En quoi consiste le hameçonnage (phishing) ?

Christian Derenne
Dernière mise à jour: juillet 28, 2020
Qu'est-ce que le phishing
Avertissement: les liens affiliés nous aident à produire un contenu de qualité. Apprenez-en plus.

Le phishing est l’un des fléaux d’internet. Si vous avez déjà reçu un email qui semblait légitime, mais voulait vous emmener vers une page web totalement hors sujet, vous avez été hameçonné.

De nos jours, si vous êtes la proie d’une arnaque par hameçonnage (en anglais phishing), les conséquences peuvent être dévastatrices, tant sur le plan financier que psychologique. Il est donc utile de savoir ce qu’est un e-mail de phishing, et comment éviter de devenir la proie des prédateurs les plus rusés qui opèrent en ligne.

En quoi consiste le phishing ?

La technique de l’hameçonnage peut surprendre par sa grande simplicité. Cette forme de piratage ne repose pas sur des compétences de codage de pointe ni sur des équipements spécialisés. Une attaque de phishing réussie ressemble plus à un tour de magie qu’à un piratage sophistiqué.

Tous les types d’hameçonnage présentent des points communs. Les e-mails d’hameçonnage cherchent avant tout à être convaincants. Leur objectif premier est de convaincre le destinataire que :

  • L’expéditeur est une personne ou une organisation légitime
  • Leur propos doit être pris au sérieux

C’est pourquoi vous recevrez souvent des e-mails d’hameçonnage semblant provenir d’entités respectées telles qu’Amazon ou la Direction générale des impôts. Les gens sont plus susceptibles d’ouvrir des courriers électroniques émanant d’organisations en qui ils ont confiance.

Parallèlement, une attaque par hameçonnage présente un certain degré de technicité. Il ne suffit pas pour les hameçonneurs de rédiger un texte convaincant. Il leur faut en outre veiller à ce que leurs e-mails ressemblent le plus possible à un message authentique, avec des éléments de graphisme et de mise en page imitant ceux de communications légitimes.

Les chiffres du phishing

Aux Etats-Unis seulement, le phishing coûte environ 1,6 milliard de dollars (et seulement pour les attaques connues). Et les entreprises dépensent en moyenne 3,6 millions de dollars en mesures permettant de détecter les attaques de hameçonnage – c’est donc une source d’inquiétude majeure.

En 2019, le chercheur en sécurité de Google Elie Bursztein et la professeure à l’Université de Floride Daniela Oliveira ont expliqué que Google bloque 100 millions d’emails de phishing envoyés à ses utilisateurs chaque jour : une indication del’échelle impressionnante du problème et de la popularité du hameçonnage parmi les pirates informatiques.

Pourquoi cette tactique est-elle si efficace ? Selon cette recherche, 68% des emails de phishing bloqués par Google sont de nouvelles versions, encore jamais vues. « Cette évolution rapide demande que les humains et les machines s’adaptent très rapidement pour empêcher les attaques » affirme-t-elle.

La difficulté est accrue par le fait que beaucoup de campagnes visent de petits groupes d’utilisateurs : peut-être juste une douzaine. De telles campagnes de petite taille ne durent également que quelques minutes – ce qui veut dire qu’elles pourraient être terminées avant que vous ayez pu mettre à jour les instructions envers vos équipes.

Identifier les emails de phishing

Les emails de hameçonnage doivent inclure un moyen de recueillir des informations auprès des destinataires, notamment en les incitant à effectuer l’une des actions suivantes :

  • Cliquer sur un lien pointant vers un faux site Internet
  • Télécharger une pièce jointe contenant un cheval de Troie
  • Contacter un faux service d’assistance téléphonique

Tout cela donne aux pirates la possibilité de prendre le contrôle de votre ordinateur.

Compte tenu de la menace, il est impératif de disposer des clés nécessaires pour identifier un e-mail d’hameçonnage. Ces attaques tendent à se montrer très efficaces auprès des personnes qui sont peu sensibilisées aux questions de sécurité, et font des ravages auprès des utilisateurs vulnérables d’Internet.

Les 5 types d’e-mails d’hameçonnage les plus courants

Si vous n’êtes pas certain de pouvoir détecter un e-mail d’hameçonnage, il est recommandé de se familiariser avec quelques exemples. Ces messages ne suivent pas tous le même modèle, mais certains types reviennent fréquemment.

1. Spear fishing

Le spear fishing est une forme très personnalisée de phishing, où les attaquants s’efforcent d’inclure des détails personnels tels que des noms de collègues, des achats effectués en ligne ou des coordonnées. Ce faisant, ces e-mails tentent d’établir un lien personnel avec le destinataire. Ils ont tendance à être associés aux réseaux sociaux comme LinkedIn, où les utilisateurs reçoivent régulièrement des e-mails non sollicités (mais légitimes) de la part de recruteurs.

2. Pharming

Le détournement de domaine (pharming en anglais) est l’un des types de phishing les plus sournois. Dans ces attaques, les hameçonneurs « empoisonnent » le serveur DNS d’un site Internet et redirigent les utilisateurs vers le site de leur choix. Les liens contenus dans les e-mails d’hameçonnage peuvent donc sembler authentiques, mais ils envoient tout de même les utilisateurs vers des sites dangereux. Il est donc très important de faire attention lorsque vous cliquez sur des liens contenus dans un e-mail.

3. Tromperie simple

Il s’agit de la forme la plus simple de phishing, qui consiste à inciter un utilisateur à effectuer une action spécifique. Autrefois, il pouvait être question de parents perdus de vue depuis longtemps et d’héritages inopinés. De nos jours, ces histoires sont moins convaincantes et d’autres récits sont utilisés. Faites donc toujours preuve de prudence lorsque des personnes que vous ne connaissez pas vous contactent.

4. Whaling

Le whaling (ou chasse à la baleine) est une forme spécifique de phishing qui joue sur les liens hiérarchiques au sein des entreprises. Dans ces attaques, les hameçonneurs ciblent des personnes haut placées dans l’entreprise, comptant probablement sur le fait qu’elles connaissent moins bien les règles de sécurité que des employés en bas de l’échelle. Ainsi, toute personne ayant des responsabilités au sein d’une entreprise devrait renforcer ses connaissances en matière de phishing.

5. Hameçonnage sur le Cloud

Avec l’essor des applications basées sur le cloud telles que Google Docs et Dropbox, de nouvelles formes d’hameçonnage ont émergé, apportant encore plus de variété dans le monde du phishing. Dans ces arnaques, les hameçonneurs dirigent les utilisateurs de services basés sur le cloud vers de fausses versions d’applications qu’ils utilisent couramment. Si vous avez recours à de telles applications, une vérification en 2 étapes est donc recommandée.

6 manières d’identifier un email de phishing

Comment identifier le phishing

1. Faites attention aux pièces jointes inhabituelles

Beaucoup d’assailants ajouteront une pièce jointe à leurs emails. Ces pièces jointes ont tendance à contenir des virus ou autres logiciels qui provoquent les véritables domages, n’ouvrez donc jamais ces pièces jointes, et restez très prudents vis-à-vis des emails contenant des pièces jointes.

2. Vérifiez l’adresse email

Souvent, les emails dangereux sembleront venir d’une entreprise reconnue, mais l’adresse email utilisée pour envoyer l’email n’a rien à voir avec la société imitée. Un email d’hameçonnage pourrait par exemple provenir du service client d’Amazon, mais lorsque vous vérifierez l’adresse email d’envoi, ce pourrait être un compte Gmail générique. C’est un autre signal d’alarme fort en matière de phishing.

3. Le ton est-il correct ?

Les « phishers » profitent en vous encourageant à cliquer sur une pièce jointe ou un lien, et pour ce faire ils adoptent souvent un ton particulier. Si un email semble pressant, vous poussant à agir, ce pourrait bien être une tentative d’hameçonnage.

4. De petites erreurs peuvent en dire beaucoup

Les « phishers » sont peut-être habiles, mais ils ne sont souvent pas de brillants linguistes. Leurs emailssont parfois remplis de fautes d’orthographe que des professionnels auraient évitées.

5. Soyez très prudents avec les liens sortants

En plus des pièces jointes, faites toujours attention aux liens sortants. Une manière essentielle de détecter un email d’hameçonnage est de chercher des erreurs minimes dans les liens. Les phishers savent que les gens ne font pas attention à ces choses et écrieront « Oramge » au lieu de « Orange »  – souvent sans que les utilisateurs ne le remarquent. Restez donc vigilants.

6. Que demandent-ils ?

Lorsque vous analysez le contenu d’emails suspectés d’hameçonnage, imaginez quelles sont leurs intentions. Rappelez-vous que les banques et autres institutions financières reconnues ne réclament jamais de détails personnels par email. Ils ont des canaux protégés pour empêcher le vol et les fraudes. Donc à chaque fois qu’on vous les demande, il est temps de marquer cet email comme spam.

Que faire si vous recevez un email de phishing ?

Si vous avez eu la malchance de recevoir une menace par email, et que vous avez appris à identifier un email d’hameçonnage, comment répondre en toute sécurité ? Il y a en tout cas une chose que vous ne devriez jamais faire. Il ne faut jamais répondre à l’envoyeur.

Ne jamais répondre directement à l’envoyeur. Cela ne servira qu’à lui confirmer que votre adresse email est correcte.

Il est parfois tentant de leur répondre pour leur dire ce que vous pensez de leurs manières d’agir, mais c’est toujours une erreur. Vous ne ferez que confirmer à l’envoyeur que votre adresse email fonctionne, ce qui entraînera encore plus de tentatives de phishing à la suite.

Si vous faites partie d’une plus grand eorganisation, comme une université ou une entreprise, la meilleure chose à faire est de rapporter l’attaque de hameçonnage à votre équipe IT, qui pourra s’occuper de rechercher des virus et s’assurer que vos systèmes de sécurité sont à jour.

Pourquoi il est vital de reporter les emails d’hameçonnage

Le phishing est un phénomène mondial, mais on y fait toujours face individuellement. On entre en contact avec les hameçonneurs via les emails qu’ils ont envoyé et les sites web qu’ils ont créé, ce qui rend difficile pour les autorités et compagnie de sécurité la tâche de les neutraliser.

C’est pourquoi il est très important de rapporter les attaques d’hameçonnage à tout moment. Si on rapporte tous les emails de phishing, on peut protéger la communauté de sinternautes – mais cela requiert un effort collectif pour informer les personnes qui ont le pouvoir d’agir.

Des sites comme Google sont des plateformes majeures pour les scammers qui créent de faux sites ou envoient des emails, mais Google se repose sur les individus pour signaler les problèmes. C’est la même chose pour Apple, et les fournisseurs mail comme Yahoo. Assurez-vous donc de découvrir comment reporter un email suspect ou des résultats de rechecrhe Google. Nous en bénéficierons tous en retour.

Reporter les emails de phishing

Reporter les arnaques au phishing est absolument essentiel. Cependant, il est important de noter que la situation change si vous avez été victime d’une attaque d’hameçonnage. Dans ce cas, un crime peut avoir été commis, donc au lieu de rapporter l’email de phishing à différentes compagnies et organisations, vous devrez déclarer le problème à la police.

Si vous n’avez pas révélé de détails ou perdu d’argent, les choses sont plus simples. La première étape pour apprendre à déclarer une attaque de phishing est de détecter les arnaques à l’hameçonnage de manière fiable. Vérifiez bien les emails suspects, comparez la structure des liens avec celle des sites officiels, et lisez le texte de l’email attentivement. Même les sociétés les plus connues font parfois des erreurs grammaticales ou des erreurs factuelles dans leurs emails, ne tirez donc pas de conclusions hâtives.

Cependant, si vous êtes vraiment inquiétés par un email, l’étape suivante est de le rapporter. La manière de rapporter les emails d’hameçonnage dépend du site concerné. Par exemple, si vous recevez un email d’Amazon, vous devrez en envoyer les détails à leur équipe anti-arnaque.

Souvent, l’arnaque à l’hameçonnage implique plus d’une organisation. Par exemple, elle peut « provenir » d’un ministère, mais être envoyée via Gmail. Dans ce cas, il faut envoyer votre rapport au fournisseur de messagerie ainsi qu’à l’organisation imitée. Le sgens oublient souvent d’envoyer l’un de ces rapports, mais ils sont essentiels pour garantir un usage d’internet sûr.

Comment informer Google au sujet d’emails ou sites de phishing

Google est très au fait des dangers posés par les hameçonneurs, et ils font en sorte qu’il soit facile de rapporter les attaques de phishing. Si l’attaque prend la forme d’une adresse de site illégitimie, vous pouvez vous rendre sur leur page, entrer l’URL et tout commentaire susceptible de guider les équipes de Google.

Si vous utilisez Gmail, le procédé est légèrement différent, mais doit être approché de la même manière. Parfois, Google sera capable de détecter des emails dangereux, qui auront pu être signalés par d’autres utilisateurs, ou n’ont pas été construits avec suffisamment d’attention par les phishers.

Vous pouvez aussi signaler vos inquiétudes manuellement par email. Tout ce que vous cevez fair epour rapporter un cas d’email de phishing à Gmail est de déplacer le message incriminé dans votre dossier spam. Cela envoie le message aux équipes d’analyse de Gmail, qui détermineront l’ampleur de la menace. Ne laissez donc pas de potentiels emails dans votre boîte de réception, et ne les envoyez pas à la corbeille non plus.

Enfin, certains hameçonneurs utilisent des comptes Gmail pour viser leurs proies. Dans ce cas, il y a une méthode particulière pour rapporter ces emails à Google. Rendez-vous y et spécifiez la nature de la menace.

Comment informer Apple au sujet d’emails de phishing

Les attaques qui tentent de dérober des identifiants Apple sont le type le plus fréquent d’attaques dans le monde. Environ une attaque de phishing sur quatre est liée à un compte Apple, et le géant à la pomme met un point d’honneur à récolter des informations auprès d’autant d’utilisateurs que possible.

Dès que vous identifiez une attaque de phishing potentielle sur votre identifiant Apple, la meilleure chose à faire est d’envoyer un email à l’équipe risque d’Apple. Forwardez simplement le message incriminé sans en changer l’intitulé, car il peut inclure des ifnormations utiles à Apple.

Vous pouvez aussi rapporter les emails de phishing à Apple concernant votre identifiant iTunes. Les assaillants essaient souvent d’obtenir vos informations bancaires en se faisant passer pour iTunes, et Apple est au courant de ces pratiques.

Les emails officiels d’iTunes ne demanderont jamais vos coordonnées bancaires, numéros de carte de crédit, le nom de jeune fille de votre mère, ou votre numéro de sécurité sociale. Si ces informations vous sont réclamées, soyez sûrs de sonner l’alerte. Et toutes les factures officielles d’iTunes inclueront votre adresse de facturation. Si elle n’y est pas, il faut déclarer cet email à Apple.

Comment rapporter les emails et messages d’hameçonnage sur les réseaux sociaux

De nos jours, beaucoup de phishers choisissent d’utiliser les réseaux sociaux et leur systèmes de messagerie, il est donc utile de savoir comment rapporter les messages suspects à Facebook ou Twitter.

Si vous avez reçu un message sur Facebook avec un lien et demandant les détails de votre compte, ne partagez rien. Afin d’être aussi prudent que possible, vous devriez changer votre mot de passe, mais quelle que soit la situation, soyez sûr d’envoyer les informations concernant l’envoyeur et le message au département anti-phishing de Facebook.

La situation est très similaire en ce qui concerne Twitter. Les hameçonneurs peuvent en apprendre beaucoup sur leurs cibles grâce à leur feed Twitter, et envoient souvent des DM ou des commentaire spour attirer leur attention.

La plupart des liens dangereux seront marqués par Twitter sur votre feed, mais ce n’est pas toujours le cas, méfiez-vous donc quand il s’agit de cliquer sur des liens envoyés par des inconnus. Si un profil en particulier semble vouloir vous hameçonner, allez sur leur page et cliquez sur l’icône « … » , avant de choisir l’option « Report ». S’il y a un problème, les administrateurs de Twitter devraient bânir l’utilisateur incriminé.

Comment se protéger des attaques de phishing

how to stop phishing

Maintenant, vous vous posez sans doute els mêmes questions que n’importe qui d’autre lrosqu’on se met à parler de phishing. Au lieu de devoir apprendre les techniques nécessaires à l’identification des emails de phishing, pourquoi ne pas apprendre à stopper les emails de phishing et stoppe rle poison à la source ?

Ce n’est pas toujours facile (sinon nous le ferions tous), mais il y a clairement certaines mesures simples à prendre qui peuvent limiter votre exposition aux arnaques de phishing.

Mettez à jour votre navigateur

Par exemple, mettre à jour votre navigateur régulièrement est une bonne idée. Les hameçonneurs cherchent toujours à exploiter les logiciels datés, et les développeurs s’efforcent de suivre le rythme, mais vous aussi devez suivre. Cliquez sur les liens de mise à jour quand ils apparaissent.

Choisissez un fournisseur mail sécurisé

Deuxièmement, choisissez un fournisseur mail qui soit sérieux et essaie de stopper le phishing. Alors que Gmail vous protège plutôt bien, vous pourriez y passer plus de temps à marquer les emails comme spam manuellement. C’est pourquoi nous recommendons de choisir un de nos fournisseurs mail sécurisés.

Les fournisseurs mail sécurisés peuvent vous aider à déployer des filtres anti spam basiques pour vous prévenir lorsqu’un email est suspect et potentiellement lié à une attaque de phishing. Nous en avons testé plusieurs que nous pouvons recommander.

Un de nos favoris est ProtonMail, basé en Suisse, qui a la réputaiton méritée d’être l’un des fournisseurs de messagerie les plus solides et plus sécurisés qui soit. FastMail est aussi généralement bien noté dans ce domaine, offrant un système nommé SpamAssassin qui fonctionne plutôt bien. Leur filtre anti-spam est excellent et ils ont de bonnes options pour les utilisateur sgratuits, accordant 2GB de stockage.

Utiliser les plugins

Il existe aussi des plugins qui téléchargent des bases de données mondiales sur le phishing et les envoient ensuite vers les clients mail tels que Outlookn leur permettant de rester à jour sur les contenus à filtrer ou non. Le leader de ce marché est SpamSieve, seulement sur Mac, bien que des alternatives valables sur Windows commencent à apparaître.

Conclusion

Il n’y a plus de raisons de mordre à l’hameçon. Arrêtez de vous demander comment le phishing fonctionne, et commencez à modifier votre comportement pour détecter les stratégies particulières que les cybercriminels utilisent.

N’importe qui peut discerner ce qui constitue une attaque de phishing de ce qui n’en est pas. Et n’ayez pas peur d’utiliser des solutions de sécurité spécialisées comme les VPN, qui peuvent filtrer vos comptes de messagerie à la recherche d’emails dangereux.

Meilleurs fournisseurs VPN
NordVPN
9.6 / 10
Garantie 30 jours satisfait ou remboursé
Chiffrement de qualité militaire
Super service client
Surfshark VPN
9.4 / 10
Chiffrement solide
Excellentes performances
Connexions simultanées illimitées

Avertissement: les liens affiliés nous aident à produire un contenu de qualité. Apprenez-en plus.
Il n’y a pas encore de commentaires Pas de commentaires
Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Table des matières:
Fermer
Share
Share
Thanks for your opinion!
Your comment will be checked for spam and approved as soon as possible.