Cybersécurité

Qu'est-ce que l'hameçonnage (ou phishing) ?

Kilian
2 avr. 2023
10 minutes de lecture
lectures
Qu'est-ce que l'hameçonnage (ou phishing) ? - Image de présentation

Découvrez ce qu'est l'hameçonnage et comment vous pouvez vous protéger contre cette menace de sécurité en ligne. Conseils pratiques pour éviter les pièges.

L’hameçonnage, ou phishing, est une technique consistant à se faire passer pour une personne ou une entité en qui vous avez toute confiance, afin de vous soutirer des informations sensibles ou personnelles. Cela prend le plus souvent la forme d’un e-mail, comme par exemple se faisant passer pour votre banque et semblant parfaitement authentique.

1. Définition du hameçonnage (phishing en anglais)

L’hameçonnage, ou phishing, est une cybermenace consistant à se faire passer pour une personne ou une entité en qui vous avez toute confiance, afin de vous soutirer des informations sensibles ou personnelles, comme les informations de cartes de crédit ou des mots de passe. Cela prend le plus souvent la forme d’un mail, comme se faisant passer pour votre banque et semblant parfaitement authentique. Les attaquants utilisent pour cela des stratégies d‘ingénierie sociale pour faire en sorte que la victime clique sur un lien malveillant, partage des informations personnelles, ou encore télécharge des fichiers contenant un virus. Cependant, étant qu’il s’agisse d’une attaque reposant sur des choix de votre part, il est assez facile d’éviter l’hameçonnage. Mais pour cela, il faut savoir comment les reconnaître et ce qu’il faut faire si on en identifie un.

Objectif du hameçonnage

Voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux.

2. Les différents types d’attaques par hameçonnage

  • Hameçonnage par mail : Ce type d’hameçonnage est le plus classique et le plus utilisé. Comme dit précédemment, il prend la forme d’un mail qui à pour objectif de vous faire cliquer sur un lien, partager des informations personnelles, ou encore télécharger un fichier malveillant. Une fois cette action effectuée, les attaquants peuvent avoir accès à certaines informations, ou certains sites sensibles comme votre compte bancaire. Ils peuvent ainsi s’en servir pour faire des achats frauduleux en votre nom, ou encore usurper votre identité avec vos informations personnelles.
  • Hameçonnage par SMS (SMiShing) : Ce type d’hameçonnage fonctionne exactement comme le précédent, sauf qu’il se fait par l’intermédiaire d’un SMS frauduleux. De nos jours, de plus en plus de personnes utilisent leur téléphone et ne sont pas conscientes du danger qui peut survenir avec une attaque par SMiShing. L’issue de cette attaque est la même que l’hameçonnage par mail, c’est-à-dire de voler vos informations personnelles, ou encore d’avoir accès à des sites sensibles comme votre banque.

3. Repérer une attaque par hameçonnage

Heureusement il existe des techniques et des bonnes pratiques à mettre en place pour repérer ce type d’attaque et éviter de tomber dans le piège des cyber attaquants. Voici donc quelques conseils qui peuvent vous aider à repérer une tentative d’hameçonnage :

  • Imitation d’un mail provenant d’une entité reconnue ou d’une marque (Gendarmerie, Nike, etc.) : beaucoup de personnes le savent, il ne faut pas cliquer sur un lien ou télécharger un fichier provenant d’une source inconnue. Cependant, les pirates ont appris de leurs erreurs et se font maintenant passer pour des entités que tout le monde connaît et donc vous faites confiance. Pour cela, ils créent un faux mail ressemblant à celui que vous pourriez recevoir d’une source de confiance, mais celui contient en réalité un programme malveillant.
  • Vous avez gagné un lot sans rien avoir fait : ce type de mail ou de SMS est très classique dans les attaques par hameçonnage. Celui-ci a pour but de vous faire croire que vous avez gagné un lot (le tout dernier iPhone, un voyage aux Maldives, un million d’euros). Mais il faut savoir qu’aucune entreprise ou entité ne vous fera gagner quelque chose sans une action de votre part.
  • Confirmer votre identité sur un service bancaire ou autre : de très nombreuses personnes sont tombées enfin face d’un mail qui leur disait de confirmer leur identité sur le compte bancaire, ou toute autre plateforme contenant des informations personnelles. Cependant, vous vous en doutez sûrement, cela est complètement faux et à uniquement pour but de récupérer votre identifiant et votre mot de passe afin de les réutiliser sur ce même compte, et ainsi de vous subtiliser de l’argent ou des informations personnelles. Sachez que jamais votre banque, ou tout autre service, ne vous demandera de confirmer votre identité par mail.

4. Comment se protéger contre une tentative de phishing ?

Pour se protéger d’une attaque par hameçonnage, il suffit de mettre en place quelques bonnes pratiques lors de l’ouverture d’un mail, ou encore à la réception d’un SMS douteux. Voici quelques éléments que vous pouvez prendre en compte pour vous protéger :

  • Restez au courant des dernières attaques par hameçonnage qui sont mises en œuvre par les attaquants, notamment en restant informé à l’aide des réseaux sociaux ou de Cyber Infos.
  • Vérifiez la provenance du message en regardant l’adresse mail source ou le numéro de téléphone qui vous a envoyé un SMS. Dans le cas d’un mail, il suffit, dans la majorité des messageries, de cliquer sur le nom de la personne qui vous a envoyé le mail. Vous pourrez ainsi vérifier la provenance du message. Vous devrez notamment regarder le nom de domaine du mail, c’est-à-dire la partie qui se situe à droite de l’arobase (@). Si vous reconnaissez à 100% ce nom de domaine, cela veut dire que la provenance est authentique. Sinon, cela peut signifier que c’est une tentative d’hameçonnage, ou que simplement vous ne connaissez pas ce site.
  • Ne communiquez jamais d’informations personnelles. Aucune entité sérieuse ne vous demandera vos données sensibles telles que vos coordonnées bancaires, ou votre numéro de sécurité sociale par mail ou SMS.
  • Ne cliquez pas directement sur les liens. Dans un premier temps, positionnez votre curseur sur le lien sans cliquer dessus. Cela affichera alors l’URL vers laquelle le lien vous redirigera. Vous pourrez ainsi vérifier s’il s’agit d’un organisme de confiance ou non. Mais globalement, si vous voulez vous rendre sur un site internet, utilisez en priorité la barre de recherche de votre navigateur web en y inscrivant le site. Ne passez pas forcément par un lien contenu dans un message.
  • En cas de doute sur la provenance du message, contactez directement l’organisme ou rendez-vous directement sur le site internet de l’organisme pour vérifier vos messages et notifications.
  • Utilisez des mots de passe différents pour chaque site que vous utilisez. En effet, cela évitera de compromettre tous vos comptes si jamais votre mot de passe est volé. Vous pouvez notamment utiliser un coffre-fort pour mot de passe pour stocker tous vos identifiants et mots de passe de manière sécurisés.
  • Activez la double ou triple authentification dès que le site internet le permet. Cela empêchera l’attaquant d’avoir accès à votre compte uniquement avec votre mot de passe.
Comment reconnaître un mail de phishing ?

Si les tentatives d’hameçonnage sont aujourd’hui de mieux en mieux réalisées, un mail frauduleux présente souvent des signes d’alerte qu’il est possible de déceler : offre alléchante, apparence suspecte, pièce jointe inattendue, adresse d’expédition fantaisiste… Pour vous aider à reconnaître un mail de phishing ou d’hameçonnage, Cybermalveillance.gouv.fr vous donne les principaux signaux dont il faut se méfier.

5. Victime d’hameçonnage, que faire ?

Tout le monde peut être victime d’une attaque par hameçonnage, même les plus grands chercheurs en cybersécurité. Il suffit d’une erreur d’inattention, et on peut tomber dans le piège des cyberattaquants. Mais la différence va être faite avec la réaction derrière et les bonnes pratiques à adopter si on a été victime d’une attaque par hameçonnage. Voici ce que vous devez faire si vous avez été victime :

  1. Même en cas de doute, contactez l’entité concernée

Afin de vérifier si elle est à l’origine de ce message, il est conseillé de contacter l’entité concernée et d’échanger avec elle sur la provenance et l’authenticité de ce message.

  1. Cela concerne un organisme bancaire

Si cela concerne un organisme bancaire et que vous êtes sur d’avoir été victime d’hameçonnage, contactez immédiatement cet organisme afin de faire opposition et de les prévenir de cette attaque.

  1. Changez immédiatement vos mots de passe

Si lors de l’attaque vous avez divulgué un ou plusieurs mots de passe, modifiez immédiatement ce ou ces mots de passe de tous les services qui l’utilisent.

  1. Ne supprimez pas les preuves

Veillez à garder les messages que vous avez reçus, afin de faciliter l’enquête des services compétents.

  1. Déposez plainte auprès d’un commissariat de police ou d’une gendarmerie

En effet, si vous constatez que des informations personnelles ont été volées afin d’usurper votre identité, ou que des débits qui ne proviennent pas de vous ont été effectués sur votre compte bancaire, déposez plainte au commissariat de police ou dans une gendarmerie. Vous pouvez également déposer plainte auprès du procureur de la République du tribunal judiciaire en fournissant les preuves que vous avez pu garder. De plus, vous pouvez vous faire accompagner gratuitement dans ces démarches par l’association France Victimes au 116 006 (appel et service gratuits, ouvert 7 jours sur 7 de 9h à 19h).

  1. Signalez le message ou le site douteux à Signal Spam

Signal Spam est une association partenaire de la CNIL pour identifier les principaux émetteurs de spams et mener les actions de luttes nécessaires contre ces derniers.

  1. Signalez l’adresse du site d’hameçonnage à Phishing Initiative

Récupérez l’adresse du site frauduleux qui, dans la majorité des cas, ressemble à un nom de domaine authentique, mais un caractère va être différent, ce qui peut vous amener à vous tromper. Vous pourrez donc signaler ce site à Phishing Initiative qui se chargera de bloquer l’accès à ce site et demandera sa suppression.

  1. Si vous avez besoin de plus de conseil

Vous pouvez être conseillé dans vos différentes démarches en contactant la plateforme Info Escroquerie du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits, du lundi au vendredi de 9h à 18h30).

6. Les différentes infractions à la loi

Usurpation d’identité

Article 226-4-1 du Code pénal

Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende.

Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.

Lorsqu’ils sont commis par le conjoint ou le concubin de la victime ou par le partenaire lié à la victime par un pacte civil de solidarité, ces faits sont punis de deux ans d’emprisonnement et de 30 000 euros d’amende.

Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite

Article 226-18 du Code pénal

Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.

Escroquerie

Article 313-1 du Code pénal

L’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge.

L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende.

Accès frauduleux à un système de traitement automatisé de données

Article 323-1 du Code pénal

Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 60 000 € d’amende.

Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 € d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, la peine est portée à cinq ans d’emprisonnement et à 150 000 € d’amende.