La définition du phishing
Le phishing ou hameçonnage en français consiste à se faire passer pour quelqu’un en qui vous avez confiance (organisme officiel, supérieur hiérarchique, un proche…) afin de récupérer vos données ou de s’introduire dans votre système informatique, sans que vous en ayez conscience.
Le terme phishing est un jeu de mots avec fishing en anglais, qui signifie « pêche » en anglais. L’idée est simple : comme un pêcheur qui jette son appât, les hackers envoient pléthore de courriers électroniques, SMS ou des messages sur d’autres plateformes en espérant que quelqu’un morde à l’hameçon. Le ph de phishing trouve son origine dans le jargon des pirates informatiques (phreaking), qui, au départ, s’attaquaient aux systèmes de télécommunication avant de cibler les systèmes informatiques.
Quels sont les différents types de phishing ?
C’est quoi une tentative de phishing ?
Faux nom de domaine « qouv.fr », mail d’administration fiscale, SMS du livreur de colis, rappel de la banque… Les tentatives de phishing, ou d’hameçonnage, peuvent venir d’à peu près n’importe où, ce qui ne les rend pas toujours simples à repérer. Reprenons donc les bases, pour éviter de tomber dans le panneau.
Les phishings n’ont de limite que l’imagination des fraudeurs. Dans l’actualité récente, des campagnes d’hameçonnage ont ainsi pu prendre la forme de mails de vérification de compte imitant la communication de l’éditeur de cartes tickets restaurants Swile, d’annonces alléchantes pour un faux jeu concours Lidl ou un vélo électrique soi-disant gagné auprès de Décathlon.
Certaines arnaques se font passer pour le site des impôts, pour la Police nationale ou pour l’application TousAntiCovid… Mails officiels, publicité sur les réseaux sociaux, messages envoyés par SMS ou n’importe quelle application de messagerie : à peu près tous les éléments que nous utilisons quotidiennement en ligne et sur nos téléphones peuvent être utilisés pour tenter de piéger les internautes — même les commentaires de documents partagés !
C’est quoi la méthode du spear phishing ?
Avec le temps, les internautes tombent de moins en moins dans le panneau face aux tentatives classiques d’hameçonnage des attaquants, c’est pourquoi les méthodes évoluent. Le spear phishing une attaque de phishing plus personnalisé et s’adresse à un nombre de personnes beaucoup plus réduit, là où le phishing traditionnel consiste à diffuser son message le plus largement possible.
Généralement, les hackeurs vont se faire passer pour un membre de votre entourage proche pour instaurer un climat de confiance et vous soutirer vos données personnelles comme des coordonnées bancaires donnant d’accès à votre compte par exemple.
Cette méthode cible souvent des entreprises, explique Gérôme Billois. Les attaques sont beaucoup plus poussées : un criminel peut lancer un spear phishing, en produisant un courriel ou une communication parfaitement calibrée pour essayer de tromper une personne précise : le patron, le responsable de la recherche et développement ou le directeur financier, par exemple. Le but est alors, dans certains cas, de réaliser une arnaque au président (se faire passer pour le fondateur pour détourner des fonds), dans d’autres d’espionner, ou de voler des données stratégiques.
Souvent, le phishing n’est aussi que la première étape d’opérations plus complexes : cliquez sur le lien malveillant intégré à l’attaque et vous lancerez en sous-main le téléchargement d’un cheval de Troie ou d’un rançongiciel, ou céderez sans vous en douter l’accès aux systèmes de votre entreprise. « Assez rapidement, on arrive sur des problématiques d’espionnage industriel », indique l’expert.
Comment repérer une tentative d’hammeçonnage ?
« Le grand public manque de sens critique envers ce qu’il se passe en ligne, c’est assez étrange, s’étonne Gérôme Billois, Partner cybersécurité et confiance digitale chez Wavestone. Dans la rue, si vous voyez des gens louches, vous changez de trottoir. Beaucoup de gens suspendent cette approche dans l’univers numérique, alors que tout ce qui y est dit n’est pas nécessairement vrai. »
Le premier conseil que l’on puisse donner pour éviter de tomber dans le panneau d’un hameçonnage, c’est donc de rester en alerte : si c’est trop beau pour être vrai, il vaut mieux vérifier avant de cliquer. S’il y a une notion très forte d’urgence, il faut redoubler d’attention : suggérer le besoin d’une action immédiate (« votre ordinateur est infecté, il faut le nettoyer ! », « j’ai besoin de quelques centaines d’euros dans la demi-heure pour me sortir d’une mauvaise passe ! ») est un mécanisme fréquemment utilisé dans les arnaques.
Comment repérer un site frauduleux ?
Un cran au-dessus, il y a quelques réflexes utiles à prendre : vérifiez les URL vers lesquelles renvoient les sites ou les textos que vous recevez, par exemple. Semblent-elles correctes, ou y a-t-il une petite erreur, un i à la place d’un l, un 0 à la place d’un o, un mot étrange ? Même chose dans des mails d’apparence officielle : s’il y a des fautes d’orthographe ou de grammaire, ça peut être louche. Si tout parait indiquer une correspondance de l’administration française, mais que dans le pied de page, l’adresse indiquée est située à l’autre bout du monde, c’est probablement anormal. S’il y a des pièces jointes, méfiance, encore une fois : elles sont un vecteur courant d’installation de logiciels malveillants.
À quoi ça sert, ce type d’attaque ?
Cela varie avec l’objectif final des personnes qui lancent la campagne de phishing : se faire de l’argent, voler des informations sensibles, déstabiliser une entité, récupérer des moyens de paiement… Pour les particuliers, les campagnes visent le plus souvent à récupérer des données personnelles, des informations bancaires ou directement de l’argent. Le but est soit de vous faire cliquer sur un lien qui installera ensuite un logiciel frauduleux, soit de vous convaincre de payer, de toute bonne foi (on parle alors d’ingénierie sociale : en manipulant l’individu, on arrive à lui faire céder de l’argent ou des informations).
Vous avez été victime d’une tentative d’hameçonnage ? Voici comment signaler un mail avec un site frauduleux
Le ministère de l’Intérieur met à disposition le portail phishing-initiative pour signaler des adresses frauduleuses qui font de l’usurpation d’identité ou d’une institution :
Vous pouvez aussi déposer une plainte au commissariat ou à la gendarmerie en fournissant tous les éléments de preuve (le mail, l’adresse de l’expéditeur, et tout autre détail pertinent). Ces informations essentielles peuvent aider les autorités à identifier les auteurs dans la mesure où le ou les attaquants agiraient sur le sol français.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.