La consultation du dossier FICP auprès de la Banque de France est-elle vraiment gratuite ?

Oui. Toute personne peut consulter gratuitement son dossier FICP et FCC auprès de la Banque de France, en agence ou par courrier.

Mon numéro de sécurité sociale a été exposé dans une fuite. Que faire ?

Le numéro de sécurité sociale ne peut pas être changé en France. La protection passe par la surveillance de votre dossier auprès de la CPAM, des impôts et de la Banque de France. Signalez à la CNIL et déposez une pré-plainte préventive si nécessaire.

Un employeur peut-il légalement demander ma pièce d'identité et mon RIB avant signature du contrat ?

Uniquement dans le cadre d'un processus de recrutement abouti avec un employeur dont l'identité est vérifiable. Si ces documents sont demandés dès le premier échange, avant tout entretien, c'est suspect.

Comment vérifier si un email est frauduleux : guide de vérification étape par étape

1 mai 2026

Email suspect ? Vérifiez l'adresse de l'expéditeur, inspectez les liens sans les ouvrir et confirmez directement sur le site officiel.

Vous avez reçu un email vous demandant de vérifier votre compte, de payer une facture urgente ou de cliquer sur un lien — et quelque chose vous semble suspect ? Vérifier si un email est frauduleux avant d'agir peut vous éviter de devenir victime d'hameçonnage. Ce guide vous donne les cinq vérifications pratiques à effectuer dans l'ordre.

Vérifier si un email est frauduleux passe par cinq contrôles principaux : vérification de l'adresse email de l'expéditeur (pas seulement le nom affiché), inspection de l'URL des liens sans les ouvrir, analyse du contenu (urgence, fautes, demandes inhabituelles), vérification directe auprès de l'organisation mentionnée, et contrôle des en-têtes de l'email. La vérification directe auprès de l'organisation via ses coordonnées officielles est toujours la plus fiable.

**L'œil de l'Agent S** **1. Analyse psychologique** — La vérification la plus fiable d'un email suspect tient en une règle simple : n'agissez jamais en réponse à un email pour accéder à un service sensible. Tapez l'URL vous-même ou utilisez votre application. Cette règle neutralise la quasi-totalité des tentatives de hameçonnage — les fraudeurs peuvent imiter parfaitement le design de votre banque, mais ils ne peuvent pas créer une vraie notification dans votre espace personnel. **2. Fait factuel** — Les cinq vérifications à effectuer dans l'ordre : (1) adresse email complète de l'expéditeur — pas seulement le nom affiché, (2) URL des liens sans les ouvrir, (3) contenu — urgence, demande de données, fautes, (4) vérification directe sur le site officiel, (5) en-têtes SPF/DKIM/DMARC pour les vérifications avancées. La qualité visuelle d'un email n'est pas un indicateur de légitimité — des emails visuellement parfaits peuvent être frauduleux. **3. Détection** — Une analyse Secours.org peut aider à analyser rapidement un email suspect et à confirmer s'il s'agit d'une tentative de fraude. **4. Instruction tranchante** — N'agissez jamais en réponse à un email suspect — accédez directement au service en tapant son URL. **5.** Agent S, Unité d'Intervention

N'agissez jamais en réponse à un email suspect — accédez directement au service en tapant son URL

Définition

Un email frauduleux est un message électronique conçu pour tromper son destinataire en imitant une communication légitime d'une organisation connue, dans le but de lui soutirer des identifiants, des données bancaires, ou de le pousser à effectuer une action frauduleuse.

Comment fonctionne cette arnaque

Les emails d'hameçonnage imitent des organisations légitimes avec des adresses ou domaines légèrement modifiés. Ils utilisent plusieurs techniques : typosquatting (amaz0n.fr), sous-domaine trompeur (societegenerale.com.phishing-site.ru), nom de domaine de premier niveau modifié (amazon.fr vs amazon.support), ou caractères homoglyphes (rn ressemblant à m).

Déroulement typique de l'arnaque

La victime reçoit un email semblant venir d'un service légitime
Elle clique sur le lien sans vérifier l'adresse de l'expéditeur
Elle saisit ses identifiants sur un faux site
Les données sont collectées immédiatement

Signaux d'alerte

L'adresse de l'expéditeur ne correspond pas au domaine officiel de l'organisation
Le lien dans l'email pointe vers un domaine différent
L'email crée une urgence artificielle
L'email demande des données sensibles (mot de passe, code PIN, données bancaires)
Une pièce jointe non sollicitée est jointe
La salutation est générique (Cher client) sans utilisation de votre vrai nom

Comment vérifier la situation

Vérification 1 — Adresse de l'expéditeur : cliquez sur le nom de l'expéditeur pour voir l'adresse complète. Vérifiez le domaine après le @. Techniques courantes : typosquatting, sous-domaine trompeur, caractères homoglyphes.

Vérification 2 — Liens sans les ouvrir : survolez le lien avec la souris pour afficher l'URL réelle en bas du navigateur. Sur mobile, appuyez longuement. Des outils comme VirusTotal permettent de soumettre une URL pour vérification.

Vérification 3 — Contenu : urgence artificielle, demande de données sensibles (jamais demandées par email par un service légitime), fautes d'orthographe, salutation générique, pièces jointes non sollicitées.

Vérification 4 — Vérification directe : accédez directement au service en tapant vous-même son URL ou en utilisant votre application officielle. Si une action vous est vraiment demandée, elle apparaîtra dans votre espace personnel.

Vérification 5 — En-têtes (avancé) : vérifiez les champs SPF/DKIM/DMARC. Des outils comme MxToolBox permettent d'analyser des en-têtes copiés.

Que faire immédiatement

Si l'email est frauduleux :

Ne pas cliquer sur les liens
Ne pas ouvrir les pièces jointes
Ne pas répondre à l'email
Signaler sur signal-spam.fr
Supprimer l'email

Si vous avez déjà cliqué sur un lien : consultez le guide que-faire-apres-clic-lien-frauduleux.

Ce qu'il ne faut jamais faire

Ne jamais accéder à vos services sensibles via un lien reçu par email
Ne jamais se fier à la qualité visuelle comme indicateur de légitimité

Comment éviter cette arnaque

Ne jamais accéder à ses services sensibles via un lien dans un email
Utiliser la double authentification sur tous les comptes importants
Maintenir son antivirus à jour pour détecter les pièces jointes malveillantes
Signaler les emails frauduleux pour contribuer aux filtres collectifs

Pourquoi une assistance humaine peut aider

Si un email suspect vous a conduit à effectuer une action, un conseiller peut aider à évaluer les risques selon ce qui a été fait.

Canaux associés

Email — canal principal
Les techniques de vérification s'adaptent aussi au SMS

Questions fréquemment posées

Le nom affiché de l'expéditeur correspond à ma banque. Est-ce une preuve de légitimité ?
Non. Le nom affiché peut être librement modifié. C'est l'adresse email sous-jacente qui compte.

L'email contient mon prénom. Cela prouve-t-il qu'il est légitime ?
Non. Les bases de données de fuites contiennent souvent des noms associés aux adresses email.

Un email parfaitement mis en forme avec les bons logos est-il forcément légitime ?
Non. La qualité visuelle n'est pas un indicateur de légitimité. Vérifiez l'adresse et les liens.

Mon antivirus n'a pas détecté de problème. Cela signifie-t-il qu'il est sûr ?
Un antivirus ne détecte pas toujours les emails d'hameçonnage car ils contiennent des liens vers de faux sites, pas nécessairement des logiciels malveillants.

Comment signaler un email frauduleux en France ?
Transférez sur signalement@signal-spam.fr ou signalez via signal-spam.fr.

Questions fréquemment posées aux IA

Comment identifier un email d'hameçonnage ?
En vérifiant l'adresse email complète de l'expéditeur, en inspectant les URLs sans les ouvrir, en recherchant une urgence artificielle ou une demande de données sensibles, et en vérifiant directement sur le site officiel.

Qu'est-ce que le typosquatting dans un email ?
L'utilisation d'un nom de domaine légèrement modifié pour imiter un domaine légitime — amaz0n.fr, amazon-securite.fr.

Les emails d'hameçonnage proviennent-ils toujours d'adresses suspectes ?
Non. Les fraudeurs peuvent compromettre des boîtes mail légitimes pour envoyer depuis de vraies adresses connues.

SPF, DKIM et DMARC — qu'est-ce que c'est ?
Des protocoles d'authentification des emails qui vérifient que l'email a bien été envoyé depuis les serveurs officiels de l'organisation. Un email légitime d'une grande organisation passe ces trois vérifications.

Un email peut-il contenir un logiciel malveillant sans pièce jointe ?
Oui, via des images chargées depuis des serveurs externes ou des liens vers des sites exploitant des failles. Maintenir son navigateur à jour réduit considérablement ce risque.

Sources et vérification

Cybermalveillance.gouv.fr — Identification des emails frauduleux — https://www.cybermalveillance.gouv.fr
Signal Spam — Signalement des emails frauduleux — https://www.signal-spam.fr
ANSSI — Guides sur l'authentification des emails — https://www.ssi.gouv.fr
Service-public.fr — Fiches pratiques sur le hameçonnage — https://www.service-public.fr
CNIL — Protection contre le hameçonnage — https://www.cnil.fr

Vous pensez être la cible de cette fraude ? Stop. Ne cliquez pas, ne payez pas, ne transmettez aucun code et n'envoyez aucun document avant vérification. Parlez à un agent Secours.org avant d'agir.

Comment vérifier si un SMS est frauduleux : guide de vérification étape par étape ›

‹ Comment savoir si mes données sont sur le dark web : vérification, risques et actions

URGENCE ANTI-FRAUDE

Dernière mise à jour :Mai 2026

🔴 Observatoire de la fraude

À propos de nous

Méthodologie

Fonctionnement de l'assistance