Faux mail de phishing local Côte d''Azur, plage idyllique en arrière-plan, cocktail et pissaladière
Le faux mail tel qu''il atterrit dans la boîte le mardi à 11h34. Pris au premier degré, il est même presque gentil.
TL;DR pour les pressés

Un faux mail de tirage au sort circule sur la Côte d''Azur depuis le printemps 2026, signé d''un faux « Office du Tourisme », promettant une pissaladière et un cocktail. Il fait 5 à 10 fois plus de victimes qu''un phishing générique parce qu''il est local. Les attaquants n''ont pas besoin d''être malins, ils ont besoin que vous, vous, baissiez la garde une seconde. Cet article explique pourquoi ça marche, les 5 signaux à repérer, comment l''attaquant a su que vous étiez à Cannes, et le plan d''action en 5 minutes pour votre PME.

Tu as souri. Et c''est exactement comme ça que ça marche.

Personne ne cliquerait sur un mail qui annonce « vous avez gagné un voyage à Bangkok ». C''est trop loin, trop générique, trop évidemment faux. Mais un cocktail et une pissaladière dans un restaurant les pieds dans le sable à Mandelieu, signé « Office du Tourisme Côte d''Azur », envoyé un mardi de juin, au moment où il fait beau, à un salarié d''une PME locale qui passe peut-être tous les week-ends sur cette même plage ? Ça, ça fait baisser la garde.

Le mécanisme est simple : la familiarité court-circuite la vigilance. Ton cerveau reconnaît la pissaladière, reconnaît Mandelieu, reconnaît la photo de la plage. Il classe le mail dans la catégorie « contexte normal de ma vie », plutôt que dans la catégorie « mail suspect d''un étranger ». Et c''est dans cette demi-seconde de classification erronée que tu cliques sur le bouton rouge.

Ce n''est pas une question d''intelligence. Tous les pentesters cliquent occasionnellement sur du phishing bien fait, moi le premier. La question, c''est combien de temps tu mets à reprendre le contrôle après avoir cliqué.

Pourquoi le phishing local fait 5 à 10× plus de victimes

Les rapports ANSSI 2024-2025 et les retours de campagnes de simulation phishing que je mène en PME convergent sur le même ordre de grandeur : un mail générique (« vous avez gagné un iPhone ») obtient typiquement un taux de clic entre 1 et 3 %. Un mail localisé crédible (« votre commande chez Carrefour Mandelieu ») monte entre 8 et 15 %. Et un mail qui combine localisation + contexte émotionnel positif (cadeau, événement, invitation) peut dépasser 20 %.

C''est ce qui explique le boom du phishing géociblé depuis 2024. L''attaquant ne cherche plus le volume, il cherche la précision. Et chaque clic, parce qu''il vient d''un salarié plus susceptible d''être dans un état d''esprit positif (« cool, j''ai gagné »), est aussi plus exploitable derrière : moins de soupçon, plus de partage interne, plus de transmission familiale du lien (« regarde ce que j''ai gagné, clique pour t''inscrire toi aussi »).

Comment l''attaquant a su que tu étais à Cannes (sans être un génie)

Il y a une vraie mécanique derrière le ciblage. Voici concrètement comment un attaquant identifie ta présence en PACA, et tout est légal, gratuit ou peu coûteux :

Pas besoin d''être l''agence du renseignement. Un opérateur de phishing professionnel qui veut faire une campagne PACA achète une liste géociblée, fait fabriquer un visuel local crédible par IA générative en 20 minutes, et lance la campagne le soir même. Tarif total du dispositif : moins de 1500 € pour 50 000 mails envoyés.

Décortique : 5 signaux dans ce faux mail

Décortique du mail de phishing avec 5 signaux annotés en rouge
Les 5 signaux à reconnaître dans n''importe quel phishing : domaine douteux, urgence artificielle, cadeau gratuit, contexte ciblé, CTA agressif. Si t''en repères 2, c''est presque toujours du faux.

1. Le domaine d''expéditeur. [email protected]. À l''œil, ça passe. À l''analyse, c''est un domaine qu''aucun office du tourisme légitime n''utiliserait jamais. Les domaines officiels sont en .fr ou .tourisme, et l''office du tourisme Côte d''Azur s''appelle cotedazurfrance.fr. Tout ce qui ressemble vaguement mais n''est pas exactement ça est suspect.

2. L''urgence artificielle. « Avant dimanche minuit ». Aucun cadeau légitime ne te met sous pression de 4 jours. Cette urgence est le mécanisme psychologique qui empêche ton cerveau de prendre le temps de vérifier. C''est intentionnel, et c''est universel dans le phishing.

3. Le cadeau gratuit non sollicité. Tu n''as participé à aucun tirage au sort. Comment as-tu été « tiré au sort » ? La réponse honnête est : tu n''as pas été tiré au sort, l''attaquant t''a tiré, toi, parce que ton email est dans une liste qu''il vient d''acheter. Si tu n''as pas participé activement à quelque chose, tu n''as rien gagné.

4. La localité plausible et l''ancrage émotionnel. Mandelieu. Pissaladière. Plage. Cocktail. Tout est calibré pour activer ton circuit de récompense local. Ce signal est paradoxalement le plus difficile à repérer parce qu''il est le plus efficace : ton cerveau aime ce qui lui ressemble. Apprends à te méfier précisément des mails qui te ressemblent trop.

5. Le bouton CTA gros et coloré. « JE RÉCUPÈRE MON CADEAU » en majuscules, rouge, taille 14, centré. Conçu pour court-circuiter la lecture du domaine de destination juste à côté (recompense-cotedazur.click/reserver). Le .click est l''extension de domaine préférée du phishing depuis 2023, parce qu''elle est ultra-bon marché et que peu de marques légitimes l''utilisent.

3 cas anonymisés observés en PACA cette année

Carte de la Côte d''Azur avec les villes ciblées par les campagnes de phishing local en 2026
Les villes du 06 où nous avons observé des campagnes de phishing local actives sur les 6 derniers mois. 85 PME ciblées au total.

Cas A — Cabinet d''avocats à Antibes, mai 2026. Une secrétaire reçoit un faux mail signé « URSSAF Côte d''Azur » avec relance d''une cotisation en retard, lien vers un faux portail. Elle entre les identifiants pro de l''étude. L''attaquant accède à la boîte mail principale dans la demi-heure, met en place une règle de transfert silencieuse, et exfiltre 18 mois de correspondance client en quatre jours. Détection seulement quand un client se plaint d''avoir reçu un mail bizarre signé du cabinet. Coût total estimé pour le cabinet : 23 000 € entre intervention, notification CNIL et perte de confiance client.

Cas B — Bijouterie cannoise, mars 2026. Le directeur reçoit un faux mail « Mairie de Cannes » au sujet du festival, avec une PJ PDF présentée comme la liste des artistes accrédités à protéger. Le PDF, exécuté, installe un infostealer. Vol de tous les identifiants stockés dans le navigateur, dont l''accès Shopify de la boutique en ligne. L''attaquant déclenche un transfert de 31 commandes vers une fausse adresse de livraison. Perte sèche : 47 000 € de marchandise non récupérable.

Cas C — PME informatique de Sophia Antipolis, septembre 2026. Un commercial reçoit un mail signé d''un faux « Pôle Emploi PACA » avec un faux dossier candidat à examiner pour un poste qu''il avait posté la semaine précédente sur LinkedIn. Le « CV » est un fichier macro Word. Ouverture, exécution, démarrage d''une porte dérobée qui dort 48 heures avant de se réveiller la nuit du week-end. Au réveil, mouvement latéral vers l''Active Directory, déploiement ransomware le dimanche à 3h du matin. Rançon demandée : 12 BTC. PME paralysée 8 jours.

Ces trois cas ont en commun le pattern de localisation : ce qui rend le mail crédible, ce n''est pas son contenu, c''est qu''il ressemble à un mail qu''on attendait peut-être. C''est ce que les attaquants ont compris depuis longtemps, et que les défenses n''ont commencé à intégrer que récemment.

Le plan d''action en 5 minutes pour ta PME

Checklist d''action en 5 minutes pour protéger une PME contre le phishing local
Trois actions critiques + deux à planifier. Cinq minutes pour les premières, deux heures pour les secondes.

Cette section n''est pas un guide de 50 pages. Trois actions concrètes, à faire ce mois-ci, qui cassent 80 % des phishings locaux :

Et deux actions à planifier dans le trimestre :

Que faire si tu as déjà cliqué

Tu as cliqué, vu une page louche, peut-être entré ton mot de passe, peut-être téléchargé quelque chose. Pas de panique, et surtout pas de honte : tout le monde clique, la différence se joue dans ce que tu fais dans les 30 prochaines minutes.

On a écrit un guide réflexe complet pour exactement cette situation : J''ai cliqué sur un lien suspect : le guide réflexe en 10 minutes. Va le lire dans l''ordre, fais les actions, et tu auras limité 90 % du dégât.

Pour les cas plus sérieux (compte M365 manifestement compromis, ransomware actif, virement frauduleux en cours), notre offre Réponse à incident intervient en urgence sur PACA et à distance partout en France.

En résumé

Le phishing 2026 a définitivement quitté l''époque du nigérian mal traduit. La nouvelle génération est rédigée en français impeccable, ciblée géographiquement, contextualisée par IA, distribuée à grande échelle pour un coût ridicule. Ta seule défense efficace, en tant que dirigeant ou employé de PME, c''est une combinaison technique (MFA, filtre messagerie, EDR) et humaine (sensibilisation, simulation, procédures). Aucune des deux ne suffit seule.

Et la prochaine fois que tu reçois un mail qui te promet une pissaladière au bord de mer, prends 5 secondes pour vérifier le domaine d''envoi. Si ça t''embête, dis-toi que tu peux toujours aller t''acheter une vraie pissaladière chez ton boulanger, ce week-end. Elle sera meilleure, et personne ne récupérera ton mot de passe Microsoft 365.

Mettre en place sensibilisation et simulation pour ton équipe

Atelier sensibilisation 1h30 en visio ou en présentiel + 1 campagne de simulation phishing localisée avec rapport et debrief. Adapté de la PME à l'ETI multi-sites. À partir de 1 400 € HT.