Un faux mail de tirage au sort circule sur la Côte d''Azur depuis le printemps 2026, signé d''un faux « Office du Tourisme », promettant une pissaladière et un cocktail. Il fait 5 à 10 fois plus de victimes qu''un phishing générique parce qu''il est local. Les attaquants n''ont pas besoin d''être malins, ils ont besoin que vous, vous, baissiez la garde une seconde. Cet article explique pourquoi ça marche, les 5 signaux à repérer, comment l''attaquant a su que vous étiez à Cannes, et le plan d''action en 5 minutes pour votre PME.
Tu as souri. Et c''est exactement comme ça que ça marche.
Personne ne cliquerait sur un mail qui annonce « vous avez gagné un voyage à Bangkok ». C''est trop loin, trop générique, trop évidemment faux. Mais un cocktail et une pissaladière dans un restaurant les pieds dans le sable à Mandelieu, signé « Office du Tourisme Côte d''Azur », envoyé un mardi de juin, au moment où il fait beau, à un salarié d''une PME locale qui passe peut-être tous les week-ends sur cette même plage ? Ça, ça fait baisser la garde.
Le mécanisme est simple : la familiarité court-circuite la vigilance. Ton cerveau reconnaît la pissaladière, reconnaît Mandelieu, reconnaît la photo de la plage. Il classe le mail dans la catégorie « contexte normal de ma vie », plutôt que dans la catégorie « mail suspect d''un étranger ». Et c''est dans cette demi-seconde de classification erronée que tu cliques sur le bouton rouge.
Ce n''est pas une question d''intelligence. Tous les pentesters cliquent occasionnellement sur du phishing bien fait, moi le premier. La question, c''est combien de temps tu mets à reprendre le contrôle après avoir cliqué.
Pourquoi le phishing local fait 5 à 10× plus de victimes
Les rapports ANSSI 2024-2025 et les retours de campagnes de simulation phishing que je mène en PME convergent sur le même ordre de grandeur : un mail générique (« vous avez gagné un iPhone ») obtient typiquement un taux de clic entre 1 et 3 %. Un mail localisé crédible (« votre commande chez Carrefour Mandelieu ») monte entre 8 et 15 %. Et un mail qui combine localisation + contexte émotionnel positif (cadeau, événement, invitation) peut dépasser 20 %.
C''est ce qui explique le boom du phishing géociblé depuis 2024. L''attaquant ne cherche plus le volume, il cherche la précision. Et chaque clic, parce qu''il vient d''un salarié plus susceptible d''être dans un état d''esprit positif (« cool, j''ai gagné »), est aussi plus exploitable derrière : moins de soupçon, plus de partage interne, plus de transmission familiale du lien (« regarde ce que j''ai gagné, clique pour t''inscrire toi aussi »).
Comment l''attaquant a su que tu étais à Cannes (sans être un génie)
Il y a une vraie mécanique derrière le ciblage. Voici concrètement comment un attaquant identifie ta présence en PACA, et tout est légal, gratuit ou peu coûteux :
- LinkedIn public : ta fiche indique ton entreprise et souvent la ville. Une simple recherche LinkedIn « ville: Cannes, secteur: pharmacie » sort des centaines de profils en quelques secondes.
- Pappers et registres ouverts : les sièges sociaux des PME sont publics. L''adresse postale, le code APE, parfois la liste des dirigeants. C''est gratuit, scrappable, et c''est ce qui alimente la plupart des listes de prospection commerciale (et donc aussi de phishing).
- Fuites de bases données indexées : Have I Been Pwned référence plusieurs centaines de fuites de bases françaises avec code postal ou ville. Acheter ces listes coûte entre 200 et 800 € pour 100 000 contacts ciblés géographiquement.
- Ciblage Meta Ads / Google Ads : les attaquants louent des publicités servies uniquement aux IP du département 06. Coût négligeable par impression, ciblage chirurgical. La pub mène à un faux formulaire qui collecte ton email, et tu reçois le phishing dans la semaine.
- OSINT par croisement : photo de toi en train de manger à la Pinède sur Instagram + photo de profil LinkedIn dans un bureau qu''on reconnaît + horodatage = l''attaquant sait où tu travailles et où tu déjeunes en moins de 10 minutes.
Pas besoin d''être l''agence du renseignement. Un opérateur de phishing professionnel qui veut faire une campagne PACA achète une liste géociblée, fait fabriquer un visuel local crédible par IA générative en 20 minutes, et lance la campagne le soir même. Tarif total du dispositif : moins de 1500 € pour 50 000 mails envoyés.
Décortique : 5 signaux dans ce faux mail
1. Le domaine d''expéditeur. [email protected]. À l''œil, ça passe. À l''analyse, c''est un domaine qu''aucun office du tourisme légitime n''utiliserait jamais. Les domaines officiels sont en .fr ou .tourisme, et l''office du tourisme Côte d''Azur s''appelle cotedazurfrance.fr. Tout ce qui ressemble vaguement mais n''est pas exactement ça est suspect.
2. L''urgence artificielle. « Avant dimanche minuit ». Aucun cadeau légitime ne te met sous pression de 4 jours. Cette urgence est le mécanisme psychologique qui empêche ton cerveau de prendre le temps de vérifier. C''est intentionnel, et c''est universel dans le phishing.
3. Le cadeau gratuit non sollicité. Tu n''as participé à aucun tirage au sort. Comment as-tu été « tiré au sort » ? La réponse honnête est : tu n''as pas été tiré au sort, l''attaquant t''a tiré, toi, parce que ton email est dans une liste qu''il vient d''acheter. Si tu n''as pas participé activement à quelque chose, tu n''as rien gagné.
4. La localité plausible et l''ancrage émotionnel. Mandelieu. Pissaladière. Plage. Cocktail. Tout est calibré pour activer ton circuit de récompense local. Ce signal est paradoxalement le plus difficile à repérer parce qu''il est le plus efficace : ton cerveau aime ce qui lui ressemble. Apprends à te méfier précisément des mails qui te ressemblent trop.
5. Le bouton CTA gros et coloré. « JE RÉCUPÈRE MON CADEAU » en majuscules, rouge, taille 14, centré. Conçu pour court-circuiter la lecture du domaine de destination juste à côté (recompense-cotedazur.click/reserver). Le .click est l''extension de domaine préférée du phishing depuis 2023, parce qu''elle est ultra-bon marché et que peu de marques légitimes l''utilisent.
3 cas anonymisés observés en PACA cette année
Cas A — Cabinet d''avocats à Antibes, mai 2026. Une secrétaire reçoit un faux mail signé « URSSAF Côte d''Azur » avec relance d''une cotisation en retard, lien vers un faux portail. Elle entre les identifiants pro de l''étude. L''attaquant accède à la boîte mail principale dans la demi-heure, met en place une règle de transfert silencieuse, et exfiltre 18 mois de correspondance client en quatre jours. Détection seulement quand un client se plaint d''avoir reçu un mail bizarre signé du cabinet. Coût total estimé pour le cabinet : 23 000 € entre intervention, notification CNIL et perte de confiance client.
Cas B — Bijouterie cannoise, mars 2026. Le directeur reçoit un faux mail « Mairie de Cannes » au sujet du festival, avec une PJ PDF présentée comme la liste des artistes accrédités à protéger. Le PDF, exécuté, installe un infostealer. Vol de tous les identifiants stockés dans le navigateur, dont l''accès Shopify de la boutique en ligne. L''attaquant déclenche un transfert de 31 commandes vers une fausse adresse de livraison. Perte sèche : 47 000 € de marchandise non récupérable.
Cas C — PME informatique de Sophia Antipolis, septembre 2026. Un commercial reçoit un mail signé d''un faux « Pôle Emploi PACA » avec un faux dossier candidat à examiner pour un poste qu''il avait posté la semaine précédente sur LinkedIn. Le « CV » est un fichier macro Word. Ouverture, exécution, démarrage d''une porte dérobée qui dort 48 heures avant de se réveiller la nuit du week-end. Au réveil, mouvement latéral vers l''Active Directory, déploiement ransomware le dimanche à 3h du matin. Rançon demandée : 12 BTC. PME paralysée 8 jours.
Ces trois cas ont en commun le pattern de localisation : ce qui rend le mail crédible, ce n''est pas son contenu, c''est qu''il ressemble à un mail qu''on attendait peut-être. C''est ce que les attaquants ont compris depuis longtemps, et que les défenses n''ont commencé à intégrer que récemment.
Le plan d''action en 5 minutes pour ta PME
Cette section n''est pas un guide de 50 pages. Trois actions concrètes, à faire ce mois-ci, qui cassent 80 % des phishings locaux :
- MFA partout, sans exception. Microsoft 365, Google Workspace, banque, gestionnaire de mots de passe. Idéalement passkeys ou clé FIDO2 (50 € unitaire pour une Yubikey), à défaut application d''authentification (Microsoft Authenticator, Google Authenticator). Pas de SMS, le SIM swapping est une plaie. Mise en place : 30 minutes pour activer, 1 h de formation utilisateur.
- Filtre anti-phishing sérieux au niveau messagerie. Si tu es sur Microsoft 365 Business Basic, passe à Business Premium qui inclut Defender for Office 365 plan 1 (analyse comportementale, sandboxing des liens, détection des domaines récents). Coût : environ 6 € HT par utilisateur et par mois en supplément. Si tu es sur OVH ou Google standard, prends un filtre tiers type Vade ou Altospam. Mise en place : 1 à 2 heures.
- Code de confirmation interne pour les virements. Un mot ou une phrase secrète, partagée uniquement entre les personnes habilitées aux virements, à demander à voix haute pour toute demande inhabituelle (« le DAF demande un virement de 47k€ urgent »). Bête, simple, gratuit, casse la fraude au président y compris ses versions deepfake. Mise en place : 5 minutes en réunion.
Et deux actions à planifier dans le trimestre :
- Sensibilisation équipe 1h30 par an minimum. Atelier en présentiel ou en visio, qui couvre les patterns du phishing 2026, dont le local. Coût : 400-900 € HT pour une PME de 10 à 50 personnes. Inclut une démo de mails frauduleux récents — comme celui de la pissaladière.
- Simulation phishing 1 à 2 fois par an. Envoi d''un faux mail légitime mais contrôlé à tes équipes, mesure du taux de clic, debrief sans sanction. Coût : 600-1500 € HT par campagne. Permet de calibrer la formation et d''identifier les profils les plus vulnérables.
Que faire si tu as déjà cliqué
Tu as cliqué, vu une page louche, peut-être entré ton mot de passe, peut-être téléchargé quelque chose. Pas de panique, et surtout pas de honte : tout le monde clique, la différence se joue dans ce que tu fais dans les 30 prochaines minutes.
On a écrit un guide réflexe complet pour exactement cette situation : J''ai cliqué sur un lien suspect : le guide réflexe en 10 minutes. Va le lire dans l''ordre, fais les actions, et tu auras limité 90 % du dégât.
Pour les cas plus sérieux (compte M365 manifestement compromis, ransomware actif, virement frauduleux en cours), notre offre Réponse à incident intervient en urgence sur PACA et à distance partout en France.
En résumé
Le phishing 2026 a définitivement quitté l''époque du nigérian mal traduit. La nouvelle génération est rédigée en français impeccable, ciblée géographiquement, contextualisée par IA, distribuée à grande échelle pour un coût ridicule. Ta seule défense efficace, en tant que dirigeant ou employé de PME, c''est une combinaison technique (MFA, filtre messagerie, EDR) et humaine (sensibilisation, simulation, procédures). Aucune des deux ne suffit seule.
Et la prochaine fois que tu reçois un mail qui te promet une pissaladière au bord de mer, prends 5 secondes pour vérifier le domaine d''envoi. Si ça t''embête, dis-toi que tu peux toujours aller t''acheter une vraie pissaladière chez ton boulanger, ce week-end. Elle sera meilleure, et personne ne récupérera ton mot de passe Microsoft 365.
Atelier sensibilisation 1h30 en visio ou en présentiel + 1 campagne de simulation phishing localisée avec rapport et debrief. Adapté de la PME à l'ETI multi-sites. À partir de 1 400 € HT.