Comment vérifier qu'un email est légitime en 30 secondes

📅 14 juillet 2026 ✍️ Hugo Laurent ⏱️ 6 min de lecture 📂 Conseil pratique

Sommaire

Vous recevez un email de votre banque vous demandant de vérifier votre compte. De votre fournisseur d'accès internet vous signalant une anomalie. De votre patron vous réclament une facture. Et si c'était une arnaque ?

Le phishing — hameçonnage — représente 35 % des signalements de cybermenaces en France selon Cybermalveillance.gouv.fr. Les artisans et TPE de la Drôme et de l'Ardèche sont particulièrement ciblés parce qu'ils gèrent des données clients sensibles et ne disposent souvent pas de département IT. Bonne nouvelle : en 30 secondes, vous pouvez repérer 95 % des faux emails. Voici comment.

Étape 1 : Vérifier l'adresse email réelle de l'expéditeur

C'est le réflexe numéro un. L'adresse affichée ("Banque.fr", "Orange Support", "Factures") peut être un mensonge. La vraie adresse est cachée derrière.

Comment faire :
  • Gmail, Outlook, Yahoo : Survolez le nom de l'expéditeur en haut de l'email
  • Thunderbird, Outlook desktop : Cliquez sur "Afficher les détails" ou "Détails du message"
  • Mobile : Appuyez sur le nom de l'expéditeur (iOS Mail) ou le menu ⋮ (Gmail Android)

L'adresse réelle apparaît entre les chevrons : <vraie.adresse@domaine.com>. Si elle ne correspond pas à l'organisation qui prétend vous écrire, c'est un faux. Par exemple :

Point clé pour la Drôme et Ardèche : Les artisans reçoivent souvent des emails en français impeccable censés venir de leurs clients. Vérifiez toujours le domaine de l'expéditeur, même si le message semble urgent ou familier.

Étape 2 : Inspecter les liens avant de cliquer

Les cybercriminels maquillent les URL. Un lien peut afficher "https://secure-banking.fr" mais pointer vers "https://secure-b4nking.fr" (avec un 4 à la place du a). Vous ne verrez la différence que si vous inspectez le lien réel.

Comment faire :
  • Desktop : Survolez simplement le lien — l'URL vraie apparaît en bas à gauche
  • Mobile : Appuyez longuement sur le lien (ne cliquez pas !) — une popup affiche l'URL réelle
  • Doute ? Ne cliquez pas — Tapez l'adresse manuellement dans la barre du navigateur

Attention aux domaines qui exploitent les ressemblances visuelles :

C'est bête, mais ça marche. Les TPE en Ardèche me rapportent régulièrement qu'elles ont cliqué sur "www.prestataire-local.fr" qui était en réalité "www.prestataire-1ocal.fr".

Étape 3 : Chercher les indices visuels de fraude

Les vrais emails d'organisations professionnelles respectent des standards. Les faux présentent souvent des signes d'improvisation :

Règle d'or : Si un email vous demande de saisir vos identifiants ou code de confirmation, ne répondez pas par ce lien. Allez directement sur le site officiel (en tapant l'adresse vous-même) et connectez-vous pour vérifier.

Étape 4 : Vérifier la source directement

Si l'email prétend venir d'une organisation connue (banque, fournisseur, client important), contactez-la directement pour confirmer. C'est la vérification ultime.

90 % des arnaqués admettent, après coup, n'avoir pas pris le temps de vérifier. Une minute d'appel économise des heures de problèmes. Chez mes clients en Drôme, cette simple vérification a stoppé net trois tentatives de virement frauduleux en 2025.

Étape 5 : Inspirer l'en-tête (bonus pour les experts)

Si vous maîtrisez un peu la technique, l'en-tête complet d'un email raconte la vraie histoire de son origine. C'est gratuit et imparable.

Comment accéder aux en-têtes :
  • Gmail : Cliquez sur ⋮ → "Afficher l'original"
  • Outlook web : Cliquez sur ⋮ → "Afficher les détails du message"
  • Thunderbird : Menu → Affichage → En-têtes → Tous

Cherchez la ligne Return-Path: ou From: — elle révèle le serveur d'envoi réel. Un email censé venir de "Apple.com" ne doit pas avoir Return-Path: noreply@suspiciousmail.xyz. Les services d'authentification SPF, DKIM et DMARC apparaissent aussi : leur absence est mauvais signe.

C'est technique, mais utile si vous êtes technicien IT, patron d'une TPE en Ardèche qui reçoit des emails massifs, ou gestionnaire IT en Drôme.

Mon expérience terrain : ce que je vois chez mes clients

Depuis 2018, j'accompagne des artisans, petits commerces et TPE en Drôme et Ardèche. Ce que je constate :

La bonne nouvelle ? Mes clients qui ont appliqué ces 5 étapes n'ont eu aucun sinistre en 2025. C'est simple, gratuit, et ça marche.

Questions fréquentes

Comment vérifier l'adresse email réelle de l'expéditeur sur ma boîte mail ?

Survolez simplement le nom affiché de l'expéditeur en haut de l'email — une infobulle doit afficher l'adresse réelle entre chevrons, comme <vraie@adresse.com>. Sur mobile, appuyez longuement sur le nom. Si cette info n'apparaît pas, cliquez sur "Détails" ou "Afficher" selon votre client mail.

Peut-on falsifier complètement l'adresse email d'un expéditeur ?

Partiellement. Le nom affiché ("Apple Support") peut être n'importe quoi, mais l'adresse réelle (entre < >) doit correspondre au serveur d'envoi réel pour que l'email arrive. Les arnaqueurs peuvent acheter un domaine qui ressemble à celui de la vraie org, mais pas utiliser exactement le domaine officiel. Donc : oui, c'est contournable, d'où l'importance de vérifier le domaine exact.

Quel est le taux de réussite des arnaqueurs par phishing en France ?

Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), le phishing est la porte d'entrée de 60 % des cyberattaques contre les TPE et PME. Cybermalveillance.gouv.fr estime que 35 % des signalements concernent l'hameçonnage. Les arnaqueurs misent sur la vitesse et l'inattention : si 1 % seulement des destinataires cliquent, c'est rentable.

Que faire si j'ai déjà cliqué sur un lien suspect ou saisi mes identifiants ?

Agissez tout de suite : (1) fermez le navigateur et tous les onglets, (2) changez votre mot de passe depuis un autre appareil de confiance (pas celui qui a cliqué), (3) vérifiez vos comptes bancaires et email pour toute activité suspecte, (4) signalez le phishing à Cybermalveillance.gouv.fr ou directement à votre banque. Vous pouvez aussi contacter un technicien IT local pour auditer votre appareil.

Les artisans en Drôme et Ardèche sont-ils plus ciblés ?

Oui. Les petites structures gèrent de l'argent liquide, des données clients, et souvent pas d'IT dédié. Un arnaqueur a plus facile à convaincre un patron seul face à son email qu'un département IT. C'est pourquoi les artisans, plombiers, électriciens, cabinets d'avocats locaux reçoivent énormément de faux emails de fournisseurs, de clients, ou d'organismes publics.

Vous avez reçu un email suspect ?

Je peux l'analyser et vous conseiller. Contactez-moi pour un diagnostic gratuit de sécurité email — utile surtout si vous êtes artisan ou TPE en Drôme ou Ardèche.

Contacter Hugo Laurent

À propos de l'auteur

Hugo Laurent est technicien informatique indépendant basé à Valence (Drôme, 26). Il aide depuis 2015 les particuliers, artisans et TPE/PME de la Drôme et de l'Ardèche à sécuriser leurs systèmes informatiques. Spécialiste en infogérance, cybersécurité et dépannage, il anime aussi hugoinformatique.fr, un blog de conseils pratico-pratiques.