Le phishing fait partie des principales menaces dans le domaine de la cybersécurité. L’objectif de cette technique est de récupérer les informations sensibles d’un internaute ou d’un salarié pour revendre ces données, en faire un usage frauduleux ou encore mener des attaques plus poussées.
Comment se présentent les tentatives de phishing et comment les reconnaître pour les éviter ? Faisons le tour de la question.
Phishing : définition
Le phishing (ou « hameçonnage » en français) est une technique qui consiste à « appâter » un internaute pour l’inciter à dévoiler des informations personnelles et confidentielles (données d’identité, identifiants et mots de passe, coordonnées bancaires, par exemple) ou à installer un malware (un logiciel malveillant). La victime est généralement incitée à cliquer sur un lien ou à ouvrir un fichier.
Une fois la tentative de phishing réussie, les hackers utilisent les données volées pour en faire un usage frauduleux (usurpation d’identité, escroquerie via carte bancaire, piratage de compte en ligne, revente des données sur le darknet, etc.). Les différents types de phishing sont considérés comme des infractions et sont punis par le Code pénal.
Les tentatives de phishing peuvent prendre différentes formes. L’e-mail de phishing est la forme la plus répandue, mais cette technique frauduleuse existe également par SMS (« smishing »), appel téléphonique ou encore sur les réseaux sociaux (via la création de faux profils ou de fausses offres d’emploi, par exemple). Généralement, le hacker essaye de se faire passer pour « un tiers de confiance » (un organisme connu comme le service des impôts, La Poste, La CAF, etc.).
Le « spear phishing » est quant à lui un type particulier de phishing, beaucoup plus ciblé et également beaucoup plus dévastateur.
Comment se déroule une tentative de phishing ?
Il existe différents scénarios de phishing, mais la plupart utilisent les mêmes ressorts : se cacher derrière un organisme ou un destinataire connu pour demander à l’internaute d’effectuer une action et ainsi obtenir ses informations confidentielles (cliquer sur un lien pour saisir ses informations sur un site frauduleux, ouvrir un fichier pour exécuter un programme malveillant, par exemple).
Voici un exemple typique de phishing en entreprise, étape par étape :
- Un salarié reçoit un e-mail semblant provenir du service informatique de son entreprise. Cet e-mail lui demande de cliquer sur un lien et de mettre à jour son mot de passe professionnel pour des raisons de sécurité.
- Peu méfiant, le salarié s’exécute et clique sur le lien contenu dans l’e-mail. Il est redirigé sur une page frauduleuse et saisit ses identifiants professionnels, qui sont ensuite transmis au hacker.
- Le hacker peut désormais accéder à l’environnement professionnel de l’entreprise, récupérer des documents confidentiels, les coordonnées bancaires de l’entreprise, des infos RH, etc.
Il existe d’autres types de phishing bien connus : les arnaques à la livraison de colis, les e-mails aux couleurs des impôts ou d’Ameli, etc.
Que faire si vous êtes victime d’une tentative de phishing ?
Voici la conduite à tenir en fonction de la situation dans laquelle vous vous trouvez suite à une tentative de phishing.
Si vous avez divulgué vos coordonnées bancaires ou remarqué des débits manifestement frauduleux sur votre compte bancaire, contactez votre banque pour faire opposition le plus rapidement possible.
Si les hackers ont réussi à obtenir l’un de vos mots de passe, changez immédiatement celui-ci. Si vous utilisez également ce mot de passe pour d’autres services, changez-le également, et utilisez désormais un mot de passe différent pour chaque service.
Gardez la trace de l’e-mail de phishing que vous avez reçu. Il pourra servir de preuve pour éventuellement déposer plainte auprès de la police ou de la gendarmerie, en fonction du préjudice que vous avez subi suite au phishing. Vous pouvez signaler l’e-mail sur le site internet signal-spam.fr et signaler un site de phishing sur phishing-initiative.fr. Vous pouvez également contacter Info Escroqueries au 0 805 805 817.
Comment se protéger face aux phishing ?
Certaines tentatives de phishing sont plutôt faciles à repérer. Des éléments peuvent néanmoins vous mettre la puce à l’oreille : l’e-mail ou le SMS contient des fautes d’orthographe plutôt voyantes, l’adresse à partir de laquelle a été expédié l’e-mail semble provenir d’un nom de domaine erroné (« .com » au lieu de « .fr », par exemple), la notification provient d’un site Internet sur lequel vous n’avez pas de compte, etc.
Voici quelques conseils simples permettant de relever son niveau de vigilance face aux tentatives de phishing et de les déjouer.
1. Ne transmettez jamais d’informations sensibles à partir d’un lien reçu par e-mail ou par SMS. Ne le faites pas non plus par téléphone. Aucun organisme sérieux ne vous demandera de le faire. Le service informatique de votre entreprise n’est pas non plus censé vous demander des informations sensibles.
2. Inspectez les liens contenus dans un e-mail avant de cliquer dessus. Si vous consultez vos e-mails depuis un ordinateur, survolez l’adresse du site (son URL) avec le curseur de votre souris avant de cliquer sur le lien. Assurez-vous que le site utilise une connexion sécurisée en « https:// » et que le nom de domaine est correct.
3. N’ouvrez pas systématiquement les pièces jointes. Certaines d’entre elles peuvent contenir des logiciels malveillants.
4. Examinez la demande pour vous assurer qu’elle est légitime et ne répondez pas dans la précipitation à un message suspect.
Votre banque vous demande de lui transmettre par e-mail les identifiants de connexion à vos comptes en ligne ? Un SMS vous demande de cliquer sur un lien de suivi de colis mais vous n’avez rien commandé ? Un fournisseur vous demande de lui fournir vos accès au logiciel comptable ? N’agissez pas trop vite. Prenez le temps de vous demander si la demande qui vous est faite est bien légitime. Vous pouvez même contacter l’organisme ou la personne concernée par un autre canal de communication pour vous assurez qu’il est bien à l’origine de la demande que vous avez reçue.
Pour aller encore plus loin, certaines entreprises organisent des campagnes de simulation de phishing. Les salariés apprennent ainsi à repérer les tentatives et améliorent leurs réflexes.