Qu’est-ce que le phishing et comment s’en protéger ?

François Verrier
Spécialiste logiciels et apps
05 mai 2020 à 11h24
0
Phishing
Cet article est sponsorisé par Bitdefender. Consultez notre charte de transparence pour en savoir plus.


Aussi appelé filoutage ou « phishing » en anglais, l'hameçonnage est un ensemble de techniques permettant à des fraudeurs de mettre la main sur les données personnelles de leurs victimes afin d'usurper leur identité. Cet article passe en revue les méthodes d'hameçonnage les plus courantes, montre comment les reconnaître et donne des conseils pour s'en prémunir. Nous vous expliquerons également la bonne réaction à avoir suite à une attaque de ce type.

Généralement, les attaques par hameçonnage requièrent peu de connaissances en informatique et reposent principalement sur la manipulation psychologique pour susciter la peur ou jouer sur l'appât du gain. Faisons donc un tour d'horizon du phishing, en découvrant les réflexes à adopter pour ne pas se faire duper, et en tentant de comprendre en quoi un antivirus nous protège du phishing.

Phishing : origines et méthodes utilisées

Origines et définition

L'hameçonnage recouvre l'ensemble des techniques et approches permettant à des cyber-escrocs d'amener des personnes à révéler leurs informations personnelles, comme des identifiants, des numéros de carte de crédit, de sécurité sociale ou une copie de papiers d'identité. La plupart du temps, ce type d'attaques se fait en envoyant des e-mails frauduleux qui redirigent eux-mêmes vers des sites web contrefaits d'une organisation légitime comme Paypal, une administration ou une banque en ligne.

Depuis les années 2000, le fonctionnement de l'hameçonnage reste peu ou prou le même. La victime reçoit des e-mails lui demandant d'actualiser, de confirmer ou de saisir des informations personnelles d'une banque, d'une organisation ou d'une administration. Le contenu du message suggère régulièrement qu'un problème est survenu et invite à cliquer sur un lien hypertexte donnant accès à une fausse page web.

Phishing colis
Le phishing du faux colis à payer a le vent en poupe, prudence !

Cette dernière ressemble à s'y méprendre à la page officielle du service, la victime est amenée à saisir ses informations personnelles ou à envoyer des documents personnels. Les informations sont instantanément récupérées par les malfaiteurs qui peuvent alors usurper l'identité de la victime, détourner ses fonds et nuire à sa réputation.

Les principaux types d'attaques

L'hameçonnage par e-mail est la voie privilégiée des fraudeurs en ligne, car elle reste simple, demande peu de connaissances en informatique et s'avère peu coûteuse. Le même message est envoyé à des millions de personnes et le fraudeur doit simplement attendre qu'elles mordent à l'hameçon.

Ce même modèle peut aussi être adapté à une cible retenue pour un enjeu financier, stratégique ou industriel. Dans ce type d'attaque appelé « harponnage », ou « spear phishing » en anglais, les fraudeurs envoient un message à une ou plusieurs personnes ciblées avec un contenu personnalisé et lié à leurs activités. Des pirates peuvent ainsi se faire passer pour un sous-traitant pour voler des informations confidentielles ou professionnelles.

Les arnaques et fausses promesses ont eut le vent en poupe avec la fameuse arnaque nigériane et d'autres nombreuses escroqueries en ligne promettant au choix, amour, gloire ou une très importante somme d'argent en échange d'un transfert pécuniaire à l'étranger. Faisant appel à la pitié des victimes et avec une agressivité allant crescendo, ce type d'escroquerie repose à la fois sur une emprise mentale sur les victimes et l'appât d'un gain facile. Si tous les publics sont visés, notons ici que selon le rapport « Spam and phishing in 2019 » par Kaspersky, environ 55 % du trafic mondial d'e-mails est constitué de spams et de phishing.

Phishing Loterie
Exemple d'e-mail d'une fausse loterie

Moins répandu, l'hameçonnage par téléphone est davantage pernicieux car les fraudeurs se font passer pour une banque, un service en ligne ou une administration et demandent des informations personnelles en appelant directement leurs victimes. Il est important de ne jamais communiquer d'informations personnelles, bancaires et tout autre renseignement par téléphone, que ce soit avec une personne physique ou avec un automate.

Le phishing par SMS est certes peu courant, mais tout aussi efficace. De la même manière que par e-mail, un faux lien est inséré dans le contenu du message et renvoie vers une copie frauduleuse d'un site officiel.



Comment reconnaître les tentatives d'hameçonnage ?

Les pirates utilisent également plusieurs méthodes par e-mail pour contrer les filtres anti-spam des clients. Au premier abord, l'apparence des e-mails frauduleux est recopiée à l'identique des messages officiels. Outre l'esthétique, les e-mails frauduleux peuvent manipuler les URL ou bien utiliser des images au lieu du texte pour rendre la détection du spam plus délicate.

Il existe toutefois des éléments particuliers pour reconnaître une tentative d'hameçonnage plus facilement :

  • L'expéditeur : l'adresse est incongrue, comprend des fautes de frappe ou un nom de domaine louche ou l'expéditeur est complètement inconnu ;

  • Le destinataire : le message peut être envoyé à plusieurs personnes, le destinataire peut se retrouver en CC (copie cachée) ;

  • Le sujet et la date du message : la date peut être en dehors des horaires d'ouverture d'un service et l'objet du message ne correspondant pas avec le contenu de l'e-mail ;

  • Le contenu du message : généralement incohérent, truffé de fautes et semblant parfois irréaliste avec le contexte, comme la promesse d'un gain énorme, le dévoilement de photos privées ou l'appel à la pitié ;

  • Les pièces jointes : leur présence semble injustifiée et le format peut être source de potentiels dangers tel le format PDF et Acrobat Reader qui présentent des failles ;

  • Les liens hypertextes : le lien semble renvoyé à une adresse incongrue, mal écrite et comprenant des fautes témoignant de la fraude. Une astuce consiste à passer la souris sur un lien avant de cliquer dessus pour voir l'URL de redirection s'afficher en bas de la fenêtre du navigateur. Les fraudeurs se font un plaisir de copier des URL et de remplacer juste un symbole ou de tromper sur le nom de domaine.

Phishing La Poste
Tentative d'hameçonnage via un faux e-mail de la Banque Postale

Comment se protéger contre l'hameçonnage en ligne ?

Les bonnes pratiques pour se prémunir

Les éléments spécifiques d'un hameçonnage étant passés en revue, il est important de s'armer, de sensibiliser tous les publics, les jeunes comme les moins jeunes, les néophytes comme les personnes les plus expérimentées, à bien se prémunir contre ce type d'attaque pouvant amener un préjudice moral et/ou financier potentiellement important.

Voici une liste non exhaustive des gestes barrières pour lutter contre l'hameçonnage :

  • Il est important d'éviter d'ouvrir, de répondre et de cliquer sur les liens d'e-mails douteux ou présentant des éléments cités dans le chapitre précédent ;

  • Si possible, saisir toutes les adresses de sites web et d'organismes à la main et toujours vérifier le nom de domaine de chaque page visitée. Généralement, les organismes et administrations n'envoient pas d'informations par e-mails, mais informent qu'un message est reçu dans la boite de réception du compte en ligne ;

  • Consulter les certificats électroniques et d'authentification de chaque site en cliquant sur l'icône située à gauche de l'URL. Cette option permet de visualiser si la connexion est sécurisée et sur l'identité du site visité ;

  • Toujours mettre à jour son navigateur web et ses antivirus. Ils intègrent souvent toutes les protections nécessaires pour se protéger du spam dans sa boite e-mail et des sites frauduleux en ligne. Leur mise à jour permet une actualisation des menaces pour une meilleure protection ;

  • Pour une sécurité bancaire accrue, il est aussi recommandé d'appliquer une sécurité supplémentaire à son compte, notamment une double authentification par SMS pour valider chaque virement ou paiement en ligne. Certaines banques incluent également cette option, il est conseillé de contacter votre banque.


Les organismes bancaires, les administrations, les services fiscaux et autres services informent qu'un message est disponible directement dans l'espace client.

Les filtres anti-spam, antivirus et les navigateurs web

Les fournisseurs de messagerie intègrent des filtres anti-spam permettant de faire office de premier rideau défensif. Ils utilisent généralement les dernières définitions pour détecter les tentatives d'hameçonnage les plus récentes. Il en est de même pour les logiciels de messagerie comme Thunderbird et Outlook qui permettent aussi de se protéger efficacement contre le spam, le vecteur principal de transmission du phishing.

Phishing Firefox
Message d'avertissement sous Mozilla Firefox

Dans la même optique, les navigateurs web sont également munis d'une protection anti-phishing intégrée. Les sites trompeurs laissent place à un message d'avertissement pour informer que ladite page est bloquée. Les utilisateurs peuvent passer leur chemin, signaler un faux positif ou ignorer l'avertissement.

Les antivirus sont également un très bon moyen de se protéger contre le phishing, et ce, de deux manières. D'une part, le filtre antispam permet de se débarrasser du courrier indésirable en amont, avec une base de données spam mise à jour régulièrement. Les antivirus disposent aussi d'un module qui bloque toutes les pages web frauduleuses et qui usurpent un service ou une organisation. Lorsqu'une personne clique sur un lien d'hameçonnage, la page web est automatiquement bloquée avec un avertissement. Si cette double protection est très efficace, les réflexes cités plus haut sont indispensables pour se protéger efficacement.

phishing malwarebytes
Avertissement de tentative de phishing sous Malwarebytes


Que peut faire une victime de phishing ?

Les bons réflexes et l'œil aiguisé ne suffisent pas toujours à se protéger contre le phishing : il est donc important de bien connaître les gestes à faire en cas de préjudice.

  • Signaler pour mieux lutter avec Phishing initiative qui permet à toute personne de signaler un site d'hameçonnage français et de participer à la lutte globale contre le phishing. Lancé à l'initiative de Microsoft et de Paypal, ce service est depuis repris par Orange Cyberdéfense. Sa base de données est mise à jour en continu par le centre de réponses aux attaques de sécurité informatique et exploitée par les navigateurs web Edge, Firefox, Chrome et Safari.

  • Si le contenu illégal peut virer au harcèlement, à la mise en danger des personnes ou à l'escroquerie, le Gouvernement propose également la plateforme de signalement en ligne Pharos.

  • Pour les victimes de cybermalveillance, le Gouvernement propose la plateforme cybermalveillance.gouv.fr/ pour aider les particuliers, entreprises et collectivités victimes de malveillance en ligne, par phishing ou un autre moyen. La plateforme propose des conseils/vidéos pour sensibiliser son entourage professionnel ou personnel et des services de proximité en cas de dommages causés par une attaque informatique.

  • Pour s'informer sur les escroqueries via la plateforme InfoEscroqueries, appel au 0 805 805 817, ouvert du lundi au vendredi de 9h à 18h30. Ce numéro vert (appel gratuit) est dédié au signalement d'un site internet ou un courriel d'escroquerie, un vol de coordonnées bancaires ou une tentative d'hameçonnage. La plateforme est aussi en charge de conseiller et orienter les particuliers et professionnels victimes d'une escroquerie, que ce soit par e-mail, téléphone, SMS ou bien physiquement.

  • En cas de préjudice, contactez votre organisme bancaire au plus vite pour envisager des recours et d'éventuels remboursements.



Cet article est sponsorisé par Bitdefender. Pour autant et comme expliqué dans notre charte, cette prise en main a été réalisée en toute indépendance, elle reflète donc un avis objectif ; nous vous laissons en juger.


0
1
Partager l'article :

Pourquoi nous faire confiance ?

Pour vous, Clubic sélectionne puis teste des centaines de produits afin de répondre aux usages les plus courants. De la qualité pour tous et à tous les prix, voilà notre objectif ! En savoir plus

scroll top