Pratique malveillante qui consiste à se faire passer pour un site de renom, le "hameçonnage" ou "phishing", est un cas d'usurpation d'identité. Le but du jeu ? Vous attirer sur un site plagié au moyen d'un e-mail (ou courriel en français) non sollicité qui réutilise l'habillage du site « contrefait » pour vous inviter à vous rendre sur un faux site afin de remettre à jour certains renseignements personnels et, à terme, vous escroquer. Prudence donc ! La rédaction de Futura vous en dit plus sur cette pratique qui ne cesse de se développer ainsi que quelques conseils pour vous méfier face à un e-mail douteux.

Qu’est-ce qu’une tentative d'hameçonnage ?

  • « Si vous ne payez pas les frais de port sous 24 heures votre colis ne sera pas livré. » 
  • « Vous allez recevoir un remboursement des impôts, cliquez ici pour accéder au formulaire. » 
  • « La réglementation de votre banque a changé, veuillez soumettre votre demande d'adhésion en cliquant sur ce lien. »

Voici quelques exemples d'e-mails que vous recevez certainement sur votre adresse de messagerie et qui sont typiquement des annonces dont il faut se méfier. En cliquant sur les liens (ce que l'on vous déconseille fortement !), vous allez atterrir sur un site qui reprend tous les codescodes et les éléments graphiques des portails de confiance. Ce faux site comprend généralement un questionnaire tout aussi faux ou un formulaire que vous devez expressément remplir d'après ce que dit le message.

Mais sur ce site plagié, les internautes sont incités à y renseigner leur numéro de téléphone, leur numéro de Sécurité sociale, leurs coordonnées bancaires et parfois même leurs codes de la carte de crédit. Autant d'informations sensibles pour vous et lucratives pour les escrocs en ligne qui pourront alors aller au bout de leur objectif : vous soutirer de l'argentargent ou se servir de vos informations très personnelles pour vous nuire.

Les enjeux face à la cybercriminalité se sont multipliés ces dernières années d'où la nécessité pour certaines entreprises d'être accompagnées par des experts. D'ailleurs, de nombreuses formations pour ces nouveaux métiers se développent et il est tout à fait possible de suivre un cursus de consultant en cybersécurité dans le but d'auditer et de guider les entreprises sensibles dans leur process de protection.

Le phishing en quelques chiffres

En pratique, des sites miroirs semblables à des portails officiels sont créés, puis les internautes sont sollicités en massemasse totalement au hasard avec des courriers électroniques de type « spams » qui reprennent l'habillage graphique du site Internet détourné.

Cette imposture ne cesse de progresser comme en témoignent ces quelques chiffres :

  • Google s'est penché sur la question du nombre de sites de phishing existants et a enregistré une hausse de 27 % en un an en janvier 2021, comme le rapporte l’entreprise londonienne Tessian.
  • Le phishing reste une menace majeure pour de nombreuses sociétés qui deviennent des cibles privilégiées. En effet, de nombreux courriers électroniques déguisés consistent à tromper les utilisateurs en vue de voler de l'argent. Mais de nombreux pirates sont aussi motivés par l'espionnage ou le vol de propriétés intellectuelles. 57 % des attaques de phishing auprès des entreprises ont réussi, selon Vaaadata, spécialisé en audits de sécurité.

Malheureusement, de nombreuses attaques aboutissent en raison d'une erreur humaine. Alors pour y remédier, certaines bonnes pratiques sont à adopter afin de limiter au maximum les risques d'hameçonnage.

 Les tentatives de <em>phishing</em> se réalisent <em>via</em> des e-mails. Mieux vaut savoir comment s'en protéger. © issaronow, Adobe Stock
 Les tentatives de phishing se réalisent via des e-mails. Mieux vaut savoir comment s'en protéger. © issaronow, Adobe Stock

Comment reconnaître un e-mail de phishing ?

Le phishing étant la cyberattaque la plus populaire et la plus fréquente, il est indispensable de savoir comment s'en protéger et identifier facilement les e-mails frauduleux.

  • Tout d'abord, il convient d'utiliser un filtre anti-spam sur votre boîte mail afin de diminuer la réception de messages à risque ou d'obtenir l'indication « spam » s'ils parviennent jusqu'à votre boîte de réception.
  • L'information auprès des utilisateurs ou la formation en interne pour les entreprises permet aussi de réduire le risque d'erreurs humaines face à ces e-mails trompeurs.
  • Ne communiquez pas vos informations sensibles. Comme l'indiquent les plateformes des administrations et des banques par exemple, les établissements officiels ne vous demanderont jamais vos coordonnées bancaires par e-mail !
  • Avant de cliquer sur un lien, vérifiez son URL. Vous verrez que cette adresse web redirige vers un site avec une adresse Internet plus complexe.
  • Regardez l'adresse e-mail d'envoi. Bien souvent, des premiers indices apparaissent dans l'adresse e-mail qui vous a transmis ce message. Une double voyelle ou encore une dénomination qui n'est pas la même qu'ordinaire doivent vous alerter. C'est ce que l'on nomme le brand spoofingspoofing (usurpation de marque en français).
  • En cas de doute, contactez l'entreprise concernée par un autre biais : le site officiel ou un numéro de téléphone. Elle saura vous indiquer si effectivement il s'agit d'un véritable e-mail émanant de ses services ou si elle n'est pas à l'origine de cette prise de contact.
  • Activez la double authentificationauthentification, choisissez des mots de passe sécurisés ou encore changez-les régulièrement. Ces actions peuvent vous prémunir d'une cyberattaque.
  • Enfin, dans l'hypothèse où vous avez cliqué et fourni des informations liées à vos comptes bancaires, contactez sans plus tarder votre banque afin de bloquer votre carte et empêcher les prélèvements.

Bien que la complexification des attaques en ligne progresse constamment, ces quelques conseils devraient vous alerter et vous aider à faire face aux messages douteux...