Connaissez-vous le phishing, ou hameçonnage en français ? Ce terme désigne une technique frauduleuse dont le but est de tromper un internaute, pour l’inciter à donner des informations personnelles ou professionnelles. Mais il existe des moyens de reconnaître le phishing, et ainsi de s’en prémunir. Faisons le point dans cet article.
Tout d’abord, pour bien comprendre en quoi consiste cette pratique, donnons une définition un peu plus précise du phishing.
Le terme en français, hameçonnage, résume plutôt bien la technique : il s’agit d’appâter un internaute pour le piéger.
Un pirate pratiquant le phishing essayera de se faire passer pour un tiers de confiance (une banque, banque en ligne - type PayPal, un dirigeant d’entreprise, un site e-commerce tel qu’Amazon, etc.), pour pousser l’internaute à cliquer sur un lien ou télécharger un fichier. Se faisant, l’internaute pourrait, par mégarde :
Pour rendre ces tentatives encore plus réalistes, certains attaquants vont même jusqu’à personnaliser au maximum les e-mails envoyés, en se renseignant autant que possible sur leur cible.
Ils pourraient, par exemple, envoyer un courrier sous le nom d’un ami ou d’un collègue de la victime, en mentionnant des détails censés être privés (un événement organisé, le nom d’un proche, etc.), augmentant ainsi les chances de réussite de la cyberattaque. C’est ce qu’on appelle le spear phishing (ou hameçonnage ciblé).
Le phishing peut se faire de plusieurs manières : via des SMS, des e-mails, et même des appels téléphoniques.
Dans le cas d’une entreprise, d’une PME par exemple, il s’agira typiquement d’envoyer un courrier électronique à un collaborateur pour récupérer des informations professionnelles.
Prenons un exemple concret de phishing :
L’humain est le premier facteur de risque lorsque l’on parle cyberattaque et cybersécurité : 73% des attaques réussissent via un phishing. La sensibilisation à ces risques est donc une des clés pour s’en prémunir.
Il n’est pas toujours facile de savoir si l’on a été victime de phishing. S’il s’agit d’un logiciel malveillant qui a été installé par mégarde, comme un ransomware, les dégâts devraient se voir rapidement. En cas de fraude bancaire, ce ne sera pas forcément le cas, car les données peuvent être utilisées pour être revendues sur le darkweb.
Dans tous les cas, il vaut mieux être sensibilisé en amont pour éviter d’avoir à faire face à ce genre de situation ; apprendre à repérer le phishing est le premier moyen pour éviter d’y être confronté.
Attention, la fraude bancaire et la fraude au président sont deux choses différentes. Consultez notre article sur l'arnaque au président pour en savoir plus.
Car oui, repérer une tentative de phishing, c’est possible !
Il y a en effet des signes qui peuvent aider à distinguer un vrai e-mail d’un courrier électronique frauduleux.
Un e-mail de phishing pourrait par exemple :
Ce n’est pas une liste exhaustive, mais ce sont déjà quelques éléments qui devraient être systématiquement vérifiés si on a le moindre doute.
Le mieux à cette étape, est de transférer le courrier à une personne compétente.
Pour reprendre l’exemple du collaborateur recevant le courrier frauduleux, l’idéal serait de consulter, s’il existe, le service informatique de son entreprise, et ce au moindre doute.
Pour déjouer les attaques par phishing, le plus important est d'être capable de faire la différence entre l'adresse légitime d'un service et l’adresse utilisée par les pirates.
Pour pouvoir faire cette différence il faut comprendre et analyser la construction du lien hypertexte, autrement appelé URL, présent dans le mail. Un lien comprend plusieurs éléments dont le premier à savoir repérer est le nom de domaine qui se trouve entre :// et le / suivant :
Exemple : https://nomdedomaine.com/reste-de-l-url/
Ensuite, il faut savoir qu’un nom de domaine peut contenir des sous-domaines :
Exemple : https://sous-domaine.nomdedomaine.com/reste-de-l-url/
On peut s'imaginer cela comme des ensembles imbriqués, tous les domaines se terminant en .com sont dans le même ensemble, et n'importe qui peut acheter un sous-ensemble qui n'a pas déjà été acquis.
Ainsi Google a acheté le sous ensemble google de .com et possède donc le nom de domaine google.com. Comme tout l'ensemble google.com leur appartient, ils sont libres de définir n'importe quel sous ensemble à l'intérieur et Google utilise par exemple le domaine accounts.google.com.
Ce qu'il faut comprendre, c'est qu’un acteur malveillant peut acheter auprès de l'organisme en charge de .com un domaine disponible, disons secure-login.com, puis créer des sous domaines à sa guise pour se faire passer pour d’autres entités : google.secure-login.com pour se faire passer pour Google ou encore amazon.secure-login.com pour se faire passer pour amazon.
Voici un exemple en image d'un mail qui semble provenir de Google mais qui est en fait un mail de phishing : l'adresse e-mail ne contient pas le nom de domaine de Google.
Il est aujourd’hui possible de signaler les e-mails de phishing, notamment via des sites officiels.
C’est par exemple le cas du site signal-spam.fr, association composée d’experts en cybersécurité, associée à la CNIL, et en lien avec les autorités publiques et les opérateurs de messageries.
Les conséquences d’une attaque par phishing peuvent être graves. C'est le vecteur d'attaque le plus fréquent en entreprise et la tendance montre que les hackers vont continuer à exploiter le facteur humain pour arriver à s'introduire dans un système informatique. Dans le cas d’une entreprise, par exemple, un ransomware peut paralyser toute la chaîne de travail pendant plusieurs jours.
Dans le cas de vol d’identifiants d’un collaborateur, les attaquants peuvent avoir accès à des documents confidentiels, des informations personnelles, etc. qui peuvent être utilisées directement à mauvais escient, ou être revendues.
Il est donc important de se prémunir du risque de cyberattaque par hameçonnage. Il existe pour cela plusieurs moyens :
Dans tous les cas, faire appel à des spécialistes pour se former et se protéger est important. Un système sécurisé et des collaborateurs formés permettent de se protéger efficacement du phishing.
En savoir plus sur :
Sources