Définition du phishing : le vocabulaire de l’hameçonnage
Le phishing — ou hameçonnage en français — est une technique de cyberattaque par laquelle un fraudeur usurpe l’identité d’un expéditeur de confiance (banque, administration, opérateur téléphonique) pour inciter la victime à divulguer des informations sensibles : mots de passe, coordonnées bancaires, numéros de carte. Si le terme est aujourd’hui entré dans le langage courant, sa famille lexicale reste souvent floue. Ce glossaire du phishing vous aide à maîtriser tous les mots clés, du plus courant au plus technique, afin de mieux identifier les risques.
Le saviez-vous ? Le mot phishing est une déformation volontaire du mot anglais fishing (pêcher) : les cybercriminels « lancent leur hameçon » dans une mer d’internautes en espérant que certains mordent à l’appât. La lettre ph est un clin d’œil à la culture phreaking des premiers pirates téléphoniques des années 1970.
Définition du phishing : ce qu’il faut retenir
Le phishing repose sur trois piliers : l’usurpation d’identité, la manipulation psychologique (urgence, peur, gain) et un canal de communication numérique (courriel, SMS, appel téléphonique, QR code). L’objectif final est toujours le même : obtenir des données confidentielles ou pousser la victime à réaliser une action néfaste — virer de l’argent, installer un logiciel malveillant, ouvrir une pièce jointe piégée.
Dans sa forme la plus classique, la victime reçoit un courriel frauduleux imitant à la perfection le logo, la mise en page et le ton d’un organisme légitime. Un lien renvoie vers un faux site (souvent une copie conforme du site officiel) où elle entre ses identifiants. Ces informations sont instantanément récupérées par l’attaquant. Pour aller plus loin sur les mécanismes concrets et les signaux d’alerte, consultez notre guide complet pour reconnaître et éviter le phishing.
Hameçonnage et phishing : deux mots, une seule réalité
En France, l’Académie française et les textes officiels privilégient le terme hameçonnage. Dans les faits, phishing et hameçonnage désignent exactement la même pratique malveillante. La Commission nationale de l’informatique et des libertés (CNIL) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) utilisent les deux termes de façon interchangeable dans leurs publications.
Retenir les deux formes est utile : dans un contexte professionnel francophone, parler d’hameçonnage sera plus compris par les directions générales, tandis que phishing reste la référence dans les équipes IT, les audits et les référentiels de sécurité internationaux comme l’ISO/IEC 27001.
À retenir : Dans les contrats d’assurance cyber et les déclarations de sinistre, préférez le terme hameçonnage ou précisez les deux formes (« phishing / hameçonnage »). Une terminologie ambiguë peut ralentir la prise en charge de votre dossier.
Le lexique du phishing : 7 termes essentiels
L’univers du phishing s’est considérablement enrichi depuis les premières attaques des années 1990. Chaque variante exploite un canal différent ou une technique de ciblage spécifique. Voici les sept termes que tout responsable d’entreprise devrait connaître.
| Terme | Canal / Particularité | Définition courte |
|---|---|---|
| Phishing | E-mail de masse | Courriel frauduleux imitant un expéditeur de confiance pour voler des données. |
| Spear phishing | E-mail ciblé | Hameçonnage personnalisé visant une personne ou une organisation précise. |
| Smishing | SMS | Attaque d’hameçonnage menée par message texte (SMS). |
| Vishing | Appel téléphonique | Escroquerie vocale où l’attaquant se fait passer pour un conseiller ou technicien. |
| Spoofing | Usurpation d’identité technique | Falsification d’une adresse e-mail, IP ou numéro de téléphone pour paraître légitime. |
| Pharming | Manipulation DNS | Redirection silencieuse vers un faux site sans que la victime clique sur un lien suspect. |
| Quishing | QR code malveillant | Hameçonnage via un QR code qui redirige vers un site frauduleux. |
Spear phishing
Le spear phishing (hameçonnage ciblé) est une forme avancée où l’attaquant collecte au préalable des informations sur sa cible — nom complet, poste, nom du supérieur hiérarchique, projets en cours — pour rédiger un message parfaitement personnalisé et crédible. Contrairement au phishing de masse, chaque e-mail de spear phishing est unique. C’est la technique privilégiée dans les attaques contre les dirigeants d’entreprise (on parle alors de whaling, ou « chasse à la baleine »).
Smishing
Le smishing (contraction de SMS et de phishing) exploite la confiance que les utilisateurs accordent aux messages texte. Les scénarios les plus fréquents imitent une notification de livraison de colis, une alerte de compte bancaire suspect ou un avis de contravention. Le lien contenu dans le SMS renvoie vers une page frauduleuse collectant les données personnelles ou bancaires de la victime.
Vishing
Le vishing (voice phishing) passe par le canal vocal : téléphone fixe, mobile ou appel VoIP. L’attaquant se présente comme un technicien du support informatique, un agent de la banque ou un représentant de l’administration fiscale. La pression temporelle et la voix humaine rendent cette forme d’hameçonnage particulièrement efficace, notamment auprès des personnes moins familières des arnaques numériques.
Spoofing
Le spoofing (usurpation) est une technique transversale utilisée dans presque toutes les formes de phishing. Il peut s’agir du spoofing d’adresse e-mail (l’expéditeur affiché semble légitime), du spoofing d’adresse IP ou du spoofing de numéro de téléphone (le numéro affiché correspond à celui d’une vraie banque ou d’un vrai service public). Le spoofing n’est pas une attaque en soi, mais le déguisement qui rend les autres attaques crédibles.
Pharming
Le pharming est l’une des formes les plus insidieuses d’hameçonnage car la victime ne clique sur aucun lien suspect. L’attaquant compromet les serveurs DNS ou modifie le fichier hosts de l’ordinateur cible afin de rediriger automatiquement le navigateur vers un faux site, même lorsque l’utilisateur tape manuellement l’adresse correcte. Le pharming nécessite généralement un accès préalable à l’infrastructure réseau ou à la machine de la victime.
Quishing
Le quishing (QR code phishing) est une menace émergente qui exploite la popularité des QR codes. Un code malveillant est placé sur une affiche, dans un e-mail ou en remplacement d’un QR code légitime (borne de paiement, menu de restaurant). En le scannant, la victime est redirigée vers un site frauduleux conçu pour capturer ses données. Le quishing contourne efficacement les filtres anti-phishing classiques qui analysent les liens mais pas les images.
💡 Astuce : Avant de scanner un QR code dans un espace public, vérifiez qu’aucun autocollant n’a été collé par-dessus le code d’origine. Les campagnes de quishing physiques consistent souvent à recouvrir un QR code légitime avec un code frauduleux imprimé sur un simple autocollant.
Pourquoi cette terminologie est importante pour les TPE/PME
Maîtriser le vocabulaire du phishing n’est pas un exercice purement académique. Pour une TPE ou PME, comprendre la différence entre phishing générique, spear phishing ciblé et vishing permet d’adapter la réponse organisationnelle : procédures de vérification, formation des équipes, mise à jour des politiques de sécurité. Un collaborateur qui connaît le terme smishing sera plus vigilant face à un SMS suspect qu’un collaborateur qui ne dispose pas de ce repère.
Par ailleurs, lors d’un incident de sécurité, utiliser les bons termes accélère les échanges avec votre prestataire informatique, votre assureur cyber ou les forces de l’ordre (signalement sur Cybermalveillance.gouv.fr). La précision lexicale réduit les délais de prise en charge et facilite la qualification juridique des faits.
Connaître les termes, c’est bien. Être protégé, c’est mieux.
Diagnostic cybersécurité offert, sans engagement.
Comment les attaquants choisissent-ils leur technique ?
Le choix de la technique dépend de plusieurs facteurs : la cible visée, les ressources de l’attaquant et le niveau de sophistication recherché. Une campagne de phishing de masse par e-mail est peu coûteuse et peut toucher des millions de destinataires en quelques heures. À l’inverse, une attaque de spear phishing contre un directeur financier exige plusieurs jours de préparation (collecte OSINT, rédaction personnalisée, spoofing d’adresse) mais présente un taux de réussite bien supérieur.
Les TPE/PME ne sont pas épargnées par les attaques ciblées : un spear phishing visant le comptable d’une PME pour déclencher un virement frauduleux (aussi appelé fraude au président ou BEC — Business Email Compromise) peut causer des pertes conséquentes. Ces attaques exploitent la confiance hiérarchique et l’urgence artificielle pour court-circuiter les procédures de validation habituelles.
| Type d’attaque | Coût pour l’attaquant | Niveau de ciblage | Exemple de scénario |
|---|---|---|---|
| Phishing de masse | Très faible | Aucun | Faux e-mail « Votre compte Amazon est suspendu » |
| Spear phishing | Moyen à élevé | Individu ou organisation | Faux e-mail du PDG demandant un virement urgent |
| Smishing | Faible | Large ou ciblé | « Votre colis est bloqué, cliquez ici » |
| Vishing | Moyen | Individu | Faux technicien Microsoft demandant un accès à distance |
| Quishing | Faible | Large (contexte physique) | QR code frauduleux collé sur un horodateur de parking |
FAQ — Questions fréquentes sur le phishing
Les questions qui reviennent le plus souvent sur le phishing et ses variantes :
Quelle est la définition exacte du phishing ?
Le phishing (ou hameçonnage) est une technique de fraude en ligne par laquelle un cybercriminel usurpe l’identité d’un organisme de confiance pour tromper une victime et lui soutirer des informations sensibles (identifiants, mots de passe, coordonnées bancaires) ou la pousser à effectuer une action préjudiciable.
Quelle est la différence entre phishing et spear phishing ?
Le phishing classique vise un très grand nombre de destinataires de façon indiscriminée. Le spear phishing, lui, cible une personne ou une organisation précise : le message est personnalisé avec des informations réelles (nom, poste, entreprise) pour être beaucoup plus convaincant.
Qu’est-ce que le smishing ?
Le smishing (SMS + phishing) désigne les attaques d’hameçonnage menées par SMS. La victime reçoit un message l’invitant à cliquer sur un lien ou à rappeler un numéro, sous prétexte d’un colis en attente, d’une amende ou d’une alerte bancaire.
Le pharming est-il la même chose que le phishing ?
Non. Le pharming est une technique distincte : au lieu d’envoyer un lien frauduleux, l’attaquant manipule les serveurs DNS ou le fichier hosts de l’ordinateur de la victime pour la rediriger automatiquement vers un faux site, même si elle tape la bonne adresse dans son navigateur.
Comment se protéger contre le phishing et ses variantes ?
Les bonnes pratiques incluent : vérifier l’adresse réelle de l’expéditeur, ne jamais cliquer sur un lien reçu de façon inattendue, activer l’authentification à deux facteurs, maintenir ses logiciels à jour et sensibiliser ses collaborateurs. Un diagnostic cybersécurité personnalisé permet d’évaluer le niveau de risque réel de votre organisation.
Rédigé par l’équipe cyber-diagnostic.fr — mis à jour le 30 juin 2026.
Laisser un commentaire