J'ai Cliqué sur un Lien Suspect : Que Faire Immédiatement

Vous avez cliqué sur un lien suspect — que ce soit dans un email, un SMS, un message sur les réseaux sociaux ou un QR code — et vous vous demandez quelles sont les conséquences et comment réagir. Cette situation, vécue par des millions de Français chaque année, déclenche une cascade d'événements techniques dont la gravité dépend du type de menace et de votre réaction dans les minutes qui suivent. Selon les données de cybermalveillance.gouv.fr, les liens malveillants constituent le mécanisme de livraison principal des cyberattaques contre les particuliers et les entreprises, servant de vecteur aussi bien pour le vol d'identifiants que pour l'installation de ransomwares et de logiciels espions. Ce guide opérationnel vous propose un arbre de décision complet pour évaluer votre niveau d'exposition selon ce que vous avez fait après le clic, les actions correctives immédiates à entreprendre pour chaque scénario, les indicateurs de compromission à surveiller sur votre appareil, et les mesures de prévention pour ne plus jamais vous retrouver dans cette situation. Téléchargez notre fiche réflexe imprimable avec l'arbre de décision visuel à afficher dans vos locaux pour que chaque collaborateur sache exactement quoi faire en cas de clic accidentel sur un lien malveillant.

Que se passe-t-il techniquement quand vous cliquez sur un lien malveillant ?

Comprendre les mécanismes techniques derrière un clic sur un lien malveillant permet d'évaluer objectivement le niveau de risque et d'adapter sa réponse. Lorsque vous cliquez sur un lien, votre navigateur initie une requête HTTP vers le serveur de destination, déclenchant une séquence d'événements qui varie selon le type de menace.

La première étape est souvent une chaîne de redirections. Le lien initial ne pointe pas directement vers la page malveillante mais passe par plusieurs serveurs intermédiaires (redirecteurs). Ces redirections servent à échapper aux filtres de sécurité (le premier domaine peut être légitime, comme un raccourcisseur d'URL), à géolocaliser la victime (les utilisateurs français sont redirigés vers un site en français, les autres vers une page blanche), et à collecter des informations sur l'appareil de la victime (fingerprinting : navigateur, système d'exploitation, résolution d'écran, plugins installés). Cette phase de collecte permet à l'attaquant d'adapter la charge malveillante au profil de la cible.

Une fois la chaîne de redirections terminée, l'une des trois charges suivantes est délivrée : une page de phishing imitant un site légitime pour voler vos identifiants, un téléchargement automatique de fichier malveillant (drive-by download) exploitant une vulnérabilité du navigateur ou incitant l'utilisateur à ouvrir le fichier, ou une page de social engineering qui vous manipule pour que vous appeliez un faux support technique, installiez un logiciel prétendument nécessaire, ou autorisiez l'accès à votre appareil. Les attaquants les plus sophistiqués combinent plusieurs de ces techniques dans une même attaque.

Scénario 1 : Vous avez saisi vos identifiants sur une page de phishing

C'est le scénario le plus courant et potentiellement le plus grave. Vous avez cliqué sur le lien, une page imitant un service que vous utilisez (Microsoft 365, Gmail, banque en ligne, impôts, Ameli) s'est affichée, et vous avez saisi votre identifiant et votre mot de passe avant de réaliser que quelque chose n'allait pas. Voici ce qui se passe techniquement et comment réagir.

Ce qui se passe : Vos identifiants sont envoyés en temps réel au serveur de l'attaquant. Les kits de phishing modernes de type adversary-in-the-middle (EvilProxy, Evilginx) vont plus loin : ils interceptent également vos cookies de session et vos tokens MFA, permettant à l'attaquant de se connecter à votre compte même si le MFA est activé. L'attaquant testera vos identifiants sur de nombreux autres services (password stuffing) car il sait que 65 % des utilisateurs réutilisent leurs mots de passe. Les premières actions malveillantes (création de règles de transfert email, vol de données, usurpation d'identité auprès de vos contacts) peuvent survenir dans les minutes suivant la saisie de vos identifiants.

Le risque de réutilisation de mot de passe : Si vous utilisez le même mot de passe sur plusieurs services (ce que font malheureusement 65 % des utilisateurs), la compromission d'un seul identifiant donne potentiellement accès à tous vos comptes. Les attaquants utilisent des outils automatisés de credential stuffing qui testent les identifiants volés sur des centaines de services en quelques minutes : messagerie, réseaux sociaux, banques, sites de commerce en ligne, services cloud.

Actions immédiates (dans les 5 minutes) : Depuis un appareil sain (pas celui qui a été utilisé pour le clic), changez immédiatement le mot de passe du compte compromis. Révoquez toutes les sessions actives. Changez le mot de passe sur TOUS les services où vous utilisiez le même mot de passe. Activez le MFA si ce n'est pas déjà fait (idéalement avec une clé FIDO2 qui résiste aux attaques AiTM). Vérifiez les règles de transfert email créées récemment. Vérifiez les applications OAuth autorisées à accéder à votre compte. Consultez notre fiche réflexe phishing pour le détail des vérifications.

Scénario 2 : Un fichier a été téléchargé sur votre appareil

Après avoir cliqué sur le lien, un fichier s'est téléchargé automatiquement ou vous avez été incité à télécharger un « document », une « mise à jour » ou un « plugin ». La gravité dépend de si vous avez exécuté (ouvert) le fichier ou non.

Si vous n'avez PAS ouvert le fichier : Le risque est limité. Les navigateurs modernes téléchargent les fichiers dans un dossier sandbox sans les exécuter automatiquement. Supprimez immédiatement le fichier téléchargé (videz aussi la corbeille). Lancez un scan antivirus/EDR complet de votre machine. Vérifiez que votre navigateur et votre système d'exploitation sont à jour (les drive-by downloads exploitent des vulnérabilités connues des versions non patchées). Si le scan est propre et que le fichier n'a pas été exécuté, le risque est minime.

Si vous AVEZ ouvert le fichier : La situation est critique. Selon le type de malware contenu dans le fichier, plusieurs scénarios sont possibles. Un RAT (Remote Access Trojan) donne à l'attaquant un accès complet à votre machine en temps réel : il peut voir votre écran, accéder à vos fichiers, activer votre webcam et votre microphone, et exécuter des commandes. Un infostealer (RedLine, Raccoon, Vidar) extrait immédiatement tous les mots de passe stockés dans vos navigateurs, les cookies de session (permettant l'accès à vos comptes sans mot de passe), les portefeuilles de cryptomonnaie, et les données des formulaires (numéros de carte bancaire enregistrés). Un loader ne fait rien d'immédiatement visible mais téléchargera un ransomware ou d'autres malwares dans les heures ou jours suivants. Un keylogger enregistre discrètement toutes vos frappes clavier (mots de passe, numéros de carte, messages).

Actions immédiates : Déconnectez immédiatement la machine du réseau (débranchez le câble Ethernet, désactivez le Wi-Fi). Ne l'éteignez pas (pour préserver les preuves forensiques en mémoire). En entreprise, prévenez immédiatement votre service informatique. Lancez un scan complet avec un EDR ou antivirus depuis un support externe bootable (si disponible). Changez tous vos mots de passe depuis un autre appareil sain. Si un infostealer est confirmé, considérez que tous les mots de passe enregistrés dans le navigateur sont compromis — changez-les tous.

Scénario 3 : Vous avez communiqué vos coordonnées bancaires

Vous avez saisi votre numéro de carte bancaire, votre IBAN, ou vos identifiants de banque en ligne sur une page frauduleuse. Ce scénario implique un risque financier direct et nécessite une réaction immédiate.

Ce qui se passe : Vos coordonnées bancaires sont utilisées dans les minutes suivantes pour des transactions frauduleuses. Pour les numéros de carte bancaire, les attaquants procèdent à des achats en ligne (souvent de petits montants d'abord pour tester la carte, puis des montants croissants), ou revendent les données sur le dark web (prix : 5 à 50 € par carte selon le plafond et le pays). Pour les identifiants de banque en ligne, l'attaquant tente de se connecter à votre compte, de modifier le RIB de virements programmés, ou d'effectuer des virements vers des comptes mules.

Timeline de la fraude bancaire : Dans les 5 premières minutes, l'attaquant valide la carte avec un petit achat test (1-5 €). Dans la première heure, les premiers achats frauduleux significatifs sont réalisés. Dans les 24 premières heures, les données sont partagées ou revendues à d'autres fraudeurs. Au-delà de 48 heures, les données circulent largement sur les forums et marchés du dark web.

Actions immédiates : Appelez le numéro d'urgence de votre banque (disponible 24/7) pour faire opposition sur votre carte et/ou bloquer votre accès banque en ligne. Signalez la fraude sur la plateforme Perceval (service-public.fr) pour les fraudes à la carte bancaire. Si des virements frauduleux ont déjà été effectués, demandez le recall (rappel de virement) immédiatement. Déposez une pré-plainte en ligne (pre-plainte-en-ligne.gouv.fr) et finalisez-la au commissariat. Vérifiez vos relevés bancaires quotidiennement pendant les 3 mois suivants. Demandez une nouvelle carte bancaire avec un nouveau numéro.

Le modèle de sécurité du navigateur : ce qui vous protège (et ce qui ne suffit pas)

Votre navigateur web intègre plusieurs couches de sécurité conçues pour vous protéger contre les liens malveillants, mais aucune n'est infaillible. Comprendre ces protections et leurs limites vous aide à évaluer votre niveau de risque après un clic.

Google Safe Browsing / Microsoft SmartScreen : Ces services maintiennent des listes noires de sites malveillants connues et affichent un avertissement rouge lorsque vous tentez de visiter un site répertorié. Cependant, les sites de phishing ont une durée de vie moyenne de 4 à 8 heures avant d'être détectés et ajoutés aux listes noires. Si vous cliquez dans les premières heures de la campagne, ces protections sont inefficaces.

Sandbox du navigateur : Les navigateurs modernes (Chrome, Firefox, Edge) exécutent chaque onglet dans un processus isolé (sandbox) avec des permissions réduites. Cette isolation empêche un site web malveillant d'accéder aux fichiers de votre système, aux autres onglets ouverts, ou d'exécuter du code arbitraire. Cependant, les exploits zero-day ciblant le moteur de rendu du navigateur peuvent échapper à cette sandbox, bien que ces attaques soient rares et généralement réservées aux cibles de haute valeur (espionnage étatique).

Indicateurs de sécurité HTTPS : Le cadenas HTTPS dans la barre d'adresse indique que la connexion est chiffrée, mais ne garantit absolument pas que le site est légitime. Plus de 80 % des sites de phishing utilisent désormais HTTPS (certificats Let's Encrypt gratuits). Le cadenas signifie simplement que personne ne peut intercepter vos données en transit — mais si le serveur de destination est celui de l'attaquant, le chiffrement ne vous protège en rien.

Indicateurs de compromission à vérifier sur votre appareil

Après avoir cliqué sur un lien suspect, surveillez attentivement votre appareil pendant les jours suivants pour détecter les indicateurs de compromission (IoC) qui révéleraient l'installation d'un malware :

Signes visibles : Ralentissement inhabituel de la machine (le malware consomme des ressources processeur et réseau), apparition de fenêtres pop-up ou de programmes inconnus, modifications de la page d'accueil ou du moteur de recherche du navigateur, apparition de barres d'outils ou d'extensions inconnues, connexions Internet anormalement actives même quand vous n'utilisez pas la machine (LED réseau clignotant), ventilateur qui tourne anormalement fort (minage de cryptomonnaie).

Vérifications techniques : Sur Windows, ouvrez le Gestionnaire des tâches (Ctrl+Shift+Échap) et recherchez les processus inconnus ou consommant beaucoup de CPU/réseau. Vérifiez les programmes au démarrage (onglet « Démarrage » du Gestionnaire des tâches) — un malware s'installe presque toujours pour démarrer automatiquement. Vérifiez les extensions de votre navigateur (chrome://extensions ou about:addons) pour détecter des extensions inconnues. Consultez l'historique des connexions de vos comptes en ligne (Gmail : Activité récente, Microsoft : Activité de connexion) pour détecter des accès non autorisés.

Outils de détection : Lancez un scan avec Malwarebytes (version gratuite, complémentaire de l'antivirus), Microsoft Safety Scanner (outil gratuit de Microsoft), ou ESET Online Scanner (scan en ligne gratuit). En entreprise, un scan EDR (CrowdStrike, SentinelOne, Microsoft Defender for Endpoint) fournira une analyse comportementale plus approfondie que les scans basés sur les signatures. Consultez notre top 10 des outils de sécurité pour des solutions de détection avancées.

Réponse en entreprise : du poste utilisateur au SOC

Quand un collaborateur signale avoir cliqué sur un lien suspect en entreprise, la réponse doit suivre un processus structuré qui implique le service informatique, le SOC (Security Operations Center) si existant, et potentiellement l'équipe de réponse aux incidents.

Niveau 1 — Triage par le service IT : Recueillez les informations essentielles : quelle URL a été cliquée, depuis quel appareil, à quelle heure, qu'a fait l'utilisateur après le clic (saisi des identifiants, téléchargé un fichier, rien). Évaluez la gravité selon l'arbre de décision : simple visite sans interaction = faible, saisie d'identifiants = élevée, exécution de fichier téléchargé = critique.

Niveau 2 — Investigation SOC : Isolez le poste du réseau via l'EDR (isolation réseau logique) ou physiquement. Analysez l'URL dans un environnement sandbox (VirusTotal, ANY.RUN, urlscan.io) pour identifier le type de menace. Vérifiez les logs du proxy web pour identifier si d'autres collaborateurs ont cliqué sur la même URL. Analysez les logs de l'EDR pour détecter des comportements malveillants post-clic (téléchargements, exécutions de processus, connexions réseau suspectes). Consultez notre guide de triage des incidents pour la méthodologie de classification.

Niveau 3 — Réponse aux incidents : Si la compromission est confirmée (malware installé, identifiants volés et utilisés), escaladez vers l'équipe de réponse aux incidents. Évaluez le périmètre de compromission : le malware s'est-il propagé latéralement ? Des données ont-elles été exfiltrées ? D'autres comptes sont-ils compromis ? Engagez les procédures de notification (CNIL si données personnelles compromises, NIS2 si applicable) et les procédures de remédiation (réimagerie du poste, rotation des mots de passe, blocage des IoC sur le pare-feu). Consultez notre fiche réflexe ransomware si un chiffrement est détecté.

Quand escalader vers un professionnel de la réponse aux incidents

Certaines situations dépassent les capacités d'un service IT interne et nécessitent l'intervention d'un prestataire de réponse aux incidents (IR — Incident Response) professionnel. Voici les critères d'escalade qui doivent déclencher l'appel à un expert externe :

Escalade immédiate recommandée : Chiffrement de fichiers détecté (ransomware en cours), exfiltration de données confirmée, compromission de comptes à privilèges élevés (administrateur domaine, compte root), compromission touchant plusieurs postes simultanément (mouvement latéral), suspicion d'attaque APT (Advanced Persistent Threat) ciblée, ou incapacité à identifier ou contenir la compromission après 4 heures d'investigation interne.

Les prestataires de réponse aux incidents qualifiés en France sont référencés sur la plateforme cybermalveillance.gouv.fr (label ExpertCyber) et par l'ANSSI (qualification PRIS — Prestataire de Réponse aux Incidents de Sécurité). Le coût d'une intervention de réponse aux incidents varie de 5 000 à 50 000 euros selon la gravité et la durée, mais ce coût est insignifiant comparé aux pertes potentielles d'un incident mal géré.

Prévention : ne plus jamais cliquer sur un lien malveillant

La meilleure réponse à un clic sur un lien suspect est de ne jamais se retrouver dans cette situation. Voici les mesures préventives les plus efficaces, classées par impact décroissant :

Filtrage DNS (DNS Security) : Un filtre DNS comme Quad9 (9.9.9.9, gratuit), Cloudflare Gateway, ou Cisco Umbrella bloque l'accès aux domaines malveillants connus avant même que la page ne se charge. En configurant le serveur DNS de votre réseau vers un service de filtrage DNS, vous protégez automatiquement tous les appareils connectés sans installer de logiciel. C'est la mesure de prévention la plus simple et la plus immédiate à déployer.

Browser isolation (isolation du navigateur) : Les solutions d'isolation du navigateur (Menlo Security, Zscaler Browser Isolation, Microsoft Defender Application Guard) exécutent le contenu web dans un environnement isolé (conteneur, VM distante) plutôt que directement sur le poste. Même si l'utilisateur clique sur un lien malveillant, le code s'exécute dans l'environnement isolé et ne peut pas atteindre le poste local. C'est la protection la plus robuste mais aussi la plus coûteuse.

Filtrage URL du proxy web : Un proxy web avec filtrage d'URL (Zscaler, Forcepoint, Squid avec listes noires) analyse chaque requête web sortante et bloque l'accès aux catégories à risque (malware, phishing, sites nouvellement enregistrés). Le proxy peut également déchiffrer le trafic HTTPS pour analyser le contenu des pages visitées (SSL inspection), offrant une protection contre les menaces véhiculées par des connexions chiffrées.

Formation et réflexes : La formation régulière des utilisateurs reste indispensable car aucune solution technique n'est infaillible. Les réflexes essentiels à ancrer : survoler les liens avant de cliquer pour vérifier l'URL, ne jamais saisir ses identifiants après avoir cliqué sur un lien dans un email (taper l'URL manuellement dans le navigateur), signaler immédiatement tout clic accidentel au service IT sans crainte de sanction. Consultez notre checklist des 20 mesures de sécurité pour PME pour une approche globale de la prévention.

L'arbre de décision en résumé

Voici le résumé de l'arbre de décision à suivre après un clic sur un lien suspect. Imprimez cette section et affichez-la dans vos locaux :

Étape 1 — Évaluer ce qui s'est passé après le clic :

→ « J'ai juste vu une page et je l'ai fermée sans rien faire » = Risque faible. Lancez un scan antivirus, vérifiez les téléchargements récents, surveillez la machine pendant 48h.

→ « J'ai saisi mon identifiant et/ou mot de passe » = Risque élevé. Changez immédiatement le mot de passe depuis un autre appareil, révoquez les sessions, activez le MFA, changez le mot de passe partout où il est réutilisé.

→ « Un fichier s'est téléchargé mais je ne l'ai pas ouvert » = Risque modéré. Supprimez le fichier, videz la corbeille, lancez un scan antivirus complet.

→ « J'ai ouvert/exécuté un fichier téléchargé » = Risque critique. Déconnectez du réseau immédiatement, ne pas éteindre, alerter l'IT, scanner avec un EDR, changer tous les mots de passe depuis un autre appareil.

→ « J'ai saisi mes coordonnées bancaires » = Risque critique financier. Appeler la banque immédiatement pour opposition, signaler sur Perceval, déposer plainte.

Outils gratuits pour analyser un lien suspect AVANT de cliquer

Si vous recevez un lien suspect et souhaitez vérifier sa légitimité avant de cliquer, plusieurs outils gratuits permettent une analyse sécurisée sans exposer votre appareil :

VirusTotal (virustotal.com) : Collez l'URL dans VirusTotal qui l'analysera avec plus de 70 moteurs de détection. Un score élevé de détections indique un lien malveillant. Attention : VirusTotal partage les URLs soumises avec ses partenaires de sécurité — ne soumettez pas d'URLs contenant des informations sensibles (tokens d'accès, identifiants).

urlscan.io : Cet outil visite le lien dans un navigateur isolé et vous fournit une capture d'écran de la page, la liste de toutes les requêtes réseau effectuées, les redirections suivies, les technologies détectées, et un verdict de dangerosité. C'est l'outil le plus complet pour comprendre ce qui se passe quand on visite un lien sans prendre aucun risque.

PhishTank (phishtank.org) : Base de données communautaire de sites de phishing vérifiés. Soumettez l'URL suspecte pour vérifier si elle est déjà répertoriée comme phishing. Vous pouvez également contribuer en signalant de nouveaux sites de phishing.

Google Safe Browsing Transparency Report : L'outil de transparence de Google permet de vérifier si un site est répertorié comme dangereux dans la base Safe Browsing qui protège les utilisateurs de Chrome, Firefox et Safari. Accessible sur transparencyreport.google.com.

Analyse forensique d'un lien malveillant : dans les coulisses d'une attaque

Pour mieux comprendre la menace, plongeons dans l'analyse technique d'une campagne de phishing réelle détectée en France début 2025, ciblant les utilisateurs de la Caisse d'Allocations Familiales (CAF). Cette analyse illustre la sophistication des attaques modernes et les techniques employées à chaque étape de la chaîne d'attaque.

Le vecteur initial : Un SMS envoyé depuis un numéro usurpé affichant « CAF » comme identifiant d'expéditeur : « CAF : Votre allocation de rentrée est disponible. Confirmez vos coordonnées pour recevoir 398,09€ → [lien court] ». Le montant correspond exactement à celui de l'ARS (Allocation de Rentrée Scolaire), rendant le message crédible pour les bénéficiaires réels.

La chaîne de redirections : Le lien court (hébergé sur un service de raccourcissement d'URL légitime) redirige vers un premier serveur qui effectue un fingerprinting du navigateur : vérification que l'appareil est un smartphone (les analystes de sécurité utilisent souvent des environnements desktop), vérification de la géolocalisation IP (seules les IP françaises sont servies, les autres reçoivent une page blanche), vérification que l'User-Agent ne correspond pas à un crawler de sécurité connu. Après ces vérifications, une seconde redirection envoie la victime vers la page de phishing finale.

La page de phishing : Le site reproduit fidèlement l'interface de connexion de caf.fr avec le logo officiel, la charte graphique, les mentions légales et même un faux certificat SSL avec un domaine visuellement proche (caf-allocations-fr.com). La page demande successivement : les identifiants CAF (numéro d'allocataire et mot de passe), les informations personnelles (nom, prénom, date de naissance, adresse), et les coordonnées bancaires complètes (IBAN + BIC) pour « le versement de l'allocation ». Chaque étape est séparée par un écran de chargement avec le logo CAF pour renforcer la crédibilité.

L'exploitation des données : Les données volées sont envoyées en temps réel à un serveur Telegram via l'API bot, permettant à l'attaquant de les recevoir instantanément sur son téléphone. Les identifiants CAF sont utilisés pour modifier le RIB de la victime sur le vrai site de la CAF (redirigeant les futures allocations vers un compte mule). Les coordonnées bancaires sont revendues sur un forum Telegram spécialisé. Cette campagne a touché plus de 12 000 victimes en France avant d'être démantelée grâce aux signalements sur PHAROS et Signal-Spam.

Protection DNS : la mesure de prévention la plus sous-estimée

Le filtrage DNS représente probablement le meilleur rapport protection/effort dans l'arsenal de la cybersécurité, et pourtant il reste étonnamment sous-utilisé par les particuliers et les PME. Le principe est simple : au lieu d'utiliser le serveur DNS par défaut de votre fournisseur d'accès Internet, configurez un serveur DNS sécurisé qui bloque automatiquement les domaines malveillants connus avant même que votre navigateur ne charge la page.

Les services de DNS sécurisés gratuits les plus réputés sont Quad9 (9.9.9.9), développé par une fondation suisse à but non lucratif qui utilise les flux de renseignement de plus de 20 sources de threat intelligence pour bloquer les domaines malveillants, Cloudflare 1.1.1.2 (version avec filtrage malware de Cloudflare, gratuit pour les particuliers), et NextDNS (freemium, offrant un contrôle granulaire sur les catégories filtrées). Ces services bloquent en temps réel les domaines de phishing, les serveurs de commande et contrôle (C2) des malwares, et les domaines de distribution de logiciels malveillants.

Pour une PME, la configuration se fait au niveau du routeur ou du serveur DHCP, protégeant ainsi automatiquement tous les appareils du réseau sans installation de logiciel individuel. Pour les postes nomades, configurez le DNS sécurisé via la politique de groupe (GPO) Windows ou le profil MDM des appareils mobiles. Le filtrage DNS bloque environ 30 à 40 % des liens malveillants de manière transparente pour l'utilisateur, sans ralentissement perceptible de la navigation. C'est une première couche de protection essentielle qui complète parfaitement la formation des utilisateurs et les filtres email.

Retour d'expérience : gestion d'un clic malveillant en entreprise

Voici le récit détaillé d'un incident réel géré par une PME française de 45 salariés, illustrant comment la réaction rapide d'un collaborateur et un processus de réponse efficace ont permis de contenir les dégâts.

Contexte : Un lundi matin à 9h15, une assistante commerciale reçoit un email prétendument envoyé par un fournisseur habituel, concernant une facture impayée avec un lien « Voir la facture ». Pressée par la charge de travail du lundi, elle clique sur le lien et arrive sur une page imitant le portail de son fournisseur. Elle saisit ses identifiants de messagerie professionnelle (Microsoft 365) en pensant s'authentifier pour accéder à la facture. La page affiche ensuite un message d'erreur « Session expirée, veuillez réessayer ». C'est à ce moment qu'elle réalise que l'URL ne correspond pas au site du fournisseur.

Réaction de la collaboratrice (9h17) : Formée lors des simulations de phishing mensuelles, elle reconnaît les signes d'un phishing et alerte immédiatement le service IT via le canal Slack dédié #securite-incidents. Elle fournit les informations essentielles : l'email d'origine, l'URL cliquée, et le fait qu'elle a saisi ses identifiants Microsoft 365.

Réponse IT (9h20-9h45) : Le responsable IT exécute immédiatement les actions de réponse : réinitialisation du mot de passe Microsoft 365 de la collaboratrice, révocation de toutes les sessions actives, vérification des règles de transfert email (aucune règle suspecte créée — l'attaquant n'avait pas encore eu le temps d'agir), vérification des applications OAuth (aucune application suspecte), analyse de l'URL sur VirusTotal et urlscan.io (confirmant un kit de phishing AiTM ciblant les utilisateurs Microsoft 365). Le responsable IT identifie également trois autres collaborateurs ayant reçu le même email (sans cliquer) et bloque l'expéditeur dans la passerelle email.

Bilan : Grâce au signalement en 2 minutes et à la réponse en 25 minutes, aucune donnée n'a été compromise. L'attaquant a obtenu les identifiants mais n'a pas eu le temps de les exploiter avant la rotation du mot de passe et la révocation des sessions. Sans ce signalement rapide, l'attaquant aurait pu accéder à la messagerie, créer des règles de transfert, lancer des attaques de BEC (Business Email Compromise) vers les clients et fournisseurs de l'entreprise, et potentiellement installer un ransomware via un mouvement latéral.

Questions fréquentes sur les liens suspects

Le simple fait de cliquer sur un lien peut-il infecter mon ordinateur ?

Dans la grande majorité des cas, non. Cliquer sur un lien ouvre une page web dans votre navigateur, mais les navigateurs modernes exécutent le contenu web dans un sandbox isolé qui empêche le code malveillant d'accéder à votre système. Cependant, si votre navigateur n'est pas à jour et contient une vulnérabilité connue (exploit), un drive-by download peut installer un malware sans aucune action de votre part. C'est pourquoi les mises à jour de navigateur sont critiques.

J'ai cliqué mais la page était blanche ou ne s'est pas chargée, dois-je m'inquiéter ?

Une page blanche peut signifier que le site de phishing a été désactivé (fréquent, leur durée de vie est courte), que votre filtre DNS ou votre antivirus a bloqué le chargement, ou que le site a collecté des informations de fingerprinting et n'a pas affiché de contenu car votre profil ne correspondait pas à la cible (géolocalisation, navigateur). Lancez un scan antivirus par précaution et vérifiez les téléchargements récents dans votre navigateur.

Comment distinguer un lien légitime d'un lien malveillant sans cliquer ?

Survolez le lien avec la souris (sans cliquer) pour afficher l'URL de destination dans la barre d'état du navigateur ou du client email. Vérifiez que le domaine principal correspond au site attendu (attention : « microsoft-login.xyz » n'est PAS microsoft.com, et « login.microsoft.com.evil.net » est en réalité evil.net). Méfiez-vous des raccourcisseurs d'URL (bit.ly, tinyurl), des caractères Unicode visuellement similaires aux caractères latins, et des URLs anormalement longues avec de nombreux paramètres.

Mon antivirus n'a rien détecté après le clic, suis-je en sécurité ?

Pas nécessairement. Les malwares récents (zero-day) ne sont pas encore dans les bases de signatures des antivirus. Les solutions EDR (détection comportementale) sont plus efficaces que les antivirus classiques (détection par signature). De plus, si vos identifiants ont été volés via une page de phishing, aucun antivirus ne peut le détecter car il n'y a pas de malware sur votre machine — c'est le serveur de l'attaquant qui stocke vos identifiants. Changez tout de même vos mots de passe si vous avez saisi des identifiants.

Dois-je signaler un clic accidentel à mon employeur ?

Oui, absolument et immédiatement. Le signalement rapide est la meilleure action que vous puissiez prendre. Il permet au service IT de contenir rapidement une éventuelle compromission avant qu'elle ne se propage. Les entreprises responsables ne sanctionnent jamais un collaborateur qui signale un clic accidentel — au contraire, c'est le non-signalement qui met l'entreprise en danger. Utilisez le canal de signalement défini dans votre charte informatique (bouton de signalement email, ticket IT, téléphone).

Un lien reçu par SMS est-il plus dangereux qu'un lien par email ?

Les liens dans les SMS sont particulièrement dangereux car les téléphones mobiles affichent des URLs raccourcies sans possibilité de survol, les utilisateurs sont moins vigilants sur mobile, et les filtres anti-phishing des SMS sont moins sophistiqués que ceux des emails. De plus, un SMS peut usurper l'identité de l'expéditeur (spoofing de l'ID de l'expéditeur) pour apparaître comme provenant de votre banque ou d'un service de livraison. Consultez notre guide visuel des faux SMS.

Que faire si j'ai autorisé des notifications push depuis un site suspect ?

Les notifications push malveillantes sont de plus en plus utilisées pour afficher de fausses alertes de sécurité et des publicités frauduleuses. Dans Chrome : Paramètres > Confidentialité et sécurité > Paramètres des sites > Notifications, et supprimez le site malveillant. Dans Firefox : Paramètres > Vie privée et sécurité > Permissions > Notifications. Le fait d'avoir autorisé les notifications ne permet pas au site d'accéder à vos données, mais les notifications elles-mêmes peuvent contenir des liens malveillants.

Mon téléphone peut-il être infecté par un simple clic sur un lien ?

Le risque d'infection par simple visite d'une page web est plus faible sur mobile que sur PC grâce au sandboxing renforcé d'iOS et Android. Cependant, les exploits zero-day ciblant les navigateurs mobiles existent (Pegasus de NSO Group en est l'exemple le plus célèbre). Le principal risque sur mobile est le phishing (saisie d'identifiants sur une fausse page) plutôt que l'installation de malware. Maintenez votre système d'exploitation et votre navigateur à jour pour minimiser le risque d'exploit.

Inspiré des recommandations de cybermalveillance.gouv.fr (licence Etalab 2.0)

Conclusion

La prévention et la préparation restent les meilleures armes face aux cybermenaces. Téléchargez cette ressource, diffusez-la dans votre organisation et n'hésitez pas à nous contacter pour un accompagnement personnalisé.