Pourquoi le phishing reste l’attaque n°1 en 2026 (informations vérifiées en avril 2026, susceptibles d’évoluer) ?
Aucune autre attaque n’offre un retour sur investissement aussi élevé pour les pirates : 1 000 emails envoyés à 50 FCFA = 50 000 FCFA, 5 victimes à 100 000 FCFA chacune = 500 000 FCFA. Au Sénégal, le phishing cible massivement Wave/OM, les clients CBAO/UBA/Ecobank, et les administrateurs WordPress. La défense n’est pas technique mais comportementale : 5 réflexes (vérifier le domaine, survoler les liens, ne pas céder à l’urgence, ne jamais donner un code par mail, et toujours appeler le numéro officiel) bloquent 95 % des tentatives.
Le phishing : la cyberattaque la plus repandue
Le phishing (hameçonnage) est une technique de fraude ou un attaquant se fait passer pour une entite de confiance (banque, operateur, administration) pour vous pousser a révéler des informations confidentielles ou a cliquer sur un lien malveillant. Au Sénégal, le phishing arrive principalement par email, SMS (smishing) et WhatsApp, ciblant les utilisateurs de Wave, Orange Money, les clients bancaires et les propriétaires de sites web.
Les 10 signes d’un email de phishing
| # | Signe | Exemple | Vérification |
|---|---|---|---|
| 1 | Adresse d’expediteur suspecte | service@cbao-sécurité.com au lieu de @cbao.sn | Vérifiez le domaine après le @ |
| 2 | Urgence ou menace | « Votre compte sera ferme dans 24h » | Les entreprises legitimes ne menacent pas par email |
| 3 | Lien suspect | Le texte dit « cbao.sn » mais le lien pointe vers « cbao-login.xyz » | Survolez le lien SANS cliquer pour voir la vraie URL |
| 4 | Fautes d’orthographe | « Cher client, veuilliez confirmer votre identitee » | Les emails officiels sont relus et corriges |
| 5 | Salutation generique | « Cher client » au lieu de « Cher M. Diallo » | Votre banque connait votre nom |
| 6 | Demande d’informations sensibles | « Confirmez votre numéro de carte et code PIN » | Aucune entite legitime ne demande cela par email |
| 7 | Piece jointe inattendue | « Facture_Urgent.doc.exe » ou « Recu_Wave.zip » | Mefiance envers les .exe, .zip, .doc avec macros |
| 8 | Offre trop belle | « Vous avez gagne 5 000 000 FCFA a la loterie Orange » | Si c’est trop beau pour être vrai, ca l’est |
| 9 | Design approximatif | Logo flou, mise en page cassee, couleurs incorrectes | Comparez avec un vrai email de l’entite |
| 10 | Lien de desinscription absent ou faux | Le lien « Se desinscrire » mene vers un site suspect | Ne cliquez jamais sur « se desinscrire » d’un email suspect |
Exemples de phishing courants au Sénégal
Phishing bancaire
Email type : « CBAO – Alerte de sécurité : activité suspecte detectee sur votre compte. Cliquez ici pour vérifier votre identité immédiatement. »
- Indices : l’adresse d’expedition n’est pas @cbao.sn, le lien mene vers un site différent, le design est approximatif
- Que faire : ne cliquez pas. Appelez votre banque au numéro figurant sur votre carte bancaire ou rendez-vous en agence
Phishing Orange Money / Wave
SMS type : « Wave: Votre compte sera désactivé. Confirmez vos informations sur wave-verify.com/sn »
- Indices : Wave ne communique jamais par SMS avec un lien. Le domaine n’est pas wave.com
- Que faire : ignorez et bloquez le numéro. Ouvrez directement l’application Wave pour vérifier
Phishing WordPress / Hébergement
Email type : « Votre nom de domaine monsite.sn expire demain. Renouvelez immédiatement sur hosting-renew.com »
- Indices : le domaine d’envoi ne correspond pas a votre hébergeur, le lien mene vers un site inconnu
- Que faire : connectez-vous directement a votre espace hébergeur en tapant l’URL manuellement
Phishing DGI / Administration
Email type : « Direction Generale des Impots : Vous avez un remboursement de TVA de 850 000 FCFA. Remplissez le formulaire joint. »
- Indices : la DGI ne communique pas les remboursements par email avec formulaire
- Que faire : contactez votre centre des impots directement
Analyser un email suspect en detail
Vérifier les en-tetes de l’email
Les en-tetes revelent le vrai expediteur :
- Gmail : ouvrez l’email > 3 points > « Afficher l’original »
- Outlook : ouvrez l’email > Fichier > Proprietes > En-tetes Internet
# Ce qu'il faut vérifier dans les en-tetes :
# 1. Le champ "From" affiche peut être falsifie
From: "CBAO Sénégal" <security@cbao-alert.com>
# Le domaine cbao-alert.com n'est PAS cbao.sn
# 2. Le champ "Return-Path" révèle le vrai expediteur
Return-Path: <hacker@malicious-server.ru>
# Si différent du "From", c'est du phishing
# 3. Les enregistrements SPF/DKIM/DMARC
# Un email legitime de cbao.sn doit passer SPF et DKIM
Authentication-Results: spf=pass dkim=pass dmarc=pass
# Si spf=fail ou dkim=fail, l'email est probablement faux
# 4. Le champ "Received" montre le chemin du message
Received: from mail.suspicious-server.xyz
# Si le serveur n'a rien a voir avec l'expediteur affiche = phishingVérifier un lien sans cliquer
- Sur PC : survolez le lien avec la souris SANS cliquer. L’URL réelle s’affiche en bas a gauche du navigateur ou dans une bulle
- Sur mobile : appuyez longuement sur le lien (sans relacher). L’URL complète s’affiche
- Raccourcisseurs d’URL : les liens bit.ly, tinyurl, etc. masquent la vraie destination. Utilisez unshorten.it pour révéler l’URL réelle
- VirusTotal : copiez l’URL suspecte et collez-la sur virustotal.com pour l’analyser avec 90+ moteurs antivirus
Phishing par SMS et WhatsApp (très fréquent au Sénégal)
SMS de phishing (Smishing)
| SMS reçu | Type d’arnaque | Reaction correcte |
|---|---|---|
| « Orange: Vous avez gagne 2 000 000 FCFA. Appelez le 77 XXX XX XX » | Fausse loterie | Supprimer et bloquer le numéro |
| « Mixx by Yas (ex-Free Money): Transaction echouee. Tapez *123*1*CODE# pour corriger » | Manipulation USSD | Ne JAMAIS taper un code USSD dicté par SMS |
| « SEN Eau: Facture impayee. Coupure dans 24h. Payez ici: lien.xyz » | Fausse facture | Vérifier sur le site officiel ou en agence |
| « Votre colis DHL est bloque. Frais de douane: 15 000 FCFA. Payez via Wave » | Fausse livraison | DHL ne demande jamais de paiement par Wave |
Phishing WhatsApp
- « J’ai change de numéro » : message d’un « ami » depuis un nouveau numéro demandant de l’argent en urgence. Appelez votre ami sur son ancien numéro pour vérifier
- « Code de vérification » : quelqu’un vous demande de lui envoyer un code que vous avez reçu par SMS. C’est une tentative de voler votre compte WhatsApp
- « Lien promotionnel » : « Orange offre 50 Go gratuits, cliquez ici ». Les vraies promotions Orange sont sur le site officiel ou l’application
- « Support WhatsApp » : « Votre compte WhatsApp sera suspendu. Envoyez vos informations a ce numéro ». WhatsApp ne contacte jamais les utilisateurs par message
Que faire si vous avez clique sur un lien de phishing
Si vous avez juste clique (sans entrer d’informations)
- Fermez immédiatement la page
- Videz le cache de votre navigateur (Ctrl + Shift + Suppr)
- Lancez un scan antivirus complet
- Surveillez votre compte dans les jours suivants
Si vous avez entre vos identifiants
- Changez immédiatement votre mot de passe sur le vrai site de l’entite (banque, email, etc.)
- Activez le 2FA si ce n’est pas déjà fait
- Si c’est un compte bancaire : appelez votre banque immédiatement pour bloquer les accès
- Changez le mot de passe sur tous les autres comptes ou vous utilisez le même (raison pour laquelle chaque compte doit avoir un mot de passe unique)
- Surveillez vos comptes bancaires et mobile money pendant les semaines suivantes
Si vous avez donne votre code PIN Wave/Orange Money
- Appelez immédiatement Wave (33 869 65 65) ou Orange Money (145)
- Demandez le blocage immédiat de votre compte
- Changez votre code PIN des que le compte est debloque
- Deposez plainte au commissariat
Protéger votre entreprise contre le phishing
Configuration technique
# 1. Configurer SPF pour votre domaine
# Dans les DNS de votre domaine, ajoutez :
v=spf1 include:_spf.google.com ~all
# (si vous utilisez Google Workspace)
# 2. Configurer DKIM
# Genere par votre fournisseur email, a ajouter dans les DNS
# 3. Configurer DMARC
# Enregistrement DNS TXT pour _dmarc.monsite.sn :
v=DMARC1; p=quarantine; rua=mailto:dmarc@monsite.sn; pct=100
# Ces 3 enregistrements empechent les attaquants
# d'envoyer des emails en se faisant passer pour votre domaineFormation des employes
- Formez tous les employes a reconnaitre le phishing (cette page est un bon support)
- Faites des tests de phishing internes avec GoPhish (outil gratuit et open source)
- Affichez les exemples d’arnaques recentes au Sénégal dans la salle de pause
- Créez un reflexe : tout email suspect doit être signale au responsable IT avant toute action
- Regle d’or : « En cas de doute, ne cliquez pas. Appelez directement l’entite sur un numéro connu »
Outils anti-phishing gratuits
| Outil | Type | Fonction |
|---|---|---|
| uBlock Origin | Extension navigateur | Bloque les publicités et sites malveillants |
| Netcraft Extension | Extension navigateur | Detecte les sites de phishing connus |
| VirusTotal | Site web | Analyser un lien ou un fichier suspect |
| Google Safe Browsing | Intégré a Chrome | Avertit lors de la visite d’un site dangereux |
| Have I Been Pwned | Site web | Vérifier si votre email a fuite dans un piratage |
| GoPhish | Logiciel (serveur) | Simuler des campagnes de phishing pour former vos employes |
Erreurs fréquentes
1. Confiance dans le nom affiché de l’expéditeur
Cause : on voit « CBAO Sénégal » dans la colonne expéditeur et on conclut que c’est légitime. Le nom d’affichage (display name) est librement modifiable : l’attaquant met n’importe quoi avant la vraie adresse.
Solution : regardez TOUJOURS l’adresse mail entre <...>. Sur mobile, tapez sur le nom d’expéditeur pour révéler l’adresse complète. Sur PC, double-clic ou clic droit > Propriétés.
2. Domaines avec caractères Unicode trompeurs (homoglyph)
Cause : le domaine cbао.sn ressemble à cbao.sn mais utilise un « а » cyrillique au lieu d’un « a » latin. Visuellement identique, techniquement un autre domaine.
Solution : méfiez-vous des accents bizarres dans les emails de banques. Copiez l’URL et collez-la dans punycode.cc pour décoder les caractères Unicode masqués (xn--cbo-iqd = ccyrillic-abo).
3. Pièce jointe avec double extension .pdf.exe
Cause : Windows masque les extensions par défaut. Facture.pdf.exe apparait comme Facture.pdf avec une icône PDF — mais c’est un exécutable malveillant.
Solution : activez l’affichage des extensions dans Windows : Explorateur > Affichage > cocher « Extensions de noms de fichiers ». Puis méfiez-vous de toute pièce jointe .exe, .scr, .zip, .iso, .docm, .xlsm.
4. Cliquer sur « Se désinscrire » dans un email douteux
Cause : on pense se débarrasser des spams en cliquant « unsubscribe ». Sur un email malveillant, cela confirme à l’attaquant que votre adresse est active — vous recevrez 10× plus de phishing.
Solution : sur un email suspect, signalez-le directement comme phishing dans Gmail/Outlook (Signaler un hameçonnage). Les filtres anti-spam apprennent et le bloqueront pour tous les utilisateurs.
5. SPF/DKIM/DMARC mis en mode p=none
Cause : on configure DMARC en p=none pour « tester » et on l’oublie. Pendant ce temps, n’importe qui peut envoyer des emails au nom de contact@votreentreprise.sn.
Solution : après 30 jours d’observation des rapports DMARC, passez en p=quarantine puis p=reject. Validez avec MXToolbox DMARC Checker.
Checklist anti-phishing
- Toujours vérifier l’adresse de l’expediteur (le domaine après le @)
- Ne jamais cliquer sur un lien dans un email/SMS bancaire ou de mobile money
- Toujours accéder a sa banque/Wave/OM en tapant l’URL directement
- Ne jamais partager de code PIN, mot de passe ou code de vérification
- Survoler les liens pour vérifier l’URL réelle avant de cliquer
- Extensions de sécurité installees dans le navigateur (uBlock Origin)
- SPF, DKIM et DMARC configurés sur le domaine de votre entreprise
- Employes formes et testes régulièrement
- Numeros de service client enregistres pour vérification rapide
Lectures complémentaires
- Détecter et éviter les arnaques en ligne au Sénégal — la version multi-canal (SMS, WhatsApp, appel).
- Créer des mots de passe inviolables — limite l’impact d’un phishing réussi (mots de passe uniques).
- Configurer la 2FA partout — bloque la connexion même si vos identifiants fuitent.
- Protéger vos données personnelles — moins vos données sont exposées, moins vous êtes ciblé.
- Référence officielle : CISA — Recognize and Report Phishing et Phishing.org — Examples.
- Outils gratuits : VirusTotal (analyse URL/fichier) et GoPhish (test interne).
Un hébergeur abordable pour vos projets
Hostinger combine prix raisonnable et stabilité. Lien partenaire — pas de surcoût pour vous.
Lien d affiliation. Si vous achetez via ce lien, le blog reçoit une petite commission sans surcoût pour vous.