Le phishing ou hameçonnage : la technique d’attaque la plus fréquente

Alexandre Grisey
Dernière mise à jour :

Connaissez-vous le phishing, ou hameçonnage en français ? Ce terme désigne une technique frauduleuse dont le but est de tromper un internaute, pour l’inciter à donner des informations personnelles ou professionnelles. Mais il existe des moyens de reconnaître le phishing, et ainsi de s’en prémunir. Faisons le point dans cet article.

phishing

Qu’est-ce que le phishing ?

Le phishing ou hameçonnage, définition

Tout d’abord, pour bien comprendre en quoi consiste cette pratique, donnons une définition un peu plus précise du phishing.

Le terme en français, hameçonnage, résume plutôt bien la technique : il s’agit d’appâter un internaute pour le piéger.

Un pirate pratiquant le phishing essayera de se faire passer pour un tiers de confiance (une banque, banque en ligne - type PayPal, un dirigeant d’entreprise, un site e-commerce tel qu’Amazon, etc.), pour pousser l’internaute à cliquer sur un lien ou télécharger un fichier. Se faisant, l’internaute pourrait, par mégarde :

  • donner ses informations personnelles (coordonnées bancaires) qui seront ensuite utilisées ou revendues ;
  • donner des informations professionnelles, comme ses identifiants et ses mots de passe ou l’accès à des documents confidentiels ;
  • installer un ransomware (logiciel malveillant, ou malware, bloquant les données de l’ordinateur ou d’une entreprise en demandant une rançon).

Pour rendre ces tentatives encore plus réalistes, certains attaquants vont même jusqu’à personnaliser au maximum les e-mails envoyés, en se renseignant autant que possible sur leur cible.

Ils pourraient, par exemple, envoyer un courrier sous le nom d’un ami ou d’un collègue de la victime, en mentionnant des détails censés être privés (un événement organisé, le nom d’un proche, etc.), augmentant ainsi les chances de réussite de la cyberattaque. C’est ce qu’on appelle le spear phishing (ou hameçonnage ciblé).

Sensibilisez vos collaborateurs au phishing
Stoïk propose gratuitement un outil de simulation au phishing pour vous permettre de sensibiliser vos collaborateurs.
Découvrir

Le phishing par l’exemple

Le phishing peut se faire de plusieurs manières : via des SMS, des e-mails, et même des appels téléphoniques.

Dans le cas d’une entreprise, d’une PME par exemple, il s’agira typiquement d’envoyer un courrier électronique à un collaborateur pour récupérer des informations professionnelles.

Prenons un exemple concret de phishing :

  1. Un collaborateur reçoit un e-mail sur sa boite professionnelle d’une source lui semblant fiable (cela peut même sembler venir d’un autre service de son entreprise, ou du dirigeant de celle-ci).
  2. Le courrier l’incite à cliquer sur un lien frauduleux, disons par exemple une demande de modification de son mot de passe professionnel pour des raisons de sécurité.
  3. Le lien l’amène vers une page où il doit saisir ses identifiants professionnels. Il le fait ; la page sur laquelle il se trouve n’est qu’une imitation et, contrairement, au site authentique, toutes les informations saisies (généralement le nom d’utilisateur et le mot de passe) sont envoyées à l’attaquant. Ce dernier obtient ainsi des accès pour se connecter au système informatique de l’entreprise.
  4. Ayant accès au système, il a ensuite le champ libre pour récupérer des documents confidentiels, des informations personnelles, éventuellement les coordonnées bancaires de l’entreprise, etc.
  5. Le collaborateur, par mégarde, aura permis au cybercriminel de s’introduire au sein de son entreprise.

L’humain est le premier facteur de risque lorsque l’on parle cyberattaque et cybersécurité : 73% des attaques réussissent via un phishing. La sensibilisation à ces risques est donc une des clés pour s’en prémunir.

Bon à savoir
Il existe des solutions d’entreprise pour aider à la sensibilisation aux cyberattaques, et notamment au phishing. On compte parmi elles Riot, Elba, ou encore Mailinblack.

Comment savoir si l’on a été victime de phishing ?

Il n’est pas toujours facile de savoir si l’on a été victime de phishing. S’il s’agit d’un logiciel malveillant qui a été installé par mégarde, comme un ransomware, les dégâts devraient se voir rapidement. En cas de fraude bancaire, ce ne sera pas forcément le cas, car les données peuvent être utilisées pour être revendues sur le darkweb.

Dans tous les cas, il vaut mieux être sensibilisé en amont pour éviter d’avoir à faire face à ce genre de situation ; apprendre à repérer le phishing est le premier moyen pour éviter d’y être confronté.

phishing ransomware attaque

Attention, la fraude bancaire et la fraude au président sont deux choses différentes. Consultez notre article sur l'arnaque au président pour en savoir plus.

Comment repérer le phishing ?

Car oui, repérer une tentative de phishing, c’est possible !

Il y a en effet des signes qui peuvent aider à distinguer un vrai e-mail d’un courrier électronique frauduleux.

Un e-mail de phishing pourrait par exemple :

  • contenir des liens avec des URL étranges : il faut vérifier que l’adresse du lien cliquable paraisse normale et corresponde à l’expéditeur ;
  • contenir des fautes d’orthographe ;
  • une adresse ou un nom d’expéditeur anormal ;
  • venir d’un site sur lequel l’utilisateur n’est pas inscrit.

Ce n’est pas une liste exhaustive, mais ce sont déjà quelques éléments qui devraient être systématiquement vérifiés si on a le moindre doute.

Le mieux à cette étape, est de transférer le courrier à une personne compétente.

Pour reprendre l’exemple du collaborateur recevant le courrier frauduleux, l’idéal serait de consulter, s’il existe, le service informatique de son entreprise, et ce au moindre doute.

Bon à savoir
Ouvrir le mail frauduleux et cliquer sur le lien n’auront pas d’impact à ce stade. La seule chose à ne surtout pas faire est de transmettre ses informations personnelles.

Repérer un lien frauduleux dans un e-mail de phishing

Pour déjouer les attaques par phishing, le plus important est d'être capable de faire la différence entre l'adresse légitime d'un service et l’adresse utilisée par les pirates.

Pour pouvoir faire cette différence il faut comprendre et analyser la construction du lien hypertexte, autrement appelé URL, présent dans le mail. Un lien comprend plusieurs éléments dont le premier à savoir repérer est le nom de domaine qui se trouve entre :// et le / suivant :

Exemple : https://nomdedomaine.com/reste-de-l-url/

Ensuite, il faut savoir qu’un nom de domaine peut contenir des sous-domaines :

Exemple : https://sous-domaine.nomdedomaine.com/reste-de-l-url/

On peut s'imaginer cela comme des ensembles imbriqués, tous les domaines se terminant en .com sont dans le même ensemble, et n'importe qui peut acheter un sous-ensemble qui n'a pas déjà été acquis.

Ainsi Google a acheté le sous ensemble google de .com et possède donc le nom de domaine google.com. Comme tout l'ensemble google.com leur appartient, ils sont libres de définir n'importe quel sous ensemble à l'intérieur et Google utilise par exemple le domaine accounts.google.com.

Ce qu'il faut comprendre, c'est qu’un acteur malveillant peut acheter auprès de l'organisme en charge de .com un domaine disponible, disons secure-login.com, puis créer des sous domaines à sa guise pour se faire passer pour d’autres entités : google.secure-login.com pour se faire passer pour Google ou encore amazon.secure-login.com pour se faire passer pour amazon.

Voici un exemple en image d'un mail qui semble provenir de Google mais qui est en fait un mail de phishing : l'adresse e-mail ne contient pas le nom de domaine de Google.

exemple mail phishing

Comment signaler les mails de phishing ?

Il est aujourd’hui possible de signaler les e-mails de phishing, notamment via des sites officiels.

C’est par exemple le cas du site signal-spam.fr, association composée d’experts en cybersécurité, associée à la CNIL, et en lien avec les autorités publiques et les opérateurs de messageries.

Pourquoi et comment faut-il s’en prémunir ?

Les conséquences d’une attaque par phishing peuvent être graves. C'est le vecteur d'attaque le plus fréquent en entreprise et la tendance montre que les hackers vont continuer à exploiter le facteur humain pour arriver à s'introduire dans un système informatique. Dans le cas d’une entreprise, par exemple, un ransomware peut paralyser toute la chaîne de travail pendant plusieurs jours. 

Le saviez-vous ?
La France est le troisième pays le plus victime de ransomware au monde, juste derrière les États-Unis et le Royaume-Uni.

Dans le cas de vol d’identifiants d’un collaborateur, les attaquants peuvent avoir accès à des documents confidentiels, des informations personnelles, etc. qui peuvent être utilisées directement à mauvais escient, ou être revendues.

Il est donc important de se prémunir du risque de cyberattaque par hameçonnage. Il existe pour cela plusieurs moyens :

  • mettre en place des filtres automatiques pour boîtes mails ;
  • adopter un outil de sensibilisation au phishing pour connaître sa vulnérabilité face à ce risque ;
  • éduquer les collaborateurs aux cyberrisques et aux moyens de s’en protéger via des campagnes de sensibilisation au phishing ;

Dans tous les cas, faire appel à des spécialistes pour se former et se protéger est important. Un système sécurisé et des collaborateurs formés permettent de se protéger efficacement du phishing.

En savoir plus sur :

Sources