La Culture du Clic, une aubaine pour les hackers ?

Agathe de La Laurencie
Nov 16, 2021
5 min read

“Cliquez pour en savoir plus” : accroches des publicités par mail ou sur Internet, la culture du clic est omniprésente. Un clic de plus et vous serez riche, un clic de plus et votre curiosité sera assouvie ! Mais avez-vous vraiment conscience de tout ce qu'un clic peut induire ? Pas toujours.

Les cybers criminels qui utilisent le phishing le savent et en tirent profit : ils n'exploitent pas seulement les failles informatiques, ils s'engouffrent dans les erreurs humaines.

1. Phishing : qu'est ce que c'est ?

1.1. Aux origines du phishing

Les premières traces de phishing remontent au milieu des années 1990 avec le vol de mots de passe et de données bancaires des utilisateurs du fournisseur d'accès Internet American OnLine (AOL). En se faisant passer pour des employés d'AOL les hackers endormaient la confiance des utilisateurs, accédaient à leur compte et les manipulaient. Menace méconnue à l'époque, pas besoin d'être sophistiquée pour parvenir à ses fins ...

1.2. Le phishing en 2021

Aujourd'hui le phishing des hackers a évolué, il joue notamment sur votre psychologie.

Son objectif est simple : que vous donniez accès à un inconnu, de plein gré, des informations que vous ne souhaitez pas rendre publiques. Concrètement, cela implique que le hacker se fasse illégalement passer pour un tiers de confiance (spoofing) par mail ou téléphone pour :

  • vous extorquer les informations de vos clients ou de votre propre entreprise : identifiants et mot de passe, données bancaires, identité, etc. pour en tirer profit,
  • vous faire ouvrir une pièce-jointe dont le seul téléchargement et l'exécution permettra d'installer, à votre insu, des logiciels malveillants (exemple : doc Word avec macro activées),
  • vous rediriger vers des sites malveillants.

Les leviers psychologiques utilisés ne datent pas d'hier et atténuent la méfiance de l'utilisateur.

  • L'urgence : vous êtes pris à la gorge, il vous faut délivrer l'information demandée rapidement. Exemple : "nouvelle connexion sur votre compte", ou "activité suspecte détectée".
  • L'appât du gain : une pièce jointe à l'aspect alléchant mais vérolée. Exemple : bon de réduction ou entreprise lauréate.
  • La mise en confiance : des mails à l'aspect neutre ou à l'imitation irréprochable dans l'objet, le ton et le visuel. Exemple : faux documents administratifs ou imitation de marque.
  • La curiosité exacerbée par la simplicité d'accès : le besoin d'immédiateté vous pousse à cliquer sur un lien de redirection quitte à le fermer rapidement ... mais parfois, ce premier clic est déjà fatal. Exemple : "mettez à jour vos informations" ou "nouvelles mesures dues à la crise COVID-19".

2. Phishing : comment m'en prémunir ?

2.1. La technologie au secours de la technologie ?

Une première solution contre le phishing par mail peut être technologique par :

  • l'achat de logiciels anti-phishing comme eMailTrackerPro,
  • une bonne configuration de votre messagerie comme : (i) configurer votre DMARC et SPF : ils permettront de passer directement en indésirables les mails spoofés, (ii) activer la mise à jour automatique de votre messagerie, (iii) désactiver la prévisualisation automatique de vos courriels, et (iv) interdire l'exécution automatique des plug-in et téléchargement.

Cependant, les logiciels coûtent souvent cher (prix moyen 200 euros/an pour 5 terminaux) et les configurations ne sont pas une garantie infaillible. En effet le risque est mouvant, c'est la conséquence directe et inéluctable de l'innovation technologique.

2.2. L'humain au secours de la technologie !

Le dernier rempart contre le phishing est votre sensibilisation et celle de vos collaborateurs. Du stagiaire à la direction, n'importe qui utilisant une boîte mail peut un jour se faire induire en erreur par un courriel d'excellente facture. Alors, quels éléments sont à vérifier lorsque vous recevez un mail ?

  • L'expéditeur : correspond-il exactement à celui promu par l'entreprise ou le client avec lequel vous traitez ? Notamment sur téléphone, les adresses n'apparaissent pas automatiquement.
  • La qualité du mail : ressemble-t-il à ceux que le prétendu expéditeur envoie d'habitude ?
  • Les liens de redirection : passez votre souris sur le lien avant de cliquer pour vérifier l'URL : souvent un seul changement de caractère suffit à remarquer un faux nom de domaine (ex : facbook.com au lieu de facebook.com), puis allez directement sur le site de l’organisme en question par une recherche personnelle.
  • La pièce jointe (PJ) : est-elle douteuse ? Certains liens de phishing ont un aspect de PJ mais sont en réalité un lien de redirection. N'activez jamais les macros sur Word avant d'avoir vérifié la provenance du document.

3. Phishing : que faire si vous êtes attaqué ?

Vos gestes réflexes en cas d'attaque :

  • 1er réflexe : si vous avez partagé des données personnelles (mot de passe, id, etc.) : changez votre mot de passe, faites opposition. Si vous avez téléchargé/cliqué sur un logiciel malveillant : déconnectez votre ordinateur du réseau (filaire, wifi) et éteignez-le.
  • 2ème réflexe : contactez votre référent informatique.

Plus tard, dénoncez le site frauduleux sur Phishing Initiative: il fera l'objet d'une validation et d'un blocage dans les navigateurs.

Votre esprit critique est le dernier rempart contre une attaque par phishing !