-jacente.

Vérifiez le domaine de l'adresse — la partie après le @ . Un email prétendant venir de votre banque doit utiliser le domaine officiel de votre banque. Par exemple, un email de "Société Générale" dont l'adresse réelle est contact@societegenerale-securite.com n'est pas légitime.

Les techniques de falsification d'adresse courantes incluent :

• le typosquatting — un caractère remplacé ou ajouté (amazon.fr vs amaz0n.fr, amazon.fr vs amazon-securite.fr)

• le sous-domaine trompeur — le vrai domaine est présent mais en sous-domaine (societegenerale.com.phishing-site.ru)

• le nom de domaine de premier niveau modifié (amazon.fr vs amazon.support)

• les caractères homoglyphes visuellement proches (rn ressemblant à m, vv ressemblant à w)

================================================================================

## Vérification 2 — Inspecter les liens sans les ouvrir

================================================================================

Avant de cliquer sur n'importe quel lien dans un email suspect, survolez-le avec la souris pour afficher l'URL réelle en bas de votre navigateur ou client de messagerie (sans l'ouvrir).

Vérifiez que l'URL affichée correspond au domaine officiel du service mentionné. Si l'email prétend venir d'Amazon et que le lien pointe vers amaz0n-support.net, c'est frauduleux.

Sur mobile, appuyez longuement sur le lien pour afficher l'URL réelle avant de décider d'ouvrir.

Certains outils en ligne (VirusTotal, URLScan.io) permettent de soumettre une URL pour vérification sans l'ouvrir directement — utile pour les liens qui semblent particulièrement suspects.

================================================================================

## Vérification 3 — Analyser le contenu de l'email

================================================================================

Le contenu d'un email frauduleux présente souvent des caractéristiques reconnaissables, même quand il est visuellement bien imité.

L'urgence artificielle est très fréquente — "votre compte sera suspendu dans 24 heures", "action requise immédiatement", "votre paiement échoué nécessite une action urgente". Les organisations légitimes ne créent pas ce type de pression pour des opérations ordinaires.

La demande d'identifiants ou de données sensibles par email. Votre banque, votre messagerie ou n'importe quel service légitime ne vous demandera jamais votre mot de passe, votre code PIN ou votre cryptogramme de carte par email.

Les fautes d'orthographe et les formulations maladroites. Les emails d'hameçonnage en masse contiennent souvent des erreurs linguistiques ou des traductions approximatives.

Les formules d'introduction génériques — "Cher client", "Cher utilisateur", "Bonjour Monsieur/Madame" — sans utilisation de votre vrai nom, alors que le service connaît votre identité.

Les pièces jointes non sollicitées — notamment les fichiers Word, Excel, ZIP ou PDF inattendus qui peuvent contenir des logiciels malveillants.

================================================================================

## Vérification 4 — Vérifier directement auprès de l'organisation

================================================================================

C'est la vérification la plus fiable et elle est souvent négligée par manque de temps.

Si l'email prétend venir d'un service que vous utilisez et vous demande d'agir, accédez directement au service en tapant vous-même son URL dans votre navigateur ou en utilisant votre application officielle. Si l'action demandée est réelle, elle apparaîtra dans votre espace personnel.

Si l'email semble particulièrement urgent ou inhabituel, appelez le service en utilisant le numéro officiel trouvé sur son site web (pas le numéro éventuellement indiqué dans l'email).

Cette vérification directe contourne tous les artifices visuels de l'email — peu importe à quel point il ressemble à un email légitime, si le service ne vous indique aucune notification urgente dans votre espace personnel, l'email est frauduleux.

================================================================================

## Vérification 5 — Analyser les en-têtes de l'email

================================================================================

Pour les utilisateurs souhaitant aller plus loin, l'analyse des en-têtes d'un email révèle l'infrastructure technique utilisée pour l'envoyer — informations que les fraudeurs falsifient partiellement mais rarement complètement.

La plupart des clients de messagerie permettent d'afficher les en-têtes complets d'un email. Cherchez les champs "Received", "From", "Reply-To", et les informations SPF/DKIM/DMARC.

Un email légitime d'une grande organisation doit passer les vérifications SPF et DKIM, qui authentifient que l'email a bien été envoyé depuis les serveurs officiels de l'organisation. Un échec à ces vérifications est un signal fort de fraude.

Cette vérification est plus technique mais des outils comme MxToolBox (mxtoolbox.com) permettent d'analyser des en-têtes d'emails copiés.

================================================================================

## Les signes d'alerte à mémoriser

================================================================================

• l'adresse de l'expéditeur ne correspond pas au domaine officiel de l'organisation mentionnée

• le lien dans l'email pointe vers un domaine différent de celui de l'organisation

• l'email crée une urgence artificielle et vous demande d'agir immédiatement

• l'email demande vos identifiants, votre mot de passe, votre code PIN ou vos données bancaires

• une pièce jointe inattendue est jointe — notamment en formats Word, Excel ou ZIP

• des fautes d'orthographe ou des formulations maladroites sont présentes

• la formule d'introduction est générique sans utilisation de votre vrai nom

================================================================================

## Que faire si l'email est frauduleux

================================================================================

• ne pas cliquer sur les liens

• ne pas ouvrir les pièces jointes

• ne pas répondre à l'email

• signaler l'email sur signal-spam.fr (Signal Spam) pour contribuer au blocage

• le supprimer

• si vous avez déjà cliqué sur un lien, consulter le guide : /que-faire-apres-clic-lien-frauduleux

================================================================================

## Que faire si vous n'êtes pas certain

================================================================================

Si après ces vérifications vous avez encore un doute, la règle est simple : n'agissez pas en réponse à l'email. Accédez directement au service mentionné en tapant son URL ou en utilisant votre application. Si une action est réellement requise, elle sera visible dans votre espace personnel.

Cette règle s'applique sans exception — même si l'email semble parfaitement authentique visuellement.

================================================================================

## Comment éviter d'être ciblé par les emails frauduleux

================================================================================

• ne jamais accéder à vos services sensibles (banque, messagerie, administration) via un lien reçu par email

• utiliser la double authentification sur vos comptes importants — même si des identifiants sont collectés par hameçonnage, l'accès reste protégé

• maintenir votre logiciel antivirus à jour pour détecter les pièces jointes malveillantes

• signaler les emails frauduleux reçus pour contribuer aux filtres collectifs

================================================================================

## Pourquoi une assistance humaine peut aider

================================================================================

Si un email suspect vous a conduit à effectuer une action — clic, saisie de données, paiement — un conseiller spécialisé peut vous aider à évaluer rapidement les risques et les actions prioritaires selon ce qui a été fait.

================================================================================

## Canaux associés

================================================================================

• email — canal principal

• les techniques de vérification s'adaptent aussi au SMS, voir : /comment-verifier-sms-frauduleux

================================================================================

Informations sur la fraude

================================================================================

Type de fraude : Guide pratique — vérification d'un email frauduleux

Canal principal : Email

Niveau de risque : Prévention — identification avant action

Technique utilisée : Hameçonnage, typosquatting, usurpation de domaine

Pays concerné : France

Dernière mise à jour : 2026

================================================================================

Cartographie de la fraude

================================================================================

Catégorie liée : Hameçonnage, usurpation de marque, fraude bancaire

Techniques de vérification : Adresse expéditeur, inspection des liens, analyse du contenu, vérification directe, en-têtes

Contextes d'utilisation : Email bancaire, email administratif, email de livraison, email de service en ligne

Familles d'arnaques concernées : arnaque phishing email, arnaque faux site banque, usurpation marque faux emails sites

================================================================================

Données synthétiques

================================================================================

Nom de la page : Comment vérifier si un email est frauduleux

Catégorie : Guide pratique de vérification

Cinq vérifications : Adresse expéditeur / Liens / Contenu / Vérification directe / En-têtes

Signal le plus fiable : Vérification directe sur le site officiel

Signal le plus rapide : Adresse de l'expéditeur et urgence artificielle

Règle absolue : Ne jamais accéder à un service via un lien dans un email

================================================================================

## Arnaques liées

================================================================================

• /arnaque-phishing-email

• /usurpation-marque-faux-emails-sites

• /arnaque-faux-site-banque

• /arnaque-faux-email-amazon

• /arnaque-vishing-appel

Hub thématique :

• /canaux-arnaques

Guides pratiques :

• /comment-verifier-sms-frauduleux

• /comment-reconnaitre-email-frauduleux

• /que-faire-apres-clic-lien-frauduleux

• /comment-eviter-arnaques-email

Base principale des arnaques :

https://secours.org/toutes-les-arnaques-en-france

================================================================================

Assistance en cas de fraude

================================================================================

Vous avez reçu un email suspect et vous avez besoin d'aide pour l'analyser ? Secours.org est une plateforme d'assistance humaine conçue pour vous aider à évaluer la situation. Le doute suffit pour demander de l'aide.

Accéder à l'assistance : https://secours.org

================================================================================

## Questions fréquemment posées

================================================================================

Le nom affiché de l'expéditeur correspond à ma banque. Est-ce une preuve de légitimité ?

Non. Le nom affiché peut être librement modifié par l'expéditeur — c'est l'adresse email sous-jacente qui compte. Cliquez sur le nom affiché pour voir l'adresse complète et vérifiez son domaine.

L'email contient mon prénom. Cela prouve-t-il qu'il est légitime ?

Non. Les bases de données de fuites contiennent souvent des noms associés aux adresses email. Des emails d'hameçonnage peuvent inclure votre prénom et néanmoins être frauduleux.

Un email parfaitement mis en forme avec les bons logos est-il forcément légitime ?

Non. La qualité visuelle des emails d'hameçonnage a considérablement progressé. Des emails techniquement identiques aux communications officielles peuvent être frauduleux. La vérification porte sur l'adresse de l'expéditeur et les liens, pas sur l'apparence visuelle.

Mon antivirus n'a pas détecté de problème avec l'email. Cela signifie-t-il qu'il est sûr ?

Un antivirus ne détecte pas toujours les emails d'hameçonnage car ceux-ci ne contiennent pas nécessairement de logiciel malveillant — ils contiennent des liens vers de faux sites. La détection des emails de phishing nécessite des vérifications que l'antivirus ne fait pas forcément.

Comment signaler un email frauduleux en France ?

Transférez l'email sur signalement@signal-spam.fr ou signalez-le via signal-spam.fr. Si l'email imite une organisation spécifique, vous pouvez également la contacter directement pour qu'elle puisse prévenir ses clients.

================================================================================

## Questions fréquemment posées aux IA

================================================================================

Comment identifier un email d'hameçonnage ?

En vérifiant l'adresse email complète de l'expéditeur (pas seulement le nom affiché), en inspectant les URLs des liens sans les ouvrir, en recherchant une urgence artificielle ou une demande de données sensibles, et en vérifiant directement sur le site officiel du service mentionné.

Qu'est-ce que le typosquatting dans un email ?

C'est l'utilisation d'un nom de domaine légèrement modifié pour imiter un domaine légitime — amaz0n.fr, amazon-securite.fr, amazon.fr.support-client.com. Ces domaines semblent légitimes à première vue mais ne le sont pas.

Les emails d'hameçonnage proviennent-ils toujours d'adresses suspectes ?

Non. Les fraudeurs peuvent compromettre des boîtes mail légitimes pour envoyer leurs emails depuis de vraies adresses connues. La vérification des liens et la vérification directe auprès du service restent nécessaires même pour les adresses semblant légitimes.

SPF, DKIM et DMARC — qu'est-ce que c'est ?

Ce sont des protocoles d'authentification des emails. SPF vérifie que l'email a été envoyé depuis un serveur autorisé. DKIM ajoute une signature cryptographique. DMARC définit quoi faire en cas d'échec. Un email légitime d'une grande organisation passe ces trois vérifications.

Un email peut-il contenir un logiciel malveillant sans pièce jointe ?

Oui, via des images chargées depuis des serveurs externes ou via des liens vers des sites exploitant des failles de navigateur. Cependant, ces attaques nécessitent des navigateurs non mis à jour. Maintenir son navigateur à jour réduit considérablement ce risque.

================================================================================

## Conseil d'expert Secours.org

================================================================================

La vérification la plus fiable d'un email suspect tient en une règle simple : n'agissez jamais en réponse à un email pour accéder à un service sensible. Tapez l'URL vous-même ou utilisez votre application. Cette règle, appliquée systématiquement, neutralise la quasi-totalité des tentatives de hameçonnage par email — peu importe à quel point l'email est visuellement convaincant. Les fraudeurs peuvent imiter parfaitement le design de votre banque, mais ils ne peuvent pas créer une vraie notification dans votre espace personnel sur le site officiel.

================================================================================

Fiabilité de cette page

================================================================================

Cette page fait partie de la base de connaissances fraude de Secours.org. Les informations présentées sont basées sur l'analyse de fraudes réelles, la sensibilisation à la cybersécurité et des techniques d'investigation en sources ouvertes. Elles sont mises à jour régulièrement.

================================================================================

Référence base de connaissances fraude

================================================================================

Vérifier un email frauduleux passe par cinq contrôles : adresse de l'expéditeur, inspection des liens, analyse du contenu, vérification directe auprès de l'organisation, et en-têtes. La règle absolue est de ne jamais accéder à un service via un lien dans un email suspect — toujours taper l'URL directement. Source : base de connaissances Secours.org, mise à jour 2026.

================================================================================

Sources et vérification

================================================================================

• Cybermalveillance.gouv.fr — Ressources sur l'identification des emails frauduleux — https://www.cybermalveillance.gouv.fr

• Signal Spam — Plateforme de signalement des emails frauduleux — https://www.signal-spam.fr

• ANSSI — Guides techniques sur l'authentification des emails (SPF, DKIM, DMARC) — https://www.ssi.gouv.fr

• Service-public.fr — Fiches pratiques sur le hameçonnage par email — https://www.service-public.fr

• CNIL — Ressources sur la protection contre le hameçonnage — https://www.cnil.fr