Détectez les menaces dans vos e-mails

Découvrez le principe de l'hameçonnage

Le terme "phishing" correspond à la contraction des mots anglais "fishing" qui signifie "pêche" et "phreaking" qui signifie "piratage de lignes téléphoniques".

En français, on parle d’hameçonnage ; il s’agit d’une technique de piratage destinée à récupérer des informations personnelles, et qui consiste, pour le fraudeur, à se faire passer pour une administration ou une entreprise dont vous êtes familier (banque, service des impôts, CPAM, etc.).

Cet e-mail contient un lien sur lequel on vous invite à cliquer, le plus souvent pour des raisons de sécurité, afin de vous connecter à un site ou à un formulaire où l’on vous demandera de remplir différents champs.

Ce lien vous conduit en réalité vers un site pirate. Les champs que le pirate souhaite vous voir remplir sont pour lui le moyen de vous soutirer des informations.

L’objectif de l’expéditeur de cet e-mail est de vous pousser à agir vite, sans prendre le temps de réfléchir.

Par ce biais, il pourra par exemple tenter de récupérer vos identifiants et mots de passe sur un compte commercial (pour passer des commandes en votre nom), ou bien vos codes d’accès à votre banque en ligne (afin de dérober de l’argent), ou toute autre information personnelle pouvant lui être utile.

Repérez les indicateurs du danger

Pour ne pas devenir victime d’une tentative d’hameçonnage vous découvrirez ci-dessous les différents éléments qui doivent éveiller votre méfiance.

L'objet de l'email

Le pirate, déguisé en tiers de confiance, vous envoie par exemple un mail avec un objet :

• alarmiste, à caractère urgent et problématique (compte bloqué, facture impayée, etc.) :

  • « urgent », « compte suspendu », « problème sur votre compte » ou encore « accès restreint » ;

• insistant sur un gain potentiel (remboursement d’une facture, gain d’un concours) :

  • « Retirez votre gain », « Bon d'achat à l'intérieur » ;

• exagérément optimiste :

  • « Confidentiel – plus que 24 h pour retirer votre voyage ».

La demande d'informations personnelles

L’expéditeur demande que vous lui transmettiez des informations personnelles et/ou confidentielles (identifiant, mot de passe) ou encore des documents privés, comme une pièce d’identité ou un RIB.

Ne communiquez jamais vos numéros de carte bancaire, identifiant ou mot de passe, par exemple, en cliquant sur un lien contenu dans un courrier électronique.

Dès lors qu’il s’agit d’entrer ce type d’informations :

• ouvrez votre navigateur Internet ;

• rendez-vous sur la page d’accueil du site concerné ;

• connectez-vous à votre compte en toute sécurité.

Les liens

L’adresse de l’expéditeur ou le site vers lequel vous êtes redirigé sont approximatifs :

Vous lisez par exemple, l'URL : opencassroom.com ; alors que vous savez que la véritable adresse est https://openclassrooms.com.

Un autre signe d’alerte est les messages qui comportent des liens qui ne fonctionnent pas. Si les liens ne fonctionnent pas ou s’ils sont factices, vous avez certainement affaire à un site frauduleux. Un autre signal d'alarme, ce sont les messages avec des liens qui ne marchent pas ou qui sont bidon. Si les liens ne mènent nulle part ou sont des pièges, il y a de fortes chances que ce soit un site ou une tentative de fraude.

Repérez les nouvelles formes d’hameçonnage

Le phishing ne se limite plus aux simples e-mails mal rédigés. Aujourd’hui, les cybercriminels diversifient leurs approches et utilisent plusieurs canaux pour piéger leurs victimes. On parle alors de variantes du phishing, qui nécessitent toutes une vigilance particulière :

• Spear phishing : il s’agit d’un hameçonnage ciblé et personnalisé. Par exemple, un pirate peut envoyer un message qui mentionne le nom de ton entreprise, celui de ton supérieur hiérarchique ou d’un fournisseur connu. L’objectif est de gagner ta confiance et t’inciter à cliquer sur un lien ou à fournir des informations sensibles.
  Exemple : un mail semblant provenir de ton service RH te demande de « mettre à jour ton mot de passe » via un faux portail interne.

• Smishing (SMS phishing) : ici, l’attaque passe par un SMS. Le message contient généralement un lien vers un site frauduleux ou incite à rappeler un numéro surtaxé.
  Exemple : un SMS t’informe d’un « colis en attente de livraison » et t’invite à cliquer pour régler de « petits frais » ; le lien renvoie vers un faux site de paiement.

• Vishing (voice phishing) : cette méthode repose sur des appels téléphoniques frauduleux. Les attaquants se font passer pour un conseiller bancaire, un service technique ou même un organisme public. Leur but est de récupérer des informations confidentielles ou de te pousser à effectuer un virement.
  Exemple : un faux « conseiller de ta banque » t’appelle en urgence pour « sécuriser ton compte » et te demande tes identifiants ou codes de validation.

• Phishing sur les réseaux sociaux : de plus en plus d’escroqueries passent par Messenger, WhatsApp, LinkedIn ou Instagram. Ces messages, souvent envoyés depuis des comptes usurpés ou piratés, incitent à cliquer sur un lien ou à télécharger une pièce jointe malveillante.
  Exemple : un ami t’envoie un message privé « Regarde cette vidéo de toi 😮 » accompagné d’un lien infecté.

Avant de cliquer ou de répondre à un message, posez-vous ces 4 questions simples :

• L’expéditeur est-il bien celui que je connais (adresse ou numéro officiel) ?

• Le ton du message est-il exagérément urgent ou alarmant ?

• Le lien correspond-il bien au site habituel (ex. impots.gouv.fr, et non impots-g0uv.fr) ?

• Me demande-t-on une information sensible (mot de passe, RIB, carte bancaire) ?

Si un seul de ces points vous semble douteux : ne cliquez pas et contactez directement l’organisme par ses canaux habituels.

Réagissez face à une tentative d’hameçonnage

Si vous reconnaissez une tentative d’hameçonnage :

• ne cliquez jamais sur les liens présents dans le mail ;

• ne répondez pas au message ;

• n’ouvrez surtout pas les fichiers envoyés en pièces jointes ;

• signalez le message comme « courrier indésirable » (si cette fonctionnalité est accessible dans votre messagerie) ;

• prévenez l’administration ou l’entreprise concernée (banque, agence de location de vacances, Caisse d’allocations familiales, etc.) et transférez le mail à leur service client ;

• pour finir, supprimez le courrier.

Malgré toutes les précautions prises, vous avez cliqué sur un lien contenu dans un courrier ? Ce lien vous a amené jusqu’à une page de connexion sur laquelle vous avez saisi vos identifiants et mot de passe, pour vous apercevoir après coup que vous avez été victime d’hameçonnage : heureusement, il est encore temps de contrecarrer les projets des pirates !

Vous devez pour cela contacter le plus rapidement possible l’administration ou l’entreprise concernée.

Si le phishing est lié à votre compte bancaire, contactez votre banque le plus rapidement possible afin de les en avertir ; elle pourra alors prendre les mesures nécessaires pour protéger vos comptes.

Reconnaître les pièces jointes malveillantes

Une pièce jointe est un fichier attaché à un e-mail. Si la majorité est inoffensive, certaines peuvent contenir des virus capables de ralentir, bloquer ou espionner votre ordinateur.

• Les extensions dangereuses incluent :.exe,.msi,.bat,.cmd.

• Attention aussi aux doubles extensions :photo.png.exe.

• Les fichiers Office contenant des macros (.docm,.xlsm,.pptm) peuvent également être piégés.

Exemple : une compagnie fictive envoie une pièce jointe intitulée « Validation_Billet. htm ». En l’ouvrant, un faux message d’alerte apparaît, vous incitant à appeler un numéro frauduleux. Le pirate peut alors prendre le contrôle de votre machine.

En résumé

1. Le phishing (hameçonnage) consiste à usurper l’identité d’organismes connus pour vous soutirer des informations personnelles ou bancaires.

2. Les spams et scams sont des messages non sollicités, allant de la publicité intrusive aux escroqueries et escroqueries en ligne.

3. Les spams bots récoltent automatiquement vos adresses pour vous inonder de courriels indésirables.

4. Les pièces jointes malveillantes peuvent contenir des virus ou ransomwares capables d’infecter votre ordinateur.

5. Les bons réflexes : ne cliquez pas, ne répondez pas, ne téléchargez pas et signalez les messages suspects ; en cas d’erreur, changez vos mots de passe et activez la double authentification.

Apprenez dans le prochain chapitre à naviguer sur Internet en évitant les mésaventures !