À en croire les éditeurs antivirus, le phishing - ou hammeçonnage - est l'une des principales méthodes employées par les cybercriminels pour obtenir des informations personnelles et parfois bancaires auprès d'internautes incrédules. Il existe plusieurs types de hameçonnages, lesquels peuvent parfois avoir des conséquences désastreuses sur la vie des victimes. Cet article a pour but d'offrir un tour d'horizon des mécaniques les plus courantes de phishing, tout en offrant un maximum de solutions pour prévenir les attaques, avant qu'il ne soit trop tard.
- moodEssai 30 jours
- devices3 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
Le phishing est la méthode la plus courante pour abuser de la confiance potentielle de victimes afin de récupérer leurs données, et pour cause : c'est aussi un des exemples de cybercriminalité les plus aisés à reproduire, sans nécessité de connaissances particulières en informatique. Ici, tout repose sur l'ingénierie sociale, à savoir un ensemble de techniques utilisées par des escrocs pour manipuler la psychologie humaine à leurs fins. Alors concrètement, qu'est ce que le phishing ? Comment le reconnaître ? Comment le prévenir, outre la méthode classique de l'antivirus gratuit ? Que faire en cas de hameçonnage ?
Phishing : origines et méthodes utilisées
Origines et définition
On parle de hameçonnage pour regrouper toutes les techniques d'ingénierie sociale employées par des escrocs pour manipuler la psychologie humaine, et pousser des victimes à partager leurs informations sensibles (d'identité ou bancaire) en passant par la falsification et le mensonge. Le but est d'encourager les victimes à agir sans réfléchir en passant par un message électronique malveillant (comprenant un lien vers un faux site par exemple). Les objectifs sont simples : récupérer des informations personnelles, d'identification voire même des données bancaires pour ensuite arnaquer la victime. Pour être le plus efficace possible, l'hameçonnage évolue en permanence pour contourner la cybersécurité et la vigilance humaine.
Originellement, le terme phishing apparaît pour la toute première fois au milieu des années 90, alors que des pirates ont commencé à employer des courriers électroniques malveillants pour récupérer des informations obtenues auprès d'utilisateurs naïfs. Alors qu'AOL était l'un des premiers fournisseurs d'accès à internet, beaucoup de pirates se faisaient passer pour des employés de la firme, afin d'inciter les utilisateurs à divulguer leurs informations. Ces premiers pirates étaient à l'époque appelés "phreaks" (tiré du mot "freaks" en anglais) ; en conséquence, le fishing a été renommé "phishing" pour coller au nom apposé aux fameux escrocs.
Au cours des années 2000, les attaques se sont directement centrées vers les comptes bancaires, avec des emails se faisant passer pour la banque des potentielles victimes afin qu'elles révèlent leurs données bancaires. Puis, au fil des années, le phishing s'est développé pour se faire passer pour à peu près n'importe quel service suffisamment respecté pour générer de la confiance (facture d'électricité, gouvernement, réseau social). Dans l'ensemble, la méthode reste cependant la même depuis plusieurs décennies. Encore récemment, iCloud, Google Docs & Paypal ont touchés par une campagne de phishing.
Les principaux types d'attaques
Si l'objectif du phishing et la méthode est dans l'ensemble restée la même depuis quelques années, il existe cependant quelques variantes à bien connaître pour au mieux les identifier. La méthode classique reste celle du bon vieil email : envoyé à des millions de personnes à la fois, il est peu couteux, et invite les nombreuses potentielles victimes à cliquer sur un lien malveillant, à télécharger une pièce jointe malveillante qui pourra potentiellement contenir un malware, ou encore à remplir un formulaire factice dont le simple but est de collecter des informations. L'email frauduleux est la méthode la plus employée dans le cadre du phishing, et correspond selon un rapport de Kaspersky à 55% du flux de mails dans le monde en 2019 (avec les spams).
Il existe cependant plusieurs types de phishing par email, parmi lesquels :
- Appelée Spear Phishing, cette méthode consiste à envoyer des messages électroniques à des personnes spécifiques au sein d'une organisation, généralement haut placées dans la boîte
- La fraude du PDG est, comme son nom l'indique, une technique de phishing dont le but est de faire croire à des personnes travaillant dans le secteur financier que leur PDG leur demande de l'argent
- La manipulation de liens permet aux escrocs de renvoyer leur victime vers un lien ressemblant à une entreprise officielle
- Il est également possible de télécharger un logiciel malveillant directement depuis une pièce jointe reçue par mail
Malgré une idée préconçue, le phishing ne passe pas uniquement par email : il est également possible de se faire menacer par cette méthode peu scrupuleuse par téléphone ou par SMS. Si le phishing par SMS est globalement moins répandu, il reprend néanmoins globalement la forme du mail de phishing, en se faisant passer pour un organisme officiel afin de rediriger l'utilisateur vers un site malveillant.
Le phishing par téléphone est également moins répandu, mais aussi plus dangereux : puisqu'il touche beaucoup moins de monde, les bons réflexes à prendre sont moins évidents. Ainsi, par cette méthode, les personnes mal intentionnées contactent directement la victime en se faisant passer pour une banque ou un organisme officielle afin de demander à la victime ses informations au cours d'une conversation téléphonique.
Les méthodes de phishing sont donc nombreuses, et pour ne pas succomber à une menace particulièrement bien articulée, il est important de ne jamais communiquer d'information personnelle, que ce soit par mail, téléphone ou SMS. Le principal étant évidemment de reconnaître une tentative de phishing.
Comment reconnaître les tentatives d'hameçonnage ?
Si la plupart des mails de phishing terminent dans la section "spams" d'une boîte mail, il arrive parfois que certains messages frauduleux parviennent dans la boîte principale de l'utilisateur. Il est cependant possible de les repérer en étant particulièrement attentif à plusieurs éléments.
D'abord, l'expéditeur : il est généralement recommandé de ne répondre qu'à des mails venant de personnes ou d'organisations déjà connues. Pour être sûr qu'il s'agit de mails sûrs, il suffit de vérifier l'adresse mail de l'expéditeur, puis de la comparer avec d'autres mails reçus par la même personne ou la même organisation. Si l'adresse mail a changé, alors il y a de fortes chances pour que le message reçu soit frauduleux. Idem si l'adresse mail contient des fautes, tout un tas de chiffres ou de lettres qui ne semblent pas avoir de sens dans le contexte.
Il est par ailleurs important de jeter un œil à la date à laquelle le message a été envoyé : s'il a été envoyé à des horaires incongrus (notamment la nuit, alors que l'organisme en question n'est pas sensé être en service), il sera de bon ton de redoubler de vigilance. Le contenu du message est également à inspecter avec la plus grande attention : il comporte parfois des fautes, semble irréaliste dans le contexte du mail, ou joue parfois avec les émotions (appel à la pitié, menaces, chantage, etc).
Si un mail venant d'une source inconnue comporte une pièce jointe, alors il est primordial de ne pas cliquer dessus, car cette dernière pourrait comporter divers malwares capables d'infecter l'appareil de l'utilisateur, même si son format semble sûr (PDF, Word, etc). Au même titre, la présence de liens hypertextes pourra renvoyer vers un site malveillant : pour en savoir plus sans cliquer dessus, il est recommandé de passer la souris sur le lien sans cliquer pour voir l'URL de redirection, et ainsi se faire une meilleure idée du site vers lequel l'utilisateur sera redirigé.
Par ailleurs, si un mail fait une demande de données personnelles/bancaires, joue avec les émotions de l'utilisateur, essaie de le convaincre de cliquer sur un lien ou une pièce jointe, propose un sujet alarmiste avec une demande peu raisonnable, il y a de fortes chances pour qu'il s'agisse de phishing.
Comment se protéger contre l'hameçonnage en ligne ?
Les bonnes pratiques pour se prémunir
Il existe un certain nombre de gestes à prendre pour réflexes lorsque l'on reçoit un mail, afin d'éviter de succomber aux tentatives de phishing, de plus en plus astucieuses et dissimulées. Déjà, si le mail présente quelques uns des éléments abordés plus haut, il convient de simplement l'ignorer. S'il s'agit par exemple d'un mail se faisant passer pour le gouvernement, une banque ou une institution, il est également possible de contacter l'organisme en question afin de demander confirmation que le mail reçu par l'utilisateur vient de lui ou non.
D'autre part, il est recommandé de mettre souvent à jour navigateurs web et antivirus, afin que ces derniers puissent être plus réactifs sur les nouvelles formes de menaces. Côté sécurité bancaire, la double authentification est nécessaire : ainsi, si la victime venait à partager par mégarde ses informations bancaires, elle sera potentiellement protégée par cette surcouche de sécurité lors d'un achat via une carte bancaire ou directement sur internet.
Les gestes à effectuer pour contrer le phishing sont nombreux, mais aucun d'entre eux ne sera efficace si l'utilisateur n'est pas informé et au fait des mécaniques habituelles employées par le phishing. Ainsi, un internaute éduqué sur la pratique aura d'emblée beaucoup plus d'armes à son arsenal pour faire face à la menace.
Optez pour une messagerie sécurisée
S'il existe de nombreuses options de services de messagerie par email, elles ne se valent pas forcément toutes, notamment au niveau de la sécurité. Il est ainsi particulièrement important de faire attention à opter pour un service de messagerie enclin à protéger ses utilisateurs de tentatives de phishing, que cela passe par un filtre anti-spam ou une autre méthode de sécurité supplémentaire.
Les filtres anti-spam de Gmail & Outlook
Gmail et Outlook analysent par défaut tous les mails afin de détecter les spams et les tentatives de phishing. Ils intègrent généralement les dernières technologies de détection de mails envoyés de manière massive afin de déterminer les tentatives de hameçonnage avant même qu'ils ne puissent atteindre la boîte mail de l'utilisateur. L'intelligence artificielle analyse ainsi tous les messages entrants et les met en quarantaine immédiatement : il s'agit là de la première couche de sécurité pour faire face au phishing, mais il arrive parfois que certains mails frauduleux parviennent à contrer cette détection et à se frayer un chemin vers la boîte mail de l'utilisateur. Il est donc important de se prémunir autrement.
Pour aller plus loin : Proton Mail
- storage1 Go de stockage
- securityChiffrement natif par défaut
- alternate_emailPas de domaine personnalisé
- smartphoneApplications iOS, Android
- push_pinJurisdiction Suisse
Grâce à son service de messagerie par mail focalisée sur la sécurité et le respect de la confidentialité, ProtonMail s'impose comme l'une des solutions à privilégier pour éviter au maximum les tentatives de hameçonnage. Le service permet entre autres de rapporter directement les tentatives de phishing auprès du fournisseur : une fois le signalement reçu par ProtonMail, il sera analysé pour ensuite améliorer la sécurité de la communauté ProtonMail dans son ensemble. La messagerie emploie par ailleurs un outil de reconnaissance de spams afin de filtrer automatiquement les mails frauduleux pour qu'ils n'atteignent pas la boîte de réception de l'utilisateur. Dans l'ensemble, il s'agit d'une solution de qualité pour éviter de faire face aux tentatives de phishing.
Protégez vos appareils avec une solution de sécurité
Malgré la vigilance humaine et un potentiel filtre anti-spam de qualité, il peut arriver que certains messages frauduleux parviennent malgré tout sur la boîte de réception d'un utilisateur. Il est donc fortement recommandé de rajouter une couche de sécurité par le biais d'une suite dédiée à l'occasion.
Bitdefender Premium Security
- moodEssai 30 jours
- devices1 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
Bitdefender Premium Security offre plusieurs couches de sécurité pour faire face aux tentatives d'hameçonnage. D'abord, il propose un filtre anti-spam qui filtre directement les courriels indésirables. Le filtre Scam Alert a quant à lui pour but de surveiller les SMS entrants en temps réel sur smartphone afin d'alerter l'utilisateur lorsqu'il reçoit un lien dangereux. Le module anti-phishing ou anti-fraude analyse quant à lui la page web sur laquelle se trouve l'utilisateur afin de déterminer si elle a été conçue pour voler des données. En l'occurrence, même si l'utilisateur est tombé dans le piège et a ouvert un lien frauduleux, l'antivirus devrait l'empêcher de remplir tout formulaire avec des informations sensibles. Outre ses qualités classiques de suite de sécurité, BitDefender prend ainsi particulièrement à cœur de contrer les tentatives de phishing, ce qui en fait une des solutions les plus adaptées à la résolution de ce problème.
Norton 360 Premium
- moodEssai 14 jours
- devices10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
Si, l'an dernier, Norton a été touché par une campagne d'hameçonnage qui se faisait passer pour la suite de sécurité pour vider le compte en banque des victimes, il n'en reste pas moins que cette solution reste l'une des plus efficaces pour faire face au phishing et aux spams dans leur ensemble. Le fournisseur permet en effet de bloquer et prévenir ces abus, avant même qu'ils n'atteignent la boîte de réception de l'utilisateur. C'est ce que permet le module anti-phishing de Norton, directement dédié à cette action, le tout en temps réel. On rappelle cependant qu'il est important de bien installer les nouvelles mises à jour du service pour que ce dernier puisse prendre en compte les nouvelles menaces.
Avast One
- moodEssai 30 jours
- devices5 à 30 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsPas de contrôle parental
Comme Norton 360 et Bitdefender, Avast One propose dans son abonnement un anti-phising, lequel a pour but simple de permettre à l'utilisateur de ne jamais avoir à lire un mail frauduleux, ni à ouvrir une pièce jointe pouvant contenir un malware quelconque. Outre cette fonctionnalité, AvastOne offre une protection anti-arnaques de grande ampleur : le service avertit l'utilisateur lorsqu'il reçoit un message (SMS, réseaux sociaux, applications de messagerie instantanée) dans lequel un lien dangereux a été identifié. L'utilisateur sera ainsi immédiatement informé avant d'ouvrir le lien. Par ailleurs, le score de cyberprudence donné par Avast à l'utilisateur permet à ce dernier de se faire une idée de la qualité de ses habitudes numériques sous le prisme de la sécurité, afin d'éviter de tomber dans le panneau d'une campagne de phishing réussie et particulièrement pernicieuse.
Mettez vos mots de passe à l'abri
Diverses campagnes de hameçonnage récentes ont ciblé principalement les mots de passe de nombreux services d'utilisateurs naïfs. Si un utilisateur venait à donner des mots de passe à des personnes malveillantes, ces dernières pourraient s'en servir pour collecter encore plus de données, les revendre auprès d'autres cybercriminels, voire même pour installer un ransomware ou d'autres malwares sur un appareil. Ainsi, outre la double authentification, à mettre en place dès qu'elle est possible, une couche supplémentaire de sécurité consiste à se procurer un gestionnaire de mots de passe pour pallier ces potentiels problèmes.
NordLocker
- mood3 Go d'espace gratuit
- storage500 Go d'espace en option
- upload3 Go en limite d'envoi
- home_pinServeurs au Panama
NordLocker est à la fois une solution pratique pour gérer ses mots de passe, mais aussi un outil pratique pour garder au chaud les données sensibles d'un utilisateur grâce à l'espace de stockage gratuit de 3 Go directement intégré au service. Ainsi, comme beaucoup d'autres gestionnaires de mots de passe, NordLocker permet de mettre en place un mot de passe maître (à ne surtout pas perdre) sur lequel se base la sécurité de NordLocker. Par la suite, le service peut par ailleurs prendre en charge l'authentification multifactorielle, afin d'éviter toute connexion intrusive en cas d'attaque de phishing réussie.
Dashlane
- moodVersion gratuite limitée
- databaseStockage illimité
- browse_activityNotification de fuite
- lockChiffrement AES-256
Dashlane est un des gestionnaires de mots de passe les plus complets du marché. Mot de passe maître, double authentification, il possède plusieurs fonctionnalités de sécurité capables de mettre à mal les tentatives de phishing en elles-mêmes. Cependant, Dashlane offre en plus un véritable service anti-hameçonnage : le gestionnaire recherche activement les sites web frauduleux, afin de renvoyer les utilisateurs vers une page d'avertissement. Bien entendu, si la victime pense que son mot de passe maître a été volé par un tiers, elle devra malgré tout faire en sorte de modifier les identifiants concernés au plus vite.
1Password
- moodVersion d'essai limitée
- databaseStockage illimité
- browse_activityNotification de fuite
- lockChiffrement AES-GCM-256
Le but d'un gestionnaire de mots de passe est d'offrir une sécurité supplémentaire face aux menaces du web, et 1Password l'a bien compris. En plus de gérer les identifiants de l'utilisateur, le service offre plusieurs fonctions afin de faire face aux tentatives de hameçonnage. D'abord, puisque le service lie directement sur quel site utiliser quel identifiant, il ne sera pas possible de l'utiliser (et donc d'entrer ses identifiants de manière automatique) sur un site tiers frauduleux). D'autre part, chaque compte 1Password intègre Watchtower, un service dont le but est d'alerter l'utilisateur si ce dernier se rend sur un site compromis ou dangereux. Enfin, ce gestionnaire permet, comme Dashlane & NordLocker, de mettre en place l'authentification multifactorielle afin de limiter les dégâts si l'utilisateur a fini par se faire piéger par une tentative d'hameçonnage.
Surfez l'esprit tranquille
Histoire de rajouter une ultime couche de sécurité, l'emploi d'un navigateur web sécurisé, avec une fonction anti-phishing dédiée, est globalement recommandé pour éviter toute mauvaise surprise.
Brave
- Respect et protection de la vie privée
- Interface et ergonomie soignée
- Le plus rapide du marché
Brave fait aisément partie des navigateurs web les plus sérieux dans la concurrence aux grands du domaine, à savoir Firefox & Google Chrome. Le navigateur crypto est un des plus sécurisés quant à la gestion des données personnelles, avec un moteur de recherche indépendant, mais aussi des outils de sécurité dédiés à la suppression de diverses menaces, parmi lesquelles le phishing. En effet, Brave a pu lancer en 2020 l'intégration de solutions anti-phishing à ses wallets crypto afin de protéger au mieux ses utilisateurs. Mais ce n'est pas tout : l'anti-phishing intégré au service permet d'alerté directement l'utilisateur si ce dernier tente de visiter un site reconnu comme dangereux (malware, phishing, etc).
Firefox
- 100 % développé en interne
- Fiable, efficace et stable
- Fonctionnalités d'optimisation de l'interface et de l'expérience utilisateur
Firefox possède une mécanique anti-hameçonnage présente automatiquement dans le navigateur. Cette dernière permet de vérifier les sites visités par l'utilisateur en les mettant en correspondance avec une liste de sites signalés comme étant malveillants ou de phishing. Cette liste est automatiquement mise à jour toutes les 30 minutes, à condition que les fonctions de protection contre l'hameçonnage soient activées. De surcroît, quand l'utilisateur télécharge un logiciel, un document ou un quelconque fichier en passant directement par le navigateur, Firefox vérifie immédiatement que l'hébergeur du site n'appartienne pas à une liste de sites connus pour contenir des fichiers malveillants. Bien entendu, il est également possible de désactiver cette fonctionnalité si l'utilisateur souhaite malgré tout accéder à un site dangereux, mais à ses risques et périls.
Google Chrome
- Bonnes performances
- Simple et agréable à utiliser
- Mises à jour régulières
Google Chrome est certes l'un des navigateurs web les plus employés au monde, il n'est pas nécessairement le plus réputé en termes de sécurité, principalement à cause des risques couramment attribués au GAFAM dans le domaine de la confidentialité des données. En revanche, Google Chrome possède un service anti-phishing directement intégré au navigateur, qui permet de d'ajouter un couche supplémentaire de sécurité face à cette menace précise. Google Chrome protège ainsi contre les pièces jointes frauduleuses, les liens et images externes dangereux et agit contre le spoofing. Il sera par ailleurs possible de mettre des messages en zone de quarantaine, afin d'empêcher l'utilisateur de voir le contenu du message.
Quels recours pour une victime de phishing ?
Si, malgré toutes ces informations, un utilisateur finit par se faire piéger par une tentative de phishing par manque de vigilance, il lui reste plusieurs recours. D'abord, il est primordial de signaler l'escroquerie sur la plateforme PHAROS (Plateforme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements), dont le but est de supprimer les sites internet dont le contenu est illicite.
Lorsque l'utilisateur reçoit un SMS abusif, il peut immédiatement le transférer au numéro 33 700, qui est un dispositif d'alerte par SMS créé par les opérateurs télécoms et l'état, permettant ensuite aux organismes intéressés d'agir rapidement face à ces menaces.
D'autre part, si la victime a par mégarde partagé ses informations bancaires suite à une tentative de phishing, il est recommandé d'immédiatement prévenir sa banque pour engager une démarche de blocage de compte, afin d'empêcher que l'argent de la victime ne se volatilise.
Glossaire Antivirus : nos autres définitions
- Qu'est-ce qu'un cheval de Troie (trojan) et comment s’en protéger ?
- Qu’est-ce qu’un malware de type wiper et comment s’en protéger ?
- Qu'est ce qu'un cryptolocker et comment s’en protéger ?
- Qu'est-ce qu'un bloatware et comment s'en débarrasser ?
- Qu'est-ce qu'un ransomware ou rançongiciel et comment s’en protéger ?
- Qu'est-ce qu'un logiciel malveillant (ou malware) et comment m'en protéger ?
- Qu'est-ce qu'un rootkit et comment s'en protéger ?
- Qu'est-ce qu'un keylogger et comment s'en protéger ?
- Qu'est-ce qu'un spyware et comment s'en protéger ?
- Qu’est-ce qu’un botnet et comment s’en protéger ?
Système d'exploitation
Windows