Conseils pratiques

10 mars 2026 · 5 min de lecture · Par DYLETH

Le lien : premier vecteur d'attaque en France

Selon les données de cybermalveillance.gouv.fr, 78 % des attaques de phishing commencent par un clic sur un lien frauduleux. Ce lien arrive par e-mail dans 62 % des cas, par SMS dans 28 % des cas, et via les messageries instantanées ou réseaux sociaux pour le reste.

La force d'un lien malveillant est sa ressemblance avec un lien légitime. Les fraudeurs n'ont pas besoin que leur URL soit parfaite — ils ont besoin qu'elle soit suffisamment convaincante pour déclencher un clic réflexe, sans que vous preniez le temps de l'examiner.

Ce temps d'examen, c'est précisément ce que ce guide veut vous redonner. Avec six indices simples, vous pouvez évaluer n'importe quel lien en dix secondes.

Les 6 indices pour identifier une URL suspecte

Indice 1 — Le domaine principal est mal orthographié

C'est la technique la plus répandue : remplacer ou ajouter un ou deux caractères dans le nom de domaine d'une marque connue. L'œil lit vite et complète automatiquement ce qu'il voit.

Exemples documentés de faux domaines utilisés pour imiter des services français :

  • ameli-sante.fr au lieu de ameli.fr
  • credit-agricol.com au lieu de credit-agricole.fr
  • impots-gouv.net au lieu de impots.gouv.fr
  • la-poste-colis.com au lieu de laposte.fr
  • netf1ix.com (le chiffre 1 remplace la lettre l)

La règle : lisez chaque lettre du domaine principal une par une. Ne faites pas confiance à la reconnaissance globale du mot.

Indice 2 — Le domaine est un sous-domaine trompeur

Cette technique est plus subtile. Un sous-domaine peut contenir le nom d'une marque légitime, ce qui donne l'illusion de visiter le bon site — alors que le vrai domaine est celui juste avant le .com ou .fr.

Comment lire une URL : la règle des domaines

Dans l'URL https://credit-agricole.connexion-securisee.com/login

  • credit-agricole → simple sous-domaine trompeur
  • connexion-securisee.com → le vrai domaine (frauduleux)

Toujours lire l'URL de droite à gauche, depuis le .com ou .fr vers la gauche pour identifier le domaine réel.

Indice 3 — L'extension de domaine est inattendue

Les services publics français et les grandes banques utilisent quasi exclusivement des extensions .fr ou .gouv.fr. Un site qui prétend être "les impôts" en .net, .info, .xyz ou .click est un signal d'alarme immédiat.

Les extensions les plus souvent utilisées dans les campagnes de phishing ciblant des utilisateurs francophones incluent : .com pour imiter des services qui devraient être en .fr, et des extensions génériques comme .online, .site, .top, .cc, ou .tk (gratuit, très utilisé par les fraudeurs).

Indice 4 — L'URL est démesurément longue ou comporte des chaînes de caractères aléatoires

Les URLs légitimes sont généralement courtes et lisibles. Une URL comme :

http://secure-verify.ameli-fr.account-update.xyz/fr/connexion?token=aB7xK2mNpQ9vR&redirect=https://ameli.fr&session=a1b2c3d4e5f6

… contient plusieurs indices d'alerte : sous-domaine trompeur, extension inconnue, paramètres URL suspects, et tentative de redirection vers le vrai site (pour tromper les outils de sécurité).

Les paramètres ?token= très longs, ou la présence d'une adresse d'un vrai site dans l'URL (redirect=https://ameli.fr), sont des indicateurs classiques de tentative de phishing.

Indice 5 — Le protocole est HTTP, pas HTTPS

Tout site qui vous demande des informations personnelles — identifiants, numéro de carte, données médicales — doit absolument utiliser HTTPS (le cadenas dans la barre d'adresse). Un site en HTTP simple transmet vos données en clair sur le réseau.

Attention cependant : HTTPS n'est pas une garantie de légitimité. Les fraudeurs obtiennent facilement des certificats SSL gratuits (via Let's Encrypt) pour leurs sites frauduleux. Un cadenas ne signifie pas que vous êtes sur le bon site — il signifie seulement que la connexion est chiffrée. Vérifiez toujours le domaine en plus du cadenas.

Indice 6 — Le lien a été raccourci

Les raccourcisseurs d'URL comme bit.ly, t.co, tinyurl.com ou rb.gy masquent complètement la destination réelle du lien. Ils sont légitimement utilisés par des marques sur les réseaux sociaux, mais aussi massivement exploités dans les campagnes de phishing par SMS.

Si vous recevez un lien raccourci dans un SMS prétendant venir de La Poste, de votre banque ou de l'Assurance maladie, ne cliquez pas directement. Vous pouvez utiliser un outil de prévisualisation comme checkshorturl.com pour voir la destination réelle avant d'ouvrir le lien.

Ce qu'il faut faire si vous avez déjà cliqué

Si vous avez cliqué sur un lien suspect sans avoir encore saisi d'informations, la situation est récupérable. Fermez l'onglet immédiatement sans remplir aucun champ et sans cliquer sur quoi que ce soit sur la page.

Si vous avez saisi des informations :

  • Identifiants de compte : changez immédiatement votre mot de passe sur le vrai site et activez la double authentification.
  • Données bancaires : contactez votre banque dans l'heure pour faire opposition et surveiller les transactions.
  • Numéro de sécurité sociale : signalez-le à l'Assurance maladie et à la CNIL.

Dans tous les cas, signalez le lien frauduleux sur phishing-initiative.fr et déposez un signalement sur cybermalveillance.gouv.fr. Cela permet de faire retirer le site et de protéger d'autres victimes potentielles.

Comment DYLETH analyse les liens en temps réel

L'analyse manuelle d'une URL demande de l'attention et de la pratique. Dans la vie quotidienne, sur mobile, en faisant plusieurs choses à la fois, il est difficile d'appliquer ces six règles systématiquement pour chaque lien reçu.

DYLETH effectue cette analyse automatiquement, en amont de votre clic. Notre moteur d'analyse d'URLs examine en moins de 75 millisecondes :

  • La structure du domaine (sous-domaines trompeurs, typosquatting)
  • L'âge du domaine (les domaines frauduleux sont souvent enregistrés depuis moins de 30 jours)
  • La présence du domaine dans notre base de 200 millions d'URLs malveillantes connues
  • Les patterns comportementaux caractéristiques du phishing

Si un lien est identifié comme dangereux, DYLETH vous en avertit avant que la page ne s'ouvre. Vous restez maître de la décision, mais vous disposez de l'information pour la prendre en connaissance de cause.

Conclusion

Une URL malveillante se reconnaît à six signaux : domaine mal orthographié, sous-domaine trompeur, extension inattendue, URL anormalement longue, protocole HTTP non sécurisé, et lien raccourci masquant la destination. Lire une URL de droite à gauche, depuis l'extension vers la gauche, est le réflexe le plus efficace à acquérir.

Et pour les millions de liens que vous ne pouvez pas inspecter un par un, DYLETH veille en temps réel — avant que votre doigt ne se pose sur l'écran.

Passez à l'action

Comprendre est la première étape. Se protéger est la seconde.

DYLETH bloque phishing, smishing et URLs malveillantes en temps réel, gratuitement.

Télécharger DYLETHVoir les 9 modules
Comment repérer une URL malveillante avant de cliquer | Blog DYLETH | DYLETH