Bienvenue dans notre premier chapitre ! :D
Pour commencer ce cours, nous allons définir ce qu’est le « phishing ».
Découvrez le principe de l'hameçonnage (ou phishing, en anglais)
Le terme "phishing" correspond à la contraction des mots anglais "fishing" qui signifie "pêche" et "phreaking" qui veut dire "piratage de lignes téléphoniques".
En français, on parle d’hameçonnage ; il s’agit d’une technique de piratage destinée à récupérer des informations personnelles, et qui consiste, pour le fraudeur, à se faire passer pour une administration ou une entreprise dont vous êtes familier (banque, service des impôts, CPAM, etc.).
Les objectifs du phishing
L’objectif de l’expéditeur de cet e-mail est de vous pousser à agir vite, sans prendre le temps de réfléchir.
Par ce biais, il pourra par exemple tenter de récupérer vos identifiants et mots de passe sur un compte commercial (pour passer des commandes en votre nom), ou bien vos codes d’accès à votre banque en ligne (afin de dérober de l’argent), ou toute autre information personnelle pouvant lui être utile.
Repérez les indicateurs du danger
Pour ne pas devenir victime d’une tentative de phishing, vous découvrirez ci-dessous les différents éléments qui doivent éveiller votre méfiance.
L'objet de l'email
Le pirate, déguisé en tiers de confiance, vous envoie par exemple un mail avec un objet :
alarmiste, à caractère urgent et problématique (compte bloqué, facture impayée, etc.) :
« urgent », « compte suspendu », « problème sur votre compte » ou encore « accès restreint » ;
insistant sur un gain potentiel (remboursement d’une facture, gain d’un concours) :
« Retirez votre gain », « Bon d'achat à l'intérieur » ;
exagérément optimiste :
« Confidentiel – plus que 24 h pour retirer votre voyage ».
Les fautes d'orthographe
Des fautes d’orthographe et/ou des erreurs de grammaire ou de syntaxe prouvent à coup sûr qu’il s’agit d’un mail frauduleux. Malheureusement, l’inverse n’est pas vrai : l’absence de faute d’orthographe, de grammaire ou de syntaxe n’est pas suffisante pour garantir qu’un mail est sans danger.
La demande d'informations personnelles
L’expéditeur demande que vous lui transmettiez des informations personnelles et/ou confidentielles (identifiant, mot de passe) ou encore des documents privés, comme une pièce d’identité ou un RIB.
Les liens
L’adresse de l’expéditeur ou le site vers lequel vous êtes redirigé sont approximatifs :
Vous lisez par exemple, l'URL : opencassroom.com; alors que vous savez que la véritable adresse est https://openclassrooms.com.
Le lien comporte une longue série de chiffres et de lettre, comme cela : « http://www.CoursXMQXfuXKtWR8gKa5oGACg.fr »
Le message comporte des liens qui ne fonctionnent pas.
Découvrez des exemples de courrier d’hameçonnage
Exemple 1
Supposons que vous receviez un courrier électronique ayant pour objet « Alerte intrusion – Urgent » et vous avertissant que, pour des raisons de sécurité, votre banque invite l’ensemble de ses clients à modifier leur code d’accès dans un délai de 24 h sous peine de ne plus pouvoir se connecter à leur espace personnel.
Inquiet à l’idée de perdre l’accès à votre banque en ligne, vous cliquez aussitôt sur le lien indiqué !
Un formulaire s’affiche, il comporte le logo de votre banque, et il vous demande de taper vos informations de connexion pour ensuite définir un nouveau mot de passe. Vous remplissez les champs comme demandé, puis vous cliquez sur « OK ».
Dans un tel cas, il est important de savoir qu’une vraie banque ne procède jamais ainsi. Il s’agit donc bien d’une tentative de phishing : le mail a été envoyé par un pirate, parti à la « pêche aux victimes » !
Exemple 2
Une tentative de phishing peut aussi se présenter sous la forme d’un e-mail vous avertissant que vous êtes redevable d’une amende qui doit être réglée sans délai, sous peine de poursuites.
Il contient, par exemple, un lien permettant de régler votre amende en ligne et provenant d'un soi-disant site du gouvernement.
En cas de doute, ne cliquez jamais sur le lien envoyé ; faites une recherche pour vérifier l’adresse du site : en tapant « paiement amende en ligne gouvernement » sur un moteur de recherche. Vous trouverez par exemple l'adresse www.amendes.gouv.fr/tai
Vous ne trouvez pas sur votre moteur de recherche, le lien envoyé par email ? C'est probablement que celui-ci vous aurait conduit à un site pirate, ressemblant fortement au site officiel, mais conçu dans le seul but de récupérer vos données ; comme votre numéro de carte bancaire par exemple.
Exemple 3
Exemple 4
Exemple 5
Ce mail provenant de "La Banque Postale" mentionne en objet : "Assurer la sécurité des informations qui vous concernent". En vérifiant l'adresse e-mail, de l'expéditeur, on peut lire : static.feet986JGO5E876HJF76@telegenic.co.uk.
Exemple 6
Les procédures utilisées par les banques sont extrêmement sécurisées ; aucune banque ne vous demandera de confirmer des informations par le biais d’un mail.
Réagissez face à une tentative d’hameçonnage
Si vous reconnaissez une tentative d’hameçonnage :
ne cliquez jamais sur les liens présents dans le mail ;
ne répondez pas au message ;
n’ouvrez surtout pas les fichiers envoyés en pièces jointes ;
signalez le message comme « courrier indésirable » (si cette fonctionnalité est accessible dans votre messagerie) ;
prévenez l’administration ou l’entreprise concernée (banque, agence de location de vacances, Caisse d’allocations familiales, etc.) et transférez le mail à leur service client ;
pour finir, supprimez le courrier.
Que faire si je suis victime de phishing ?
Malgré toutes les précautions prises, vous avez cliqué sur un lien contenu dans un courrier ? Ce lien vous a amené jusqu’à une page de connexion sur laquelle vous avez saisi vos identifiant et mot de passe, pour vous apercevoir après coup que vous avez été victime d’hameçonnage : heureusement, il est encore temps de contrecarrer les projets des pirates ! :magicien:
Vous devez pour cela contacter le plus rapidement possible l’administration ou l’entreprise concernée afin de bloquer l’accès à votre compte :
modifiez immédiatement les identifiant et mot de passe du service concerné ;
si le phishing est lié à votre compte bancaire, contactez votre banque le plus rapidement possible afin de les en avertir ; elle pourra alors prendre les mesures nécessaires pour protéger vos comptes.
D’autre part, les administrations ou les grandes entreprises publient régulièrement des alertes de sécurité : pensez donc également à consulter les sites concernés.
Supposons par exemple que vous receviez un mail « Urgent » de Microsoft vous invitant à télécharger un fichier pour mettre à jour votre système, afin d’éviter une interruption imminente de leurs services : ne cliquez en aucun cas sur le lien que l’on vous envoie !
Connectez-vous plutôt sur la page d’accueil de Microsoft : il est en effet fort possible qu’une alerte ait été diffusée afin d’avertir les utilisateurs de cette tentative de phishing.
En résumé
Le phishing, aussi appelé hameçonnage, est une technique de piratage destinée à récupérer des données personnelles qui seront ensuite exploitées par les pirates.
Une tentative de phishing prend la forme d’un mail, dont l’objet présente un caractère urgent, et qui semble le plus souvent provenir d’une administration ou d'une entreprise dont vous êtes familier.
Différents éléments peuvent vous alerter, comme la présence de fautes de français, l’objet du mail, l’adresse de l’expéditeur qui ne correspond pas à celle de l’expéditeur officiel, des liens qui ne fonctionnent pas, etc.
Pour ne pas devenir victime, ne communiquez jamais d’informations confidentielles en cliquant sur un lien contenu dans un courriel.
Si vous reconnaissez une tentative d’hameçonnage : ne cliquez pas sur les liens indiqués, ne répondez pas au message, mais prévenez l’organisme concerné, signalez l'e-mail comme indésirable et supprimez-le.
Vous vous sentez prêt à « déshameçonner » les tentatives des pirates ? :honte:
Voyons dans le chapitre suivant comment reconnaître les e-mails indésirables ou dangereux.
