Si les malfaiteurs peuvent faire appel à des ressorts techniques pour rendre leurs phishings convaincants, vous n’avez pas besoin de connaissances informatiques pour les déceler.
Nous pourrions vous conseiller de décortiquer l’orthographe des messages, et passer au crible l’adresse de l’expéditeur ou de faire attention aux liens contenus dans l’email. Mais dans la majorité des cas, vous n’aurez même pas besoin de faire ce genre d’évaluation du contenu. Il vous suffira de suivre nos trois conseils basiques pour ne pas vous faire piéger.
1. Soyez trop prudents, vous avez raison de vous méfier
Un email vous paraît étrange ? Et bien, vérifiez, systématiquement. Peut-être que dans 99 cas sur 100, votre méfiance sera exagérée, mais ce n’est pas un problème. Il suffit que cette méfiance vous permette de déjouer une seule arnaque pour que le temps investi à vérifier les autres emails soit rentabilisé.
Oui, vous allez sûrement perdre des dizaines de minutes cumulées que vous auriez pu passer à faire des choses bien plus fun. Mais ces minutes de vérification vous éviteront de perdre l’accès à vos comptes, de vous faire voler de l’argent ou, dans le pire des cas, de vous faire usurper votre identité en ligne.
Les malfaiteurs sont conscients que si vous doutez, leur manipulation à peu de chance d’aboutir. C’est pourquoi ils essaient quasi systématiquement de créer un sentiment d’urgence chez leurs victimes. Il faudrait vite répondre, ou la situation empirerait. Prenez donc le temps de douter, et de vérifier consciencieusement. Faites-vous confiance, et ne répondez ou ne cliquez pas si vous n’êtes pas convaincu de la légitimité du message. Vous y gagnerez sur le long terme. Si l’expéditeur est légitime, il trouvera un autre moyen de vous contacter ou de prouver sa bonne foi.
2. Demandez à Internet, vous trouverez vos réponses
L’avantage d’Internet, c’est que si vous avez un doute sur la légitimité d’un message, vous ne serez certainement pas la première personne à douter de la sorte. La grande majorité des campagnes de phishings sont récurrentes, et certaines circulent depuis plus de 10 ans, et ont plusieurs articles et campagnes de préventions dédiés. C’est pourquoi déjouer un phishing peut se résoudre juste en tapant quatre mots-clés sur Google ou son moteur de recherche préféré.
Testez différentes requêtes : les premières phrases du message ; l’adresse de l’expéditeur de l’email ou une description générale du contenu du message. Vous devriez tomber sur des forums de consommateur truffés de témoignages, des associations expertes comme Signal Spam ou encore des avertissements émis par Cybermalveillance ou les forces de l’ordre. Ou peut-être que vous aboutirez sur Cyberguerre, où nous décortiquons les principales campagnes de phishing françaises. Au moindre signe qui confirmerait vos suspicions, passez votre chemin. En dernier recours, faites part de vos soupçons de phishing à un proche plus compétent que vous sur le sujet.
Dans le cas où le message étrange serait sur votre adresse d’entreprise, n’hésitez pas à le faire vérifier par votre responsable sécurité (RSSI), qui aura les compétences techniques pour le disséquer. Les pirates utilisent des phishings plus complexes que les phishings grand public pour viser les entreprises et autres organisations. Leur objectif : déployer des malwares extrêmement virulents comme les rançongiciels. Puisque vous ne voulez pas être la porte d’entrée d’un incident qui pourrait coûter des centaines de milliers d’euros à votre entreprise, appuyez-vous sur les ressources à votre disposition.
3. Passez par le site ou l’app officiels au lieu de cliquer
C’est sûrement le meilleur conseil de cette liste. En passant par les canaux de communication officiels (téléphone, site, app) du prétendu expéditeur du message, vous pourrez confirmer ou non sa légitimité sans risque.
Vous recevez un message étrange de l’Assurance Maladie ? Connectez-vous à votre espace en ligne, vous y retrouverez le message, s’il existe. Un email vous indique que vous allez être facturé pour une commande Darty que vous n’avez pas faite ? Appelez le service client de l’entreprise.
Pour connaître le site officiel, il suffit le plus souvent de taper le nom de l’organisation sur votre moteur de recherche. Faites cependant attention à ne pas cliquer sur les liens sponsorisés qui apparaissent en tête de la page. Même s’ils sont clairement identifiés comme publicitaires ou sponsorisés, ils peuvent cacher de faux services. Assurez-vous donc de cliquer sur un résultat du moteur de recherche.
Si vous suivez ces précautions, déceler les phishings n’est pas si compliqué. La difficulté réside plutôt dans la répétition des efforts : vous recevrez des milliers de phishings dans votre vie, mais une seule erreur suffit aux malfaiteurs.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.