Comment Reconnaître un Courriel d'Hameçonnage : 8 Signes Révélateurs

C'est le premier réflexe à avoir : regardez l'adresse courriel complète de l'expéditeur, pas seulement le nom affiché. Les fraudeurs utilisent des adresses qui ressemblent aux vraies mais comportent de légères différences.

Pour voir l'adresse complète dans Gmail : cliquez sur le nom de l'expéditeur. Dans Outlook : passez la souris dessus ou ouvrez les propriétés du message.

Les courriels frauduleux créent délibérément un sentiment de panique pour vous pousser à agir vite, sans réfléchir. Si vous avez l'impression d'être "obligé" de cliquer dans l'heure, prenez une grande respiration — c'est précisément ce que le fraudeur veut.

Les organisations légitimes (banques, gouvernement, Revenu Québec, Postes Canada) ne vous demanderont jamais d'agir "immédiatement" sous peine de conséquences irrémédiables via un seul courriel.

Ne cliquez jamais sur un lien sans avoir vérifié sa destination réelle. Dans un courriel, le texte affiché d'un lien peut dire "Connexion sécurisée RBC" alors que le lien pointe vers un site frauduleux.

Comment vérifier : Passez la souris sur le lien sans cliquer — l'URL réelle apparaît dans la barre d'état en bas de votre fenêtre (ou en bas de l'écran sur mobile en maintenant le lien). Sur mobile, maintenez le lien appuyé pour voir l'URL avant d'ouvrir.

Les fautes flagrantes sont moins fréquentes qu'avant — les fraudeurs utilisent maintenant des outils d'IA pour améliorer leurs textes. Mais des incohérences subtiles persistent : tournures de phrases inhabituelles, mélange de registres formels/informels, erreurs de majuscules, ou traductions maladroites.

Attention toutefois : l'absence de fautes n'est plus une garantie de légitimité. Les courriels d'hameçonnage les plus sophistiqués (spear phishing) sont rédigés parfaitement.

C'est la règle d'or : aucune organisation légitime ne vous demandera jamais votre mot de passe, votre NIP, votre numéro de carte de crédit complet, ou votre NAS par courriel. Ni votre banque, ni le gouvernement du Canada, ni Revenu Québec, ni Hydro-Québec.

Si un courriel vous demande de "confirmer" ou "mettre à jour" ces informations via un formulaire ou un lien, c'est une tentative de fraude, peu importe à quel point le courriel paraît légitime.

N'ouvrez jamais une pièce jointe que vous n'attendiez pas, même si l'expéditeur vous semble connu — son adresse courriel a peut-être été usurpée ou compromise. Les formats les plus dangereux : .exe, .zip, .docm, .xlsm (fichiers Office avec macros), .pdf (peuvent contenir du code malveillant), .iso.

Les fichiers Word ou Excel avec des macros sont particulièrement vicieux — ils vous demandent d'"activer le contenu" pour afficher le document, ce qui déclenche le malware.

Les courriels promettant des gains impossibles — loteries que vous n'avez pas jouées, héritages de personnes inconnues, remboursements gouvernementaux inattendus, prix de concours auxquels vous n'avez pas participé — sont invariablement des fraudes.

Ces courriels ciblent souvent les personnes vulnérables et peuvent mener à des pertes de plusieurs milliers de dollars si la victime "paie les frais" pour recevoir son "gain".

Les organisations avec lesquelles vous avez une relation utilisent généralement votre prénom et nom dans leurs communications. Un courriel de votre banque qui commence par "Cher(e) client(e)" ou "Cher utilisateur" plutôt que "Bonjour Jean-Pierre Tremblay" est suspect.

Ce signe est moins fiable pour les newsletters ou communications massives légitimes, mais pour toute communication urgente concernant votre compte, l'absence de votre nom est un signal d'alarme.