• Temps de lecture :15 min de lecture

Le terme « phishing » est la parfaite contraction des mots anglais « fishing » qui signifie « pêche » et « phreaking » qui veut dire « piratage téléphonique ». En français, on parle d’hameçonnage.

Il s’agit d’une technique de piratage destinée à récupérer des informations personnelles ou transmettre un programme malveillant grâce à un appat.

Le hacker se fait passer pour une administration, une entreprise dont vous êtes familier (banque, service des impôts, CAF, etc.) ou un collaborateur, un proche.

Les vecteurs de phishing

Traditionnellement, le phishing se présentait sous la forme d’un mail.

Aujourd’hui, de nouvelles formes sont apparues suite à l’évolution des technologies.

Forme Description
Phishing par mail
Elle est de loin la méthode la plus utilisée. Elle consiste à lancer son appât dans des mails à travers des liens vers des sites Internet factices ou des pièces jointes contenant des malwares.
Phishing par site Internet
Les sites web de phishing, également appelés sites factices, sont des copies de sites Internet légitimes que vous fréquentez. Les pirates créent ces sites afin de vous tromper et récolter vos identifiants de connexion, qu’ils pourront utiliser pour se connecter à vos comptes.
Vishing
Abréviation de « vocal phishing », le vishing est la version audio du phishing sur Internet. L’attaquant tente de convaincre ses victimes par téléphone de divulguer des informations sensibles qui pourront être utilisées pour accéder à vos comptes ou une usurpation d’identité.
Smishing
Le smishing est la version SMS du phishing. Vous recevez un SMS avec un lien. Soit cela mène à un site factice soit télécharge un programme malveillant sur votre téléphone.
Phishing social media
On peut rencontrer 2 situations : après piratage d'un compte, le hacker va contacter les contacts du propriétaire du compte piégé pour les berner. L’autre possibilité est l'utilisation de faux comptes pour hameçonner leurs futures victimes.

Risque selon les générations

Une étude de Proofpoint réalisé en 2020 a démontré une corrélation entre forme de phishing et âge de la cible.

étude proofpoint phishing

Les baby boomers sont plus au fait du phishing que les autres génération.

Inversement, les millenials reconnaissent mieux les nouvelles formes, le smishing et le vishing.

Les techniques de phishing

Maintenant, attardons-nous sur les types de techniques de phishing utilisées par les escrocs. Et la liste s’allonge au fil du temps. Les cybercriminels sont créatifs ! Ils imaginent de nouveaux moyens d’accéder au sésame à mesure des nouveautés technologiques, et l’évolution de nos usages afin de trouver nouvelles occasions d’exploiter les failles des systèmes de sécurité et des personnes.

Explorons quelques-uns des types d’escroqueries par phishing :

  • Phishing trompeur : Principalement utilisé par mail, un message plus ou moins bien conçu est envoyé en se faisant passer pour une organisation ou une personne légitime. L’adresse d’expéditeur est légèrement modifiée et peut passer inaperçue aux yeux du destinataire. Le mail contient un lien, qui mène à un site Internet factice ou installe un programme malveillant. Ces messages sont également connus sous le nom de « phishing de masse » pour ferrer le plus de personnes possibles.
  • Spear phishing : Dans le cas de phishing ciblé, les hameçonneurs personnalisent leurs attaques pour cibler des individus qui travaillent dans une entreprise ou un secteur d’activité particulier car la cible finale est l’entreprise elle-même.

/!\ LinkedIn est une mine d’or pour les cybercriminels qui peuvent facilement trouver les informations nécessaires pour mener à bien leur attaque ciblée.

  • Whaling attack (harponnage) : « whale » signifiant « baleine » en anglais), Le harponnage est une attaque de phishing ciblant un certain individu de grande valeur, un cadre supérieur ou le dirigeant d’une organisation. Le contenu et la forme de l’attaque est bien plus évoluée mais le succès de ce type d’attaque est minime en raison de la cible : il s’agit d’une personne avec un certain intellect, il se laisse peu berner par la supercherie.
  • Fraude au Président : Les hameçonneurs usurpent l’identité du Président ou d’un cadre supérieur pour soutirer des informations de paiement ou des informations confidentielles à des employés.
  • Pharming : Les attaques de pharming (phishing + farming : hameçonnage + exploitation) utilisent des astuces technologiques en utilisant la même source que l’organisation officielle. Ces mails vous demandent d’effectuer une action urgente sur votre compte (ex : changement de mot de passe), et vous redirigent de manière intelligemment vers un faux site Internet.
  • Phishing via Google Docs : Les services cloud ont des cibles de choix. Les attaquants distribuent des versions imitées des écrans de connexion, et récoltent vos identifiants. Il existe aussi une technique via les commentaires dans un Google Doc contenant un code malveillant et la mention @ à la victime qui déclenche un mail automatique à la personne ciblée par Google.
  • Scripts inter-sites : Les hameçonneurs sophistiqués peuvent exploiter les faiblesses d’un site Internet pour pirater celui-ci. Les scripts inter-sites sont difficiles à détecter car l’ensemble du site web semble être légitime.

Repérez une tentative de phishing

Pour ne pas devenir victime d’une tentative de phishing, vous découvrirez ci-dessous les différents éléments qui doivent éveiller votre méfiance.

Vérifier 2 fois le contenu

La plupart des courriels frauduleux ne sont pas parfaits. Bien que la plupart des courriels de phishing sont personnalisés et utilisent des informations personnelles pour vous leurrer, ils ne contiennent pas toutes les informations.

Caractère urgent

Le pirate, déguisé en tiers de confiance, vous envoie par exemple un mail avec un objet :

  • alarmiste, à caractère urgent et problématique (compte bloqué, facture impayée, etc.) : « urgent », « compte suspendu », « problème sur votre compte » ou encore « accès restreint » ;
  • insistant sur un gain potentiel (remboursement d’une facture, gain d’un concours) : « Retirez votre gain », « Bon d’achat à l’intérieur » ;
  • exagérément optimiste : « Confidentiel – plus que 24 h pour retirer votre voyage ».

Il est donc essentiel de rester calme, de réfléchir avant de cliquer et de faire preuve de sagesse.

Fautes d'orthographe

Des fautes d’orthographe et/ou des erreurs de grammaire ou de syntaxe prouvent à coup sûr qu’il s’agit d’un mail frauduleux. Malheureusement, l’inverse n’est pas vrai : l’absence de faute d’orthographe, de grammaire ou de syntaxe n’est pas suffisante pour garantir qu’un mail est sans danger.

Demande d'informations personnelles

L’expéditeur demande que vous lui transmettiez des informations personnelles et/ou confidentielles (identifiant, mot de passe) ou encore des documents privés, comme une pièce d’identité ou un RIB.

Ne donnez jamais ces informations au téléphone, par mail ou site Internet que l’interlocuteur aurait donné. Faites vous-même la démarche en appelant l’organisation qui serait usurpée, envoyez un mail ou accéder au site Internet pour lesquelles vous trouverez les adresses sur votre contrat, facture ou par simple recherche sur Internet.

Expéditeur du mail

Très utilisée ces dernières années, le spoofing, est une technique qui consiste à usurper une adresse mail à des fins malveillantes en modifiant quelques caractères ou jouant sur les nom de domaine de l’adresse mail.

Autre technique : Recevoir un email envoyé depuis votre propre adresse qui commence par « Vous vous demandez probablement pourquoi vous recevez un mail depuis VOTRE propre adresse, n’est-ce pas ? » a quelque chose d’intriguant.

Surtout quand la personne derrière ce message vous assure que c’est la preuve qu’elle a pris le contrôle de tous vos appareils.

exemple fausse adresse d'expéditeur

Comment cette personne a-t-elle réussi à prendre le contrôle de votre messagerie ?

Elle n’y a en fait jamais eu accès. L’adresse de l’expéditeur d’un mail dans votre messagerie n’est qu’un simple affichage qui peut facilement être modifier. Cette technique, baptisée mail spoofing est comparable à une simple lettre qui vous serait arrivée par courrier avec votre nom et votre adresse écrite au dos.

Les messageries gérées par des Fournisseurs d’Accès à Internet (Orange, Bouygues, SFR…) ne permettent pas de vérifier la légitimité de l’adresse mail de l’expéditeur. C’est aussi le cas pour les applications mobiles dédiées des fournisseurs de messagerie.

Toutefois, il est possible de faire une vérification avec des applications indépendantes de messagerie. À l’intérieur du mail, rechercher dans le menu « Afficher l’original/les en-têtes/la source ».

vérification véritable adresse expéditeur

Grâce à cette fonctionnalité, j’obtiens les informations techniques du message. Comme indiqué ci-dessus, la véritable adresse mail est 177-128-83-128@ibitelecom.com.br et l’argument envelope-from permet d’afficher formation@cegesti.fr sur dans votre messagerie.

Pièces jointes

Il existe ainsi de nombreuses sortes de pièces jointes : photos, documents modifiables ou non, etc. Heureusement, la plupart sont inoffensives, mais il arrive que certaines de ces pièces soient piégées ou vérolées : cela signifie que le fichier envoyé contient un virus.

Vous avez une question à vous poser : Attendiez-vous ce document ? (par exemple, une facture alors que vous n’avez rien commandé ou le téléchargement d’un fichier) ?

Les fichiers correspondants à des programmes s’accompagnent des extensions .EXE .BAT .MSI .CMD : ces trois lettres doivent donc éveiller votre méfiance.

Vérifiez les liens

Les mails de tentative de phishing contiennent la plupart du temps des boutons ou des liens à cliquer pour vous rediriger vers une page Web. Avant de cliquer dessus (si vous utilisez un ordinateur), passez simplement le pointeur de la souris sur ce fameux lien. L’adresse complète du lien s’affiche en bas à gauche de la fenêtre du navigateur. Si elle ne semble pas correspondre à une adresse Web officielle, c’est qu’il s’agit bel et bien d’un mail frauduleux. Malheureusement, cette méthode ne fonctionne pas sur les smartphones ou les tablettes.

SI vous avez un doute sur un lien, voici quelques sites qui vont analyser la destination à la recherche d’hameçonnage ou de programmes malveillants.

Table Header Table Header
Est un service gratuit connu pour analyser un fichier avec plusieurs antivirus.
Ce service gratuit vous aide à détecter les sites Web potentiellement malveillants en vérifiant les listes noires et analysant le domaine
Sucuri est une société de sécurité spécialisée dans la protection contre le piratage de sites Internet. Il permet d’indiquer si un site Internet a été piraté et s’il est dangereux.

Utiliser un expandeur de liens

Parfois, vous ne pourrez pas voir où le lien vous mènera parce que l’expéditeur a raccourci son lien, via des services en lignes tels que Cuttly, tinyurl, Bit.ly ou encore Ow.ly.

Dans ce cas, copiez et collez le lien court dans un service qui va le restaurer en entier, à l’instar de CheckShortURL.com. Il vous révèlera l’URL réelle du lien raccourci.

Faire preuve de bon sens

    On vous informe d’un remboursement inattendu auquel vous auriez droit et qu’il suffit de vous identifier pour débloquer le versement ? Il y a peu de chances que cette information soit vraie. Les organismes de services publics tels que la CAF, les impôts, l’URSSAF ou encore la CPAM (Caisse primaire d’assurance maladie ou Sécurité sociale) ne demandent jamais ni par mail ni par toute autre messagerie électronique de vous identifier pour procéder à un virement. Ils possèdent déjà toutes vos coordonnées. Et vous ne manquerez pas de recevoir un courrier, postal celui-ci, sitôt le moindre problème détecté. Quand c’est trop beau pour être vrai… c’est que c’est le cas !

Réagir face à une tentative de hameçonnage

Si vous reconnaissez une tentative d’hameçonnage :

  • Ne cliquez jamais sur les liens présents dans le mail ;
  • Passez par le site ou l’app officiel
  • Ne répondez pas au message ;
  • N’ouvrez surtout pas les fichiers envoyés en pièces jointes ;
  • Signalez le message comme « courrier indésirable » (si cette fonctionnalité est accessible dans votre messagerie) ;
  • Prévenez l’administration ou l’entreprise concernée (banque, agence de location de vacances, Caisse d’allocations familiales, etc.) et transférez le mail à leur service client ;
  • Pour finir, supprimez le courriel.
  • S’il s’agit d’un SMS frauduleux, transférez-le au 33700 (plate-forme de signalisation multi-opérateurs). C’est gratuit si vous avez un forfait mobile chez Orange, SFR, Free et Bouygues.

Vous êtes victime de phishing

Malgré toutes les précautions prises, vous avez cliqué sur un lien contenu dans un courrier ? Ce lien vous a amené jusqu’à une page de connexion sur laquelle vous avez saisi vos identifiant et mot de passe, pour vous apercevoir après coup que vous avez été victime d’hameçonnage : heureusement, il est encore temps de contrecarrer les projets des pirates

Vous devez pour cela contacter le plus rapidement possible l’administration ou l’entreprise concernée afin de bloquer l’accès à votre compte :

  • Modifiez immédiatement les identifiant et mot de passe du service concerné ;
  • Si le phishing est lié à votre compte bancaire, contactez votre banque le plus rapidement possible afin de les en avertir ; elle pourra alors prendre les mesures nécessaires pour protéger vos comptes.
  • N’hésitez pas à effectuer un signalement sur le portail officiel de contenus illicites sur Internet : www.internet-signalement.gouv.fr

Conclusion

Maintenant vous savez à quoi vous attendre.

Gardez en tête la maxime « Ne faites jamais confiance, restez calme« .

youtube_channel_may6

Nos guides en vidéo

Vous en avez marre des longs articles ?
Apprenez grâce à nos vidéos tutoriels