À en croire les éditeurs antivirus, le phishing - ou hammeçonnage - est l'une des principales méthodes employées par les cybercriminels pour obtenir des informations personnelles et parfois bancaires auprès d'internautes incrédules. Il existe plusieurs types de hameçonnages, lesquels peuvent parfois avoir des conséquences désastreuses sur la vie des victimes. Cet article a pour but d'offrir un tour d'horizon des mécaniques les plus courantes de phishing, tout en offrant un maximum de solutions pour prévenir les attaques, avant qu'il ne soit trop tard.
Le phishing est la méthode la plus courante pour abuser de la confiance potentielle de victimes afin de récupérer leurs données, et pour cause : c'est aussi un des exemples de cybercriminalité les plus aisés à reproduire, sans nécessité de connaissances particulières en informatique. Ici, tout repose sur l'ingénierie sociale, à savoir un ensemble de techniques utilisées par des escrocs pour manipuler la psychologie humaine à leurs fins. Alors concrètement, qu'est ce que le phishing ? Comment le reconnaître ? Comment le prévenir, outre la méthode classique de l'antivirus gratuit ? Que faire en cas de hameçonnage ?
Phishing : origines et méthodes utilisées
Origines et définition
On parle de hameçonnage pour regrouper toutes les techniques d'ingénierie sociale employées par des escrocs pour manipuler la psychologie humaine, et pousser des victimes à partager leurs informations sensibles (d'identité ou bancaire) en passant par la falsification et le mensonge. Le but est d'encourager les victimes à agir sans réfléchir en passant par un message électronique malveillant (comprenant un lien vers un faux site par exemple). Les objectifs sont simples : récupérer des informations personnelles, d'identification voire même des données bancaires pour ensuite arnaquer la victime. Pour être le plus efficace possible, l'hameçonnage évolue en permanence pour contourner la cybersécurité et la vigilance humaine.
Originellement, le terme phishing apparaît pour la toute première fois au milieu des années 90, alors que des pirates ont commencé à employer des courriers électroniques malveillants pour récupérer des informations obtenues auprès d'utilisateurs naïfs. Alors qu'AOL était l'un des premiers fournisseurs d'accès à internet, beaucoup de pirates se faisaient passer pour des employés de la firme, afin d'inciter les utilisateurs à divulguer leurs informations. Ces premiers pirates étaient à l'époque appelés "phreaks" (tiré du mot "freaks" en anglais) ; en conséquence, le fishing a été renommé "phishing" pour coller au nom apposé aux fameux escrocs.
Au cours des années 2000, les attaques se sont directement centrées vers les comptes bancaires, avec des emails se faisant passer pour la banque des potentielles victimes afin qu'elles révèlent leurs données bancaires. Puis, au fil des années, le phishing s'est développé pour se faire passer pour à peu près n'importe quel service suffisamment respecté pour générer de la confiance (facture d'électricité, gouvernement, réseau social). Dans l'ensemble, la méthode reste cependant la même depuis plusieurs décennies. Encore récemment, iCloud, Google Docs & Paypal ont touchés par une campagne de phishing.
Les principaux types d'attaques
Si l'objectif du phishing et la méthode est dans l'ensemble restée la même depuis quelques années, il existe cependant quelques variantes à bien connaître pour au mieux les identifier. La méthode classique reste celle du bon vieil email : envoyé à des millions de personnes à la fois, il est peu couteux, et invite les nombreuses potentielles victimes à cliquer sur un lien malveillant, à télécharger une pièce jointe malveillante qui pourra potentiellement contenir un malware, ou encore à remplir un formulaire factice dont le simple but est de collecter des informations. L'email frauduleux est la méthode la plus employée dans le cadre du phishing, et correspond selon un rapport de Kaspersky à 55% du flux de mails dans le monde en 2019 (avec les spams).
Il existe cependant plusieurs types de phishing par email, parmi lesquels :
- Appelée Spear Phishing, cette méthode consiste à envoyer des messages électroniques à des personnes spécifiques au sein d'une organisation, généralement haut placées dans la boîte
- La fraude du PDG est, comme son nom l'indique, une technique de phishing dont le but est de faire croire à des personnes travaillant dans le secteur financier que leur PDG leur demande de l'argent
- La manipulation de liens permet aux escrocs de renvoyer leur victime vers un lien ressemblant à une entreprise officielle
- Il est également possible de télécharger un logiciel malveillant directement depuis une pièce jointe reçue par mail
Malgré une idée préconçue, le phishing ne passe pas uniquement par email : il est également possible de se faire menacer par cette méthode peu scrupuleuse par téléphone ou par SMS. Si le phishing par SMS est globalement moins répandu, il reprend néanmoins globalement la forme du mail de phishing, en se faisant passer pour un organisme officiel afin de rediriger l'utilisateur vers un site malveillant.
Le phishing par téléphone est également moins répandu, mais aussi plus dangereux : puisqu'il touche beaucoup moins de monde, les bons réflexes à prendre sont moins évidents. Ainsi, par cette méthode, les personnes mal intentionnées contactent directement la victime en se faisant passer pour une banque ou un organisme officielle afin de demander à la victime ses informations au cours d'une conversation téléphonique.
Les méthodes de phishing sont donc nombreuses, et pour ne pas succomber à une menace particulièrement bien articulée, il est important de ne jamais communiquer d'information personnelle, que ce soit par mail, téléphone ou SMS. Le principal étant évidemment de reconnaître une tentative de phishing.
Comment reconnaître les tentatives d'hameçonnage ?
Si la plupart des mails de phishing terminent dans la section "spams" d'une boîte mail, il arrive parfois que certains messages frauduleux parviennent dans la boîte principale de l'utilisateur. Il est cependant possible de les repérer en étant particulièrement attentif à plusieurs éléments.
D'abord, l'expéditeur : il est généralement recommandé de ne répondre qu'à des mails venant de personnes ou d'organisations déjà connues. Pour être sûr qu'il s'agit de mails sûrs, il suffit de vérifier l'adresse mail de l'expéditeur, puis de la comparer avec d'autres mails reçus par la même personne ou la même organisation. Si l'adresse mail a changé, alors il y a de fortes chances pour que le message reçu soit frauduleux. Idem si l'adresse mail contient des fautes, tout un tas de chiffres ou de lettres qui ne semblent pas avoir de sens dans le contexte.
Il est par ailleurs important de jeter un œil à la date à laquelle le message a été envoyé : s'il a été envoyé à des horaires incongrus (notamment la nuit, alors que l'organisme en question n'est pas sensé être en service), il sera de bon ton de redoubler de vigilance. Le contenu du message est également à inspecter avec la plus grande attention : il comporte parfois des fautes, semble irréaliste dans le contexte du mail, ou joue parfois avec les émotions (appel à la pitié, menaces, chantage, etc).
Si un mail venant d'une source inconnue comporte une pièce jointe, alors il est primordial de ne pas cliquer dessus, car cette dernière pourrait comporter divers malwares capables d'infecter l'appareil de l'utilisateur, même si son format semble sûr (PDF, Word, etc). Au même titre, la présence de liens hypertextes pourra renvoyer vers un site malveillant : pour en savoir plus sans cliquer dessus, il est recommandé de passer la souris sur le lien sans cliquer pour voir l'URL de redirection, et ainsi se faire une meilleure idée du site vers lequel l'utilisateur sera redirigé.
Par ailleurs, si un mail fait une demande de données personnelles/bancaires, joue avec les émotions de l'utilisateur, essaie de le convaincre de cliquer sur un lien ou une pièce jointe, propose un sujet alarmiste avec une demande peu raisonnable, il y a de fortes chances pour qu'il s'agisse de phishing.
Comment se protéger contre l'hameçonnage en ligne ?
Les bonnes pratiques pour se prémunir
Il existe un certain nombre de gestes à prendre pour réflexes lorsque l'on reçoit un mail, afin d'éviter de succomber aux tentatives de phishing, de plus en plus astucieuses et dissimulées. Déjà, si le mail présente quelques uns des éléments abordés plus haut, il convient de simplement l'ignorer. S'il s'agit par exemple d'un mail se faisant passer pour le gouvernement, une banque ou une institution, il est également possible de contacter l'organisme en question afin de demander confirmation que le mail reçu par l'utilisateur vient de lui ou non.
D'autre part, il est recommandé de mettre souvent à jour navigateurs web et antivirus, afin que ces derniers puissent être plus réactifs sur les nouvelles formes de menaces. Côté sécurité bancaire, la double authentification est nécessaire : ainsi, si la victime venait à partager par mégarde ses informations bancaires, elle sera potentiellement protégée par cette surcouche de sécurité lors d'un achat via une carte bancaire ou directement sur internet.
Les gestes à effectuer pour contrer le phishing sont nombreux, mais aucun d'entre eux ne sera efficace si l'utilisateur n'est pas informé et au fait des mécaniques habituelles employées par le phishing. Ainsi, un internaute éduqué sur la pratique aura d'emblée beaucoup plus d'armes à son arsenal pour faire face à la menace.
Optez pour une messagerie sécurisée
S'il existe de nombreuses options de services de messagerie par email, elles ne se valent pas forcément toutes, notamment au niveau de la sécurité. Il est ainsi particulièrement important de faire attention à opter pour un service de messagerie enclin à protéger ses utilisateurs de tentatives de phishing, que cela passe par un filtre anti-spam ou une autre méthode de sécurité supplémentaire.
Les filtres anti-spam de Gmail & Outlook
Gmail et Outlook analysent par défaut tous les mails afin de détecter les spams et les tentatives de phishing. Ils intègrent généralement les dernières technologies de détection de mails envoyés de manière massive afin de déterminer les tentatives de hameçonnage avant même qu'ils ne puissent atteindre la boîte mail de l'utilisateur. L'intelligence artificielle analyse ainsi tous les messages entrants et les met en quarantaine immédiatement : il s'agit là de la première couche de sécurité pour faire face au phishing, mais il arrive parfois que certains mails frauduleux parviennent à contrer cette détection et à se frayer un chemin vers la boîte mail de l'utilisateur. Il est donc important de se prémunir autrement.
Protégez vos appareils avec une solution de sécurité
Malgré la vigilance humaine et un potentiel filtre anti-spam de qualité, il peut arriver que certains messages frauduleux parviennent malgré tout sur la boîte de réception d'un utilisateur. Il est donc fortement recommandé de rajouter une couche de sécurité par le biais d'une suite dédiée à l'occasion.
Mettez vos mots de passe à l'abri
Diverses campagnes de hameçonnage récentes ont ciblé principalement les mots de passe de nombreux services d'utilisateurs naïfs. Si un utilisateur venait à donner des mots de passe à des personnes malveillantes, ces dernières pourraient s'en servir pour collecter encore plus de données, les revendre auprès d'autres cybercriminels, voire même pour installer un ransomware ou d'autres malwares sur un appareil. Ainsi, outre la double authentification, à mettre en place dès qu'elle est possible, une couche supplémentaire de sécurité consiste à se procurer un gestionnaire de mots de passe pour pallier ces potentiels problèmes.
Surfez l'esprit tranquille
Histoire de rajouter une ultime couche de sécurité, l'emploi d'un navigateur web sécurisé, avec une fonction anti-phishing dédiée, est globalement recommandé pour éviter toute mauvaise surprise.
Quels recours pour une victime de phishing ?
Si, malgré toutes ces informations, un utilisateur finit par se faire piéger par une tentative de phishing par manque de vigilance, il lui reste plusieurs recours. D'abord, il est primordial de signaler l'escroquerie sur la plateforme PHAROS (Plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements), dont le but est de supprimer les sites internet dont le contenu est illicite.
Lorsque l'utilisateur reçoit un SMS abusif, il peut immédiatement le transférer au numéro 33 700, qui est un dispositif d'alerte par SMS créé par les opérateurs télécoms et l'état, permettant ensuite aux organismes intéressés d'agir rapidement face à ces menaces.
D'autre part, si la victime a par mégarde partagé ses informations bancaires suite à une tentative de phishing, il est recommandé d'immédiatement prévenir sa banque pour engager une démarche de blocage de compte, afin d'empêcher que l'argent de la victime ne se volatilise.
Glossaire Antivirus : nos autres définitions
- Qu'est-ce qu'un cheval de Troie (trojan) et comment s’en protéger ?
- Qu’est-ce qu’un malware de type wiper et comment s’en protéger ?
- Qu'est ce qu'un cryptolocker et comment s’en protéger ?
- Qu'est-ce qu'un bloatware et comment s'en débarrasser ?
- Qu'est-ce qu'un ransomware ou rançongiciel et comment s’en protéger ?
- Qu'est-ce qu'un logiciel malveillant (ou malware) et comment m'en protéger ?
- Qu'est-ce qu'un rootkit et comment s'en protéger ?
- Qu'est-ce qu'un keylogger et comment s'en protéger ?
- Qu'est-ce qu'un spyware et comment s'en protéger ?
- Qu’est-ce qu’un botnet et comment s’en protéger ?
