Comment reconnaître une page de phishing avant de saisir votre mot de passe en 2026

En 2026, 84 % des compromissions de comptes commencent par une page de phishing convaincante. Le bon réflexe n’est pas un meilleur antivirus, c’est une inspection de 5 secondes avant chaque saisie de mot de passe. Ce guide donne 7 signaux concrets, dans l’ordre où il faut les vérifier, et la conduite à tenir si vous avez déjà saisi votre mot de passe sur une page suspecte.

Pourquoi une vérification visuelle reste indispensable en 2026

Les filtres anti-phishing des navigateurs (Safe Browsing, SmartScreen) bloquent en moyenne entre 12 et 36 heures après l’apparition d’une URL malveillante. Les campagnes de phishing modernes exploitent cette fenêtre : elles enregistrent un nom de domaine, l’utilisent pendant 6-10 heures, puis le brûlent. Pendant ce délai, aucun filtre ne vous protège. Seul votre œil le peut.

L’autre angle mort est la généralisation des certificats HTTPS gratuits (Let’s Encrypt) : le cadenas vert dans la barre d’adresse ne signifie plus rien sur la légitimité du site. 79 % des pages de phishing détectées en 2025 affichaient un cadenas valide.

La parade efficace tient en deux gestes. D’abord, un mot de passe unique par compte — ainsi, même si vous tombez dans un piège, le secret volé ne donne accès qu’à un seul service. Un générateur côté client produit un mot de passe unique en 2 secondes sans aucun envoi réseau, ce qui rend l’unicité praticable. Ensuite, l’inspection des 7 signaux ci-dessous avant chaque saisie.

Les 7 signaux à vérifier avant de saisir votre mot de passe

1. L’URL exacte du domaine, pas le sous-domaine

Le piège classique de 2026 est l’attaque par homographe ou par sous-domaine. Exemples réels observés ces 12 derniers mois :

  • paypal.com.security-check.io — le vrai domaine est security-check.io, pas paypal
  • amaz0n-fr.com (avec un zéro à la place du o)
  • microsoft.account-verify.cf (extension .cf gratuite suspecte)
  • gmail-google.support (extension .support non officielle)

Lisez l’URL de droite à gauche : le vrai domaine est ce qui précède immédiatement le premier /. Si ce n’est pas exactement gmail.com, paypal.com, bnpparibas.fr, vous n’êtes pas chez le bon prestataire.

2. La cohérence visuelle avec votre dernière visite

Les pages de phishing récentes sont très bien faites graphiquement, mais elles datent souvent de plusieurs mois. Un logo légèrement obsolète, une typographie qui jure, ou des couleurs un peu plus saturées que d’habitude sont des indices fiables. Si vous utilisez ce service plusieurs fois par semaine, vous remarquerez le décalage en moins de 2 secondes.

3. Le motif de la page : pourquoi vous y êtes ?

Une page de connexion légitime est presque toujours atteinte parce que vous avez tapé son URL ou cliqué sur un favori. Si la page apparaît :

  • après un clic dans un email
  • après un SMS contenant un lien raccourci (bit.ly, t.co)
  • après un QR code scanné
  • après une notification push d’un service que vous n’utilisez plus

…la probabilité de phishing est multipliée par 30 selon les statistiques publiques du CERT-FR. Ne saisissez jamais de mot de passe via ces chemins. Ouvrez un nouvel onglet et tapez l’URL à la main.

4. Le formulaire demande plus que d’habitude

Une vraie page de connexion demande uniquement un identifiant et un mot de passe (et éventuellement un code 2FA après validation). Si la page demande aussi :

  • votre numéro de carte bancaire au moment de la connexion
  • votre numéro de sécurité sociale
  • la réponse à toutes vos questions de sécurité d’un coup
  • une copie de votre carte d’identité

…c’est du phishing. Aucun service légitime ne demande ces informations sur sa page de login.

5. L’absence d’erreur quand vous saisissez n’importe quoi

Test rapide : tapez un mot de passe volontairement faux. Une page légitime renvoie une erreur explicite après 1-2 secondes (« Mot de passe incorrect »). Une page de phishing :

  • accepte tout
  • redirige vers le vrai site en silence (pour vous faire croire que tout va bien)
  • affiche une erreur générique sans préciser ce qui ne va pas
  • demande une vérification supplémentaire « pour la sécurité »

Si la page accepte un mot de passe que vous savez faux, considérez que votre mot de passe réel a été enregistré.

6. Les signaux dans le code source (vérification avancée)

Pour les comptes très sensibles (banque, mail principal), un clic droit → « Afficher la source » donne 3 indices fiables :

  • le formulaire envoie ses données à un domaine différent (<form action="https://...">)
  • la page contient des scripts hébergés sur des CDN inhabituels (tk.io, xyz.cf, IPs brutes)
  • le titre HTML ne correspond pas à la page (« Login - Untitled » au lieu de « Connexion - PayPal »)

Si l’un de ces trois éléments diverge, fermez l’onglet immédiatement.

7. Le sentiment d’urgence dans le contexte

Les campagnes de phishing exploitent toutes la panique cognitive. Les formulations classiques de 2026 :

  • « Votre compte sera suspendu dans 24 h »
  • « Activité suspecte détectée — confirmez maintenant »
  • « Votre colis sera retourné si vous ne validez pas »
  • « Remboursement urgent en attente »

Aucun service sérieux ne fonctionne avec un délai de 24 h sur un mot de passe. Si vous ressentez l’urgence, c’est probablement la cible d’une attaque sociale. Posez le téléphone, prenez 60 secondes, ouvrez un nouvel onglet, vérifiez via l’application officielle.

Que faire si vous avez déjà saisi votre mot de passe sur une page suspecte ?

La règle est claire : changer le mot de passe en moins de 10 minutes, sur le vrai site cette fois. Les attaquants automatisés tentent la connexion dans les 90 secondes après la saisie.

Procédure détaillée :

  1. Ne paniquez pas mais agissez immédiatement. Ouvrez un nouvel onglet, tapez à la main l’URL officielle du service.
  2. Connectez-vous normalement. Si la connexion échoue, l’attaquant a déjà changé le mot de passe : passez à l’étape « récupération de compte ».
  3. Générez un nouveau mot de passe unique. Utilisez un générateur côté client qui produit un mot de passe de 16 caractères ou une passphrase Diceware sans aucun envoi réseau.
  4. Activez le 2FA si ce n’est pas déjà fait. Cela rend le mot de passe volé inutilisable seul.
  5. Vérifiez les sessions actives dans les paramètres du compte. Déconnectez tout sauf votre appareil actuel.
  6. Vérifiez les autres comptes où vous utilisiez le même mot de passe — c’est exactement la raison pour laquelle un mot de passe unique par compte est non négociable. Notre guide des erreurs courantes de mot de passe liste les 10 réflexes à corriger immédiatement.
  7. Vérifiez si votre adresse email apparaît dans une fuite publique. Notre tutoriel pour vérifier une fuite de mot de passe explique la méthode officielle (HaveIBeenPwned).

Pourquoi un générateur côté client renforce votre défense anti-phishing

Un générateur de mot de passe qui fonctionne entièrement dans le navigateur apporte trois bénéfices contre le phishing :

  • aucune base centrale à pirater : votre mot de passe ne quitte jamais votre appareil, contrairement à certains services qui envoient les paramètres au serveur ;
  • un secret unique en 2 secondes : vous n’êtes pas tenté de réutiliser un ancien mot de passe par flemme, ce qui limite radicalement l’impact d’une fuite ;
  • un mode passphrase Diceware : pour les comptes critiques, une passphrase de 6 mots est plus difficile à hameçonner par keylogger qu’un mot de passe court (l’attaquant doit capturer la frappe complète sans interruption).

Comme l’explique notre article dédié sur le pourquoi un générateur côté client est plus sûr, l’absence de backend est l’angle de défense le plus solide en 2026.

FAQ — Reconnaître une page de phishing avant saisie

Le cadenas HTTPS suffit-il à prouver qu’un site est légitime ?

Non. Depuis l’arrivée de Let’s Encrypt en 2016, n’importe qui peut obtenir un certificat HTTPS gratuit en 30 secondes pour son nom de domaine, y compris un domaine de phishing. Le cadenas garantit uniquement que la connexion est chiffrée, pas que l’identité du site est légitime. Un domaine paypal-secure.io peut afficher un cadenas vert sans être PayPal.

Faut-il toujours taper l’URL à la main ?

Pour les comptes sensibles (banque, email principal, gestionnaire de mot de passe), oui — ou utiliser un favori que vous avez vous-même ajouté. Pour les comptes de moindre importance, le réflexe est au minimum de cliquer directement dans l’URL pour la lire complètement avant de saisir quoi que ce soit. Notre guide du mot de passe sécurisé détaille les profils à protéger en priorité.

Un gestionnaire de mot de passe protège-t-il du phishing ?

Oui, en grande partie. Un gestionnaire ne remplit automatiquement vos champs que sur le domaine exact où vous avez enregistré le compte. Si vous arrivez sur paypal-secure.io, le gestionnaire ne propose pas de remplir, ce qui est en soi une alerte forte. Comparez les solutions dans notre comparatif Bitwarden vs 1Password vs KeePass.

Comment savoir si mes mots de passe ont été volés sans que je m’en aperçoive ?

Trois services publics permettent une vérification gratuite : HaveIBeenPwned (haveibeenpwned.com), le service Mot de passe compromis intégré dans Chrome/Edge/Firefox, et le moniteur de fuites de votre gestionnaire de mot de passe. Une vérification mensuelle de votre adresse email principale est suffisante pour détecter les compromissions massives.

Que faire si je ne suis pas sûr et que je n’ai pas le temps de vérifier ?

Le bon réflexe est de ne rien saisir et de revenir plus tard. Aucun service légitime ne disparaît en 10 minutes. Préférez systématiquement passer par l’application mobile officielle ou un favori vérifié plutôt qu’un lien reçu par email ou SMS, surtout si le message contient un délai d’urgence.

Récapitulatif — checklist 5 secondes avant saisie

Avant chaque saisie de mot de passe, vérifiez ces 5 points en 5 secondes :

  1. L’URL exacte se termine bien par le bon domaine
  2. Vous êtes arrivé par un favori ou en tapant l’URL, pas par un lien externe
  3. Le visuel correspond à votre dernière visite
  4. Le formulaire demande uniquement identifiant + mot de passe
  5. Aucun sentiment d’urgence ne vous pousse à aller vite

En cas de doute, fermez l’onglet et utilisez un mot de passe unique généré côté client pour chaque nouveau compte créé. C’est la seule défense qui tient quand toutes les autres tombent. Un blocage côté navigateur réduit aussi les redirections vers des pages de phishing servies via réseaux publicitaires : notre comparatif des adblockers selon la protection des données classe les solutions selon ce critère.