Signaler un mail frauduleux : guide complet
L'hameçonnage représente aujourd'hui la principale menace numérique pour les particuliers et les professionnels en France. Un simple courriel imitant votre banque, votre administration fiscale ou un service de livraison peut suffire à vider un compte bancaire ou déclencher une usurpation d'identité. Signaler un mail frauduleux n'est pas un geste anodin : chaque signalement limite le nombre de victimes et aide les autorités à identifier les cybercriminels à l'origine des arnaques. Ce guide complet vous accompagne pas à pas, de la détection d'un message suspect jusqu'aux démarches judiciaires en cas de préjudice réel.
Comment reconnaître un mail frauduleux ?
Plusieurs signaux trahissent immédiatement une tentative de phishing. L'adresse mail de l'expéditeur ne ressemble pas à celle d'un organisme officiel ou d'un service connu : une lettre manquante, un domaine inhabituel, un nom de messagerie incohérent. Les fautes d'orthographe et de grammaire dans le corps du message restent un indice classique, même si les cybercriminels les corrigent de plus en plus.
Les scénarios les plus courants incluent une fausse annonce de remboursement d'impôts, une demande urgente de règlement d'une contravention, un problème d'acheminement de colis ou une prétendue alerte de sécurité sur un compte bancaire. Face à un lien suspect, ne cliquez jamais : depuis un ordinateur, passez simplement le curseur dessus pour afficher l'URL complète et comparez-la avec l'adresse officielle du site.
Votre antivirus à jour peut détecter un message frauduleux à la réception. Les navigateurs comme Chrome, Safari ou Firefox publient parfois un message d'alerte visible pendant une durée maximale de 3 mois. Ne téléchargez jamais une pièce jointe d'un expéditeur inconnu : elle pourrait abriter un virus informatique capable de compromettre tout votre système.
Que faire face à un mail suspect avant de le signaler ?
Stoppez tout. Ne transmettez aucune donnée personnelle, ne cliquez sur aucun lien, n'ouvrez aucune pièce jointe. Ce réflexe immédiat protège vos coordonnées bancaires et votre identité. Si vous avez reçu ce message sur un appareil professionnel, contactez en priorité le service informatique de votre entreprise ou administration.
Conservez toutes les preuves disponibles avant de supprimer quoi que ce soit : une capture d'écran du courriel, l'URL du site frauduleux vers lequel pointe le lien, le numéro de téléphone éventuellement indiqué. Ces éléments seront indispensables pour tout signalement ou dépôt de plainte ultérieur.
Si vous avez malencontreusement communiqué vos coordonnées bancaires, appelez votre banque immédiatement pour faire opposition. Contestez les opérations frauduleuses et demandez un remboursement. Chaque heure compte : des débits frauduleux peuvent intervenir très rapidement après la collecte de données par le cybercriminel.

Quelles sont les plateformes pour signaler un mail frauduleux ?
Signaler le mail frauduleux sur Signal Spam
Signal Spam est un organisme associé à la CNIL, composé d'experts en cybersécurité, qui agit contre les spammeurs au niveau national en collaboration avec les autorités publiques. Pour signaler un mail de phishing, créez un compte sur la plateforme, puis fournissez le code source du spam reçu, composé des en-têtes techniques et du corps du message.
Deux options s'offrent à vous. Vous pouvez télécharger un module de signalement compatible avec les logiciels de messagerie Outlook, Mac Mail et Thunderbird, ainsi qu'avec les navigateurs Chrome, Firefox, Safari et Opéra. Ce module vous permet de signaler un email frauduleux en un clic, directement depuis votre boîte mail. Sans module, copiez-collez manuellement le code source dans le formulaire de votre espace personnel. Grâce à ces signalements, la CNIL peut engager des contrôles et poursuivre les cybercriminels identifiés.
Signaler le mail directement depuis sa boîte mail
Chaque fournisseur de messagerie présente ses propres fonctionnalités de signalement des messages indésirables. Gmail, Yahoo, Orange ou Thunderbird disposent tous d'options dédiées. Cette démarche notifie le fournisseur, qui peut filtrer les futurs envois similaires. Cela ne suffit pas à éradiquer le spam, mais contribue à réduire sa diffusion.
Signaler le lien frauduleux contenu dans le mail
Un email de phishing contient souvent un lien vers un site frauduleux. Phishing Initiative, un service proposé par Orange Cyberdéfense, permet de signaler l'adresse de ce site. Copiez l'URL suspecte et collez-la dans le champ dédié. Si le site est reconnu comme frauduleux, son adresse est bloquée et sa suppression réclamée, protégeant ainsi d'autres internautes d'une arnaque identique.
Pour les utilisateurs avancés, il est également possible de signaler un site de phishing auprès de Google Safe Browsing et de Microsoft Security Intelligence. Si ces services valident le signalement, les navigateurs Chrome, Safari, Firefox et Edge affichent une page d'alerte avant l'accès au site concerné.
Effectuer un signalement sur la plateforme gouvernementale PHAROS
PHAROS (Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements) dépend du ministère de l'Intérieur. Elle reçoit chaque année plusieurs dizaines de milliers de signalements, traités par l'OCLCTIC. Certains types d'escroqueries par hameçonnage y sont signalables, notamment l'escroquerie à la livraison de colis, à la loterie ou au tirage au sort. Ces signalements peuvent déboucher sur l'ouverture d'une enquête pénale par le procureur de la République, voire être transmis à Interpol si les faits ont été commis depuis l'étranger.
Comment signaler un mail frauduleux usurpant l'identité d'un organisme connu ?
Les cybercriminels empruntent régulièrement le logo et le nom d'organismes officiels, de banques ou de grandes enseignes pour tromper leurs victimes. Face à ce type d'usurpation d'identité, signalez directement le courriel frauduleux à l'entité dont l'identité a été détournée : elle peut alors alerter ses clients et faire stopper l'envoi du message frauduleux.
Les principales adresses de signalement dédiées sont les suivantes :
- Amazon : reportascam@amazon.com
- Apple : reportphishing@apple.com
- PayPal : spoof@paypal.com
- Société Générale : securite@societegenerale.fr
- Crédit Agricole : cert@credit-agricole.fr
- Crédit Mutuel : phishing@creditmutuel.fr
- La Poste : abuse@laposte.net
- Orange : abuse@orange.fr
- SFR : emailsuspect@sc.sfr.fr
- Banque Postale : alertespam@labanquepostale.fr
- Banque Populaire / BRED : alerte-phishing-bp@bpce.fr
- Caisse d'Épargne : alerte-phishing-ce@bpce.fr
- Mondial Relay : phishing@inpost-group.com
D'autres enseignes disposent également d'adresses dédiées : Boulanger (alertefraudes@boulanger.com), CDiscount (stop-spoof@cdiscount.com), FNAC/Darty (abuse@fnacdarty.com), ING (securite.fr@ing.com) et Microsoft (abuse@microsoft.com). Transmettez à chacune le maximum d'informations : code source du mail, captures d'écran, URL du site de phishing.

Quelles suites donner après avoir signalé un mail frauduleux ?
Vous avez cliqué sur un lien, fourni des données personnelles ou renseigné vos coordonnées bancaires ? Agissez sans attendre. Le service Info Escroqueries du ministère de l'Intérieur répond gratuitement du lundi au vendredi de 9h à 18h30. L'association France Victimes, joignable 7 jours sur 7 de 9h à 19h via le numéro d'aide aux victimes du ministère de la Justice, peut vous accompagner gratuitement dans toutes vos démarches.
Pour déposer plainte, rendez-vous au commissariat de police ou à la brigade de gendarmerie. Apportez toutes vos preuves :
- Le message frauduleux original (courriel ou SMS)
- Une capture d'écran du site de phishing
- Le numéro de téléphone utilisé pour le vishing
- L'URL du site frauduleux
- Tout document attestant d'un préjudice financier
Vous pouvez également adresser votre plainte par écrit au procureur de la République. Le dépôt de plainte peut mener à une enquête de police et à la condamnation de l'auteur devant le tribunal correctionnel. Se constituer partie civile ouvre droit à des dommages et intérêts.
Les sanctions sont lourdes. L'usurpation d'identité sur un service de communication en ligne est punie d'1 an de prison et de 15 000 euros d'amende pour une personne physique, avec un bannissement de la plateforme concernée pendant 6 mois, porté à 1 an en cas de récidive. L'escroquerie par hameçonnage expose à 5 ans de prison et 375 000 euros d'amende. La collecte frauduleuse de données personnelles est sanctionnée de 5 ans de prison et 300 000 euros d'amende. Pour les personnes morales, les amendes montent respectivement à 75 000, 1 875 000 et 1 500 000 euros.
Si vous recevez un SMS ou MMS frauduleux, signalez-le au 33700 (service gratuit sur Bouygues Telecom, Orange et SFR). Pensez aussi à signaler tout typosquatting auprès de l'AFNIC via leur service Abuse Report. La cybercriminalité ne disparaît que si chacun prend part à la signalisation des infractions.
Protéger son identité numérique au-delà du signalement
Signaler un mail frauduleux est une étape essentielle, mais elle ne suffit pas. La vraie protection commence en amont, par une conception soignée des interfaces numériques qui rend les tentatives d'imitation plus difficiles à réussir pour les fraudeurs.
Adoptez des mots de passe uniques pour chaque service, activez la double authentification sur vos comptes sensibles et mettez à jour régulièrement votre antivirus. L'ANSSI publie des recommandations précises sur la gestion des incidents de cybersécurité : elles s'appliquent autant aux particuliers qu'aux professionnels. Face à une tentative d'escroquerie impliquant son logo ou son identité, l'ANSSI dispose d'une page de vérification dédiée pour confirmer si un signalement provient réellement d'elle.
La cybermalveillance évolue vite. Les techniques de vishing (arnaque par appel téléphonique) gagnent du terrain, les SMS frauduleux imitant des services de livraison se multiplient. Rester informé des nouvelles formes de phishing, c'est déjà réduire ses chances d'en être victime.
Partager cet article