Le Phishing

Le phishing, ou l’hameçonnage en français, est un type d’escroquerie visant à voler vos données personnelles. C’est une pratique frauduleuse courante, qui peut revêtir différentes formes et qui  peut avoir des conséquences importantes. Mais ce n’est pas une fatalité !

Voyons ensemble les bonnes pratiques pour s’en prémunir et les recours à votre disposition si vous en êtes victime.

Qu'est-ce que le phishing ou l'hameçonnage ?

Le phishing est une escroquerie ayant pour but de dérober vos données personnelles. Il peut s’agir de vos mots de passe, de vos coordonnées bancaires ou bien encore de votre numéro de sécurité sociale. L’objectif du cybercriminel : vous voler de l’argent, revendre vos données au marché noir ou bien encore répandre des malwares.

Hameçonnage. Le terme est éloquent : l’escroc procède comme le pêcheur. Son but est de récolter un maximum de données comme un pêcheur lance son filet pour attraper le plus grand nombre de poissons possible. Pour tromper votre vigilance et vous attirer à lui, il utilise un leurre, un hameçon. Voyons ensemble son modus operandi pour contrer ses attaques et ne plus être un poisson crédule.

Le mode opératoire de l'escroc

Le fraudeur montre patte blanche en se faisant passer pour une administration, un organisme de confiance, un réseau social, un site marchand que vous utilisez régulièrement ou même un de vos contacts. Il usurpe une identité.

Vous recevez le plus souvent un mail de votre banque, de LinkedIn, Paypal ou Netflix, de la CPAM, de la CAF ou du Centre des Finances Publiques par exemple. Le mail a l’apparence d’un mail officiel : le logo de l’organisme ou entreprise est en bonne place et le corps du mail s’apparente à ceux que vous recevez d’ordinaire. Pourtant la demande est atypique : on vous demande de mettre à jour vos coordonnées bancaires ou de communiquer vos identifiants. Sachez qu’aucun organisme ne vous demandera de lui communiquer ce genre d’informations. On peut aussi vous appâter en vous annonçant un remboursement imprévu. Une autre technique du cybercriminel, le mail alarmiste : on vous fait part d’une activité suspecte sur votre compte par exemple.

Si l’hameçonnage ou le phishing est couramment utilisé via email, il existe des variantes.

  • On peut aussi essayer de vous soutirer vos données personnelles par téléphone (on parlera alors d’arnaque vocale ou « vishing ») ou via texto (le « SMiShing »).
  • Les sites internet peuvent aussi être des instruments de phishing : le fraudeur crée un site en tout point semblable à l’officiel, vous y attire et vous subtilise vos identifiants lorsque vous tentez de vous y connecter. Il pourra ensuite les utiliser sur le site réel.
  • De même, méfiez-vous des pop-ups : vous savez, ces messages de votre antivirus vous enjoignant à le mettre à jour ? Si une de ces fenêtres intempestives apparaît sur votre écran, résistez à l’envie de cliquer. Rendez-vous le cas échéant sur le site en tapant vous-même son adresse dans votre barre de recherche.
  • Enfin, sachez que les réseaux sociaux sont aussi propices à l’hameçonnage : le cybercriminel peut créer de faux profils ou pirater les comptes existants.

Les indices pour démasquer un mail frauduleux

  • Penchez-vous sur l’adresse mail de l’envoyeur. Le plus souvent elle comporte une discrète faute (la suppression d’une lettre au sein du nom de domaine ou l’ajout d’une extension par exemple) qui peut facilement passer inaperçue.
  • Si en lieu et place de l’adresse mail apparaît seulement le nom de l’expéditeur, ayez le réflexe de dérouler le champ « expéditeur » : l’adresse véritablement utilisée apparaîtra. Vous vous rendrez compte que cette dernière n’a aucun lien avec l’organisme ou la personne annoncé(e). Cette manipulation n’est pas possible sur un smartphone malheureusement.
  • L’hameçonnage ou le phishing est une opération d’envergure. Le mail est envoyé à un grand nombre de personne. Il n’est donc pas personnalisé : les tournures de phrase sont vagues, il fait référence à une facture dont vous n’avez pas souvenir,…
  • Le mail est parfois mal rédigé, il comporte des fautes d’orthographe. Ces erreurs de débutant sont toutefois maintenant plus rares. L’escroc s’est professionnalisé.
  • Si le mail comporte un hyperlien, passez votre souris sur ce lien, sans cliquer. L’URL du lien apparaîtra et sera le plus souvent farfelue, sans aucun rapport avec le contenu du mail ou l’expéditeur proclamé.
  • L’escroc peut avoir piraté le compte d’une de vos connaissances et avoir utilisé la liste de ses contacts. L’expéditeur n’est pas un organisme mais une personne de votre entourage. Là aussi, prudence ! Si le contenu du message ne fait pas sens, si votre « ami » vous demande de l’argent ou vos informations personnelles, contactez-le via un autre média.
  • Et encore une fois, gardez en tête qu’un organisme, une banque ou un site marchand ne vous demanderont jamais de leur communiquer vos mots de passe ou vos coordonnées bancaires.

La marche à suivre face une tentative d'hameçonnage ou de phishing

Tout d’abord, protégez-vous :

  • Ne communiquez aucune information.
  • Ne cliquez sur aucun lien. N’ouvrez aucune pièce jointe contenue dans le mail.
  • Vous avez encore un doute quant à l’authenticité du mail ? Tapez dans votre moteur de recherche l’adresse de l’entité qui vous a soi-disant contacté et rendez-vous sur le site officiel. Ou téléphonez à votre banque et renseignez-vous de vive voix.
  • Si vous avez reçu ce mail frauduleux sur votre boîte mail personnelle, supprimez-le et vider votre corbeille.
  • Avant de le supprimer, vous pouvez aussi le partager aux autorités compétentes et faire un signalement sur www.internet-signalement.gouv.fr
  • Si vous avez reçu ce mail sur votre boîte professionnelle, faites-le suivre au service en charge de la sécurité informatique.

Que faire en cas d'escroquerie avérée

Vous avez été un poisson crédule, vous aviez la tête ailleurs : vous avez cliqué sur le lien, vous avez communiqué des informations personnelles. Que faire ?

  • Conservez le mail frauduleux. Il vous sera utile lorsque vous déposerez plainte.
  • Si vous avez communiqué vos coordonnées bancaires, faites opposition sur votre carte bancaire et prévenez votre banque.
  • Si vous avez partagé vos identifiants et mots de passe, changez-les immédiatement.
  • Contacter l’organisme et signalez-lui la fraude dont vous venez d’être victime.
  • Rendez-vous à la brigade de gendarmerie ou poste de police dont vous dépendez et portez plainte. Pour gagner du temps vous pouvez enregistrer une pré-plainte en ligne sur https://www.pre-plainte-en-ligne.gouv.fr/

Comment se protéger et être pro-actif face à la cybercriminalité

Le cybercriminel est ingénieux et plein de ressources. Ce n’est pas une raison pour baisser les bras. Voici quelques bons réflexes à avoir pour protéger ses données privées et ses biens :

  • Ayez un bon antivirus à jour.
  • Vous pouvez toujours bloquer un expéditeur malveillant via les paramètres de votre boîte : vous ne recevrez plus d’email de sa part. Néanmoins c’est une tâche ardue et sans fin. Rappelez-vous : le cyber-fraudeur est inventif et volontaire.
  • Privilégiez plutôt un logiciel antispam qui sera plus efficace et fera le travail pour vous.
  • Vous pouvez aussi configurer votre boîte mail via les paramètres de sécurité avancée afin de la protéger au mieux. La plupart des fournisseurs de messagerie propose ces outils. Cette manipulation simple permet aux pièces jointes suspectes ou inhabituelles d’être détectées. Les liens derrière des URL courtes sont identifiés. Le contenu des images est analysé. Un message d’avertissement apparaît lorsque vous cliquez sur un lien qui s’apprête à vous rediriger vers un site douteux. Les paramètres de sécurité avancée permettent aussi de se protéger contre l’usurpation d’identité (le spoofing) d’un nom de domaine, de personne ou même d’email. Un message attirera votre attention sur ce mail suspect et possiblement frauduleux.

Tous les messages tendancieux seront directement stockés dans vos spams. Si vous choisissez de les conserver dans votre boîte de réception un message vous avertira du danger potentiel avant que vous ne l’ouvriez.

  • Convertissez le mail écrit en HTLM en format texte brut : les URL cachées apparaîtront en toutes lettres.

***

Vous voilà maintenant armé pour contrer les assauts des cybercriminels hameçonneurs. N’hésitez pas à consulter les articles d’Argent sans tabou sur le sujet pour approfondir vos connaissances. Car n’oubliez pas : la connaissance est une forme de pouvoir et une arme très puissante !