En 2026, plus de 60 % des infections par malware signalées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) proviennent de l’exploitation de sites web que les utilisateurs pensaient légitimes. Pas des pièces jointes douteuses, pas des clés USB perdues. Des sites web. Le problème, c’est que la frontière entre un site « normal » et un site malveillant est devenue floue – et qu’elle bouge tout le temps. J’ai passé les trois dernières années à auditer des infrastructures web pour des PME et des collectivités, et je peux vous dire une chose : si vous ne connaissez pas les catégories de sites malveillants, vous naviguez à l’aveugle. Voici ce que j’ai appris – parfois à mes dépens.

Points clés à retenir

  • Les sites malveillants ne se limitent pas au phishing : ils incluent le drive-by download, le malvertising et les faux sites e-commerce.
  • Chaque catégorie exploite un biais psychologique différent – l’urgence, la confiance, la peur.
  • En 2026, les sites de type « typosquatting » et « homographes » explosent avec l’essor des noms de domaine en caractères non latins.
  • Un site compromis (légitime mais infecté) est souvent plus dangereux qu’un site ouvertement frauduleux.
  • Les outils de blocage DNS et les extensions de navigateur ne suffisent plus : il faut une approche par couches.
  • Savoir catégoriser un site malveillant permet d’adapter sa réaction – et de perdre moins de temps sur les faux positifs.

Phishing et hameçonnage : le classique qui s’adapte

Le phishing reste la catégorie la plus répandue – et de loin. En 2025, le rapport Phishing Activity Trends de l’Anti-Phishing Working Group (APWG) recensait plus de 5 millions d’attaques uniques, soit une augmentation de 35 % par rapport à 2023. Mais ce qui a changé, c’est la sophistication. Fini les emails avec des fautes d’orthographe et des logos pixellisés. Aujourd’hui, les pages de phishing sont clonées en temps réel : vous recevez un email, vous cliquez, et la page que vous voyez est une copie parfaite du site original, y compris le certificat SSL.

Comment les repérer ?

J’ai fait l’erreur, il y a deux ans, de cliquer sur un lien qui ressemblait à une notification de ma banque. L’URL était https://banque-securisee.com au lieu de https://ma-banque.fr. La page était identique. J’ai failli entrer mon mot de passe. Ce qui m’a sauvé ? Le réflexe de vérifier le nom de domaine dans la barre d’adresse – pas juste le cadenas. Le certificat SSL ne prouve pas la légitimité du site, seulement que la connexion est chiffrée. Un site malveillant peut très bien avoir un certificat valide.

  • Vérifiez l’URL : les sous-domaines trompeurs (ex: paypal.securite.com) sont un classique.
  • Testez le comportement : un site de phishing vous demandera souvent des informations qu’un site légitime ne demande jamais (mot de passe complet, code de carte bancaire).
  • Utilisez un gestionnaire de mots de passe : s’il ne propose pas de remplir automatiquement le champ, c’est un signal d’alarme.

Le phishing cible aussi de plus en plus les artefacts de divertissement. J’ai vu des faux sites proposant des NFTs ou des objets de collection à prix cassés – une technique qui marche particulièrement bien dans le milieu des collectionneurs. Pour en savoir plus sur les risques financiers liés à ce marché, je vous renvoie à cet article : risques financiers des artefacts de divertissement.

Drive-by download : le piège silencieux

Le drive-by download est, à mon avis, la catégorie la plus vicieuse. Vous n’avez rien à cliquer. Vous visitez un site – un blog, une page d’actualité, un forum – et en arrière-plan, un script malveillant exploite une vulnérabilité de votre navigateur ou de ses plugins pour télécharger un malware. En 2026, avec la généralisation des frameworks JavaScript complexes, ces attaques sont devenues quasi indétectables pour l’utilisateur lambda.

Drive-by download : le piège silencieux
Image by XaviBGood from Pixabay

Comment ça marche ?

Le site légitime est compromis : un pirate injecte une iframe invisible ou un script chargé depuis un serveur externe. Ce script scanne votre navigateur pour trouver une faille (un plugin Flash obsolète, une version non patchée de Chrome, etc.). Dès qu’il la trouve, il exécute le payload. Résultat : votre machine est infectée, et vous n’avez rien vu.

J’ai audité un site de e-commerce l’année dernière qui hébergeait un drive-by download depuis trois mois sans que personne ne s’en rende compte. Le script ne se déclenchait que pour les visiteurs utilisant une version spécifique d’un navigateur – une cible ultra-précise. Le pire ? Le site était parfaitement légitime : un petit vendeur d’artefacts de collection, avec des centaines de clients.

Type de site compromis Fréquence relative (2025-2026) Niveau de risque
Blogs et sites d’actualité Élevée Critique
Sites e-commerce Moyenne Élevé
Forums et communautés Moyenne Élevé
Sites gouvernementaux Faible Critique (si compromis)

La parade ? Maintenir son navigateur et ses extensions à jour. Et surtout, utiliser un bloqueur de scripts (comme uBlock Origin en mode avancé) qui empêche l’exécution de scripts non sollicités. Ce n’est pas confortable au début, mais on s’y fait.

Faux sites e-commerce et arnaques aux artefacts

Les faux sites e-commerce imitent des boutiques en ligne légitimes pour voler des données bancaires ou des identifiants. En 2026, avec l’essor des marketplaces de distribution d’artefacts de divertissement, ces arnaques se sont multipliées. J’ai vu des sites copiant quasi parfaitement des boutiques de figurines de collection, avec des photos volées et des descriptions traduites automatiquement.

Faux sites e-commerce et arnaques aux artefacts
Image by Sammy-Sander from Pixabay

Signaux d’alarme

  • Prix trop bas : une figurine vendue 50 € alors que le prix normal est 200 €, c’est une arnaque. Point.
  • Absence de mentions légales : pas de numéro SIRET, pas d’adresse physique, pas de CGV claires.
  • Modes de paiement suspects : uniquement par virement bancaire ou cryptomonnaie. Pas de carte bancaire, pas de PayPal.
  • Design bâclé : fautes d’orthographe, images de mauvaise qualité, pages « À propos » génériques.

Un exemple concret : un de mes collègues a voulu acheter une réplique d’épée de jeu vidéo sur un site qui semblait sérieux. Il a payé par carte. Le site a encaissé l’argent, n’a jamais expédié le produit, et son numéro de carte a été utilisé pour des achats frauduleux deux semaines plus tard. Leçon apprise : toujours vérifier la réputation du site sur des forums ou des groupes de collectionneurs avant d’acheter.

Malvertising et redirections forcées

Le malvertising (publicité malveillante) utilise les régies publicitaires légitimes pour diffuser des annonces infectées. Vous visitez un site de confiance, une bannière publicitaire s’affiche, et si vous cliquez dessus – ou même si la bannière se charge – vous êtes redirigé vers un site malveillant. En 2026, les régies publicitaires ont renforcé leurs contrôles, mais les pirates trouvent toujours des failles.

Malvertising et redirections forcées
Image by RyanMcGuire from Pixabay

Le problème des redirections

J’ai vu des sites d’actualité parfaitement légitimes rediriger leurs visiteurs vers des pages de phishing via des publicités vérolées. Le mécanisme est simple : un pirate achète un espace publicitaire via une régie, y place un script qui détecte le navigateur et redirige vers un site malveillant si certaines conditions sont remplies. La redirection est souvent invisible : une iframe ou un pop-under qui s’ouvre en arrière-plan.

Comment s’en protéger ? Utiliser un bloqueur de publicités (non, ce n’est pas « mal » – c’est une question de sécurité) et ne jamais cliquer sur une publicité pour un site dont vous n’avez pas vérifié l’URL. Si une offre semble trop belle pour être vraie, elle l’est.

Sites de typosquatting et homographes : l’arnaque au nom de domaine

Le typosquatting consiste à enregistrer des noms de domaine très proches de sites populaires, en espérant que les utilisateurs feront une faute de frappe. goggle.com au lieu de google.com, faccebook.com, etc. En 2026, cette technique a pris une nouvelle dimension avec les domaines homographes : des noms qui utilisent des caractères de différents alphabets (latin, cyrillique, grec) pour ressembler exactement à l’original. Par exemple, un « a » cyrillique (а) est visuellement identique à un « a » latin (a). L’URL аррle.com (avec des caractères cyrilliques) ressemble à s’y méprendre à apple.com.

Comment les éviter ?

Franchement, le meilleur réflexe est de ne jamais cliquer sur un lien depuis un email ou un message. Tapez l’URL manuellement. Et si vous utilisez un navigateur moderne, activez l’affichage des caractères non latins dans la barre d’adresse (certains navigateurs le permettent dans les paramètres avancés). J’ai failli me faire avoir avec un domaine homographe imitant un site de vente d’artefacts – l’URL était parfaite, mais le site était une copie frauduleuse.

Pour les collectionneurs et les acheteurs d’artefacts, ces techniques sont particulièrement dangereuses. Un faux site de vente aux enchères peut vous coûter cher. C’est pourquoi je recommande toujours de passer par des plateformes reconnues et de vérifier les certifications d’authenticité – un sujet que j’ai abordé dans cet article sur les certifications.

Protégez-vous : agir plutôt que subir

Les catégories de sites malveillants ne sont pas des cases étanches. Un site de phishing peut aussi faire du malvertising. Un site de typosquatting peut héberger un drive-by download. La clé, c’est de comprendre le principe commun : chaque attaque exploite un moment de confiance ou d’inattention. Vous pensez être sur un site légitime, vous lâchez votre vigilance, et c’est fini.

Alors, que faire concrètement ? Mettez en place ces trois réflexes dès aujourd’hui :

  1. Vérifiez l’URL avant de cliquer ou de saisir des informations sensibles.
  2. Utilisez des outils de protection : bloqueur de scripts, bloqueur de publicités, gestionnaire de mots de passe.
  3. Formez-vous et formez votre entourage : la meilleure protection, c’est la connaissance. Partagez cet article avec quelqu’un qui pourrait en avoir besoin.

Et si vous gérez un site web, notamment dans le domaine des artefacts de divertissement, n’oubliez pas de le sécuriser régulièrement. Un site compromis nuit à votre réputation – et à celle de vos clients.

Questions fréquentes

Quelle est la différence entre un site malveillant et un site compromis ?

Un site malveillant est créé exprès pour nuire (phishing, vente de faux produits). Un site compromis est un site légitime qui a été piraté pour héberger du contenu malveillant (drive-by download, redirections). Les deux sont dangereux, mais un site compromis est plus difficile à détecter car il a souvent une bonne réputation.

Les sites malveillants peuvent-ils infecter un smartphone ?

Oui, absolument. Les smartphones sont même devenus une cible privilégiée en 2026, car les utilisateurs y sont moins vigilants. Les attaques passent par des applications frauduleuses, des liens dans des SMS (smishing) ou des publicités malveillantes. Les mêmes règles s’appliquent : vérifiez les URLs, ne cliquez pas sur des liens suspects, et maintenez votre système à jour.

Comment signaler un site malveillant ?

Vous pouvez le signaler auprès de plusieurs organismes : le site signalement.gouv.fr en France, le Google Safe Browsing, ou encore le APWG. En entreprise, signalez-le à votre RSSI ou à votre fournisseur de sécurité.

Un site avec un cadenas vert est-il forcément sûr ?

Non. Le cadenas vert (HTTPS) indique seulement que la connexion est chiffrée. Un site malveillant peut très bien avoir un certificat SSL valide. Le cadenas ne garantit ni la légitimité du site ni la sécurité de son contenu. Vérifiez toujours l’URL complète.

Quels sont les signes d’un site de typosquatting ?

Les signes incluent : une URL très proche d’un site connu mais avec une faute de frappe, un domaine qui utilise des caractères exotiques (cyrillique, grec), ou un design qui imite le site original mais avec des différences subtiles (logo flou, couleurs légèrement différentes). Tapez toujours l’URL manuellement pour éviter les surprises.