Comment reconnaître un lien dangereux en 30 secondes

Le phishing par lien frauduleux est la technique d'arnaque numéro 1 sur internet. En 2025, le phishing représentait plus de 80% des cyberattaques signalées aux particuliers. Les liens malveillants sont de plus en plus sophistiqués et visuellement identiques aux sites légitimes qu'ils imitent.

Bonne nouvelle : il existe des indices visuels que vous pouvez repérer en quelques secondes pour éviter de tomber dans le piège.

1. Vérifiez le protocole HTTPS

La première chose à regarder est le début de l'URL. Un site légitime qui collecte des données personnelles ou des paiements utilise toujours HTTPS (le "S" signifie "Sécurisé").

✅ https://www.laposte.fr/suivre-mon-colis

❌ http://laposte-suivi.com/colis-bloque

⚠️ Attention : HTTPS ne garantit pas qu'un site est légitime, cela garantit uniquement que la connexion est chiffrée. Un site frauduleux peut aussi avoir un certificat HTTPS. C'est une condition nécessaire mais pas suffisante.

2. Lisez le nom de domaine de droite à gauche

C'est la technique la plus efficace. Dans une URL, le vrai domaine est la partie juste avant le premier slash (/), à lire de droite à gauche après le point principal.

✅ https://www.laposte.fr/suivi → domaine réel : laposte.fr ✓

❌ https://laposte.arnaque-site.com/suivi → domaine réel : arnaque-site.com ✗

❌ https://laposte-fr.xyz/suivi → domaine réel : laposte-fr.xyz ✗

Les fraudeurs créent des sous-domaines qui commencent par le nom d'une marque connue pour tromper les gens qui lisent de gauche à droite.

3. Méfiez-vous des extensions de domaine suspectes

Les extensions de domaine gratuites ou peu chères sont massivement utilisées par les arnaqueurs car elles sont faciles à obtenir sans vérification d'identité.

Extensions suspectes : .tk, .ml, .ga, .cf, .gq, .xyz, .top, .click, .link
Extensions légitimes pour les organismes français : .fr, .gouv.fr, .com, .org, .net

💡 Un organisme gouvernemental français utilise toujours le domaine .gouv.fr. impots.gouv.fr, ameli.fr, caf.fr, police.gouv.fr... Si ce n'est pas ces domaines exacts, c'est une arnaque.

4. Repérez les fautes d'orthographe dans l'URL

Les arnaqueurs utilisent des noms de domaine qui ressemblent visuellement aux marques connues, notamment en substituant des lettres :

paypa1.com (chiffre 1 à la place du L)
arnazon.com (au lieu de amazon.com)
go0gle.com (zéro à la place du o)
netf1ix.com (chiffre 1 à la place du L)

5. Les raccourcisseurs de liens = signal d'alarme

Des services comme bit.ly, tinyurl.com, t.co ou ow.ly raccourcissent les URLs en cachant la vraie destination. Un organisme officiel n'a aucune raison de raccourcir ses liens.

❌ https://bit.ly/3xYz9Ab → destination inconnue

Si vous recevez un lien raccourci non sollicité, ne cliquez pas dessus. Vous pouvez prévisualiser la destination sur des sites comme checkshorturl.com.

6. Les adresses IP dans les URLs

Aucun site légitime ne vous enverra un lien avec une adresse IP numérique à la place d'un nom de domaine.

❌ http://185.234.219.147/paypal/login → 🚨 Arnaque certaine

7. Les mots-clés suspects dans l'URL

Les URLs de phishing contiennent souvent des mots comme : secure, verify, update, confirm, login, account, suspended, limited, alert, urgente...

❌ https://paypal-secure-verify-account.com/login

Checklist en 30 secondes

Le lien commence par https:// ? ✅
Le domaine principal est bien celui de l'organisme officiel ? ✅
Pas d'extension bizarre (.tk, .xyz, .ml) ? ✅
Pas de faute d'orthographe dans le nom de domaine ? ✅
Pas de lien raccourci (bit.ly, tinyurl) ? ✅
Pas d'adresse IP numérique ? ✅

Si toutes ces cases sont cochées, le lien est probablement légitime. Dans le doute, utilisez ScamShield pour une analyse automatique.

🔗 Analysez vos liens suspects

Collez l'URL dans ScamShield pour une vérification instantanée et gratuite.

Vérifier un lien maintenant →