Qu’est-ce que le phishing et comment s’en protéger ?
En forte recrudescence ces dernières années en France (selon le constat de cybermalveillance.gouv.fr) le phishing (hameçonnage en français), est une technique peu coûteuse et simple d’accès. Il s’agit d’un piège par lequel un logiciel malveillant envoie massivement de faux emails, incitant les destinataires à entrer leurs données personnelles de connexion sur des sites factices. Le plus souvent, ces emails frauduleux prétendent émaner de sites originaux, et demandent au destinataire de donner son mot de passe pour de prétendues raisons de sécurité. Il est alors redirigé vers un faux site, qui ressemble à l’original.
Par ailleurs, aucune solution technique n’est efficace à 100% pour se protéger de l’hameçonnage et éradiquer ce problème. La prévention reste donc la meilleure solution. Mais il existe quelques précautions suffisantes pour se protéger contre la majorité de ces cyberattaques.
Comment reconnaitre une tentative de phishing ?
Certes les emails de phishing sont très similaires aux mails dont ils ont usurpé l’identité, mais on peut tout de même les identifier par plusieurs moyens ! En voici une liste non-exhaustive.
- Une notification de la messagerie ou de l’antivirus
- Un email ou SMS d’un service ou d’une société dont vous n’êtes pas client
- Un objet d’email trop alléchant ou alarmiste
- Une adresse ou un nom d’expédition inhabituel
- Une apparence suspecte
- Une demande d’informations confidentielles
- Des fautes de français surprenantes
- Une incitation à cliquer sur un lien ou une pièce-jointe
- Une apparence suspecte
Exemple d’hameçonnage alléchant annonçant un remboursement.
Comment se protéger d’une tentative de phishing ?
À savoir qu’en cas de cyberattaque, seule votre organisation est responsable…En conséquence, nul n’est soumis à vous dédommager le montant de la fraude.
Néanmoins, si votre organisation adopte une véritable stratégie de prévention, si se protéger de l’hameçonnage reste l’une de ses priorités, le risque peut être limité. Voici quelques conseils de prévention pour se protéger du phishing :
Expéditeur inconnu
Méfiez-vous des courriels non sollicités provenant d’expéditeurs inconnus. Si cela semble trop beau pour être vrai, c’est probablement le cas
Attention aux pièces jointe
N’ouvrez pas les pièces jointes et ne cliquez pas sur les liens fournis dans les courriels ou les textes suspects. Vous pourriez compromettre votre appareil et exposer vos informations personnelles à des pirates ;
Gardez vos informations personnelles
Soyez prudent lorsque vous partagez des informations personnelles ou professionnelles ;
Gérer vos connexions
Ne vous connectez jamais ailleurs que sur le site internet de votre véritable administration, institution, organisation…
Méfiez-vous des fautes d’orthographe
Observez bien l’URL du lien, toutes fautes d’orthographe ou irrégularité doit attirer votre attention ;
Vérifiez l’URL
Vérifiez que le site est sécurisé : un cadenas doit être présent dans l’URL et l’adresse du site doit commencer par HTTPS (et non HTTP) ;
Vous êtes victime de phishing, que faire ?
Même après avoir pris toutes les précautions possibles. Si vous êtes victime d’un acte de phishing il faut réagir vite ! Pour cela différentes options s’offrent à vous :
- Au moindre doute, contactez directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu.
- Si vous avez communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte bancaire, faites opposition immédiatement auprès de votre organisme bancaire ou financier.
- Conservez les preuves les messages d’hameçonnage reçu. Si vous avez reçu un message douteux sans y répondre, signalez-le sur www.signalspam.fr.
- Vous pouvez signaler une adresse de site d’hameçonnage sur phishinginitiative.fr qui en fera fermer l’accès. En fonction du préjudice subi (débits frauduleux, usurpation d’identité…)
- Déposez plainte au commissariat de police ou à la gendarmerie ou écrivez au procureur de la république dont vous dépendez en fournissant toutes les preuves en votre possession.
- Se faire rembourser : Les banques sont tenues de rembourser intégralement les débits frauduleux sur votre compte (notamment ceux réalisés avec votre numéro de carte bancaire alors que vous détenez toujours celle-ci) … sauf si vous avez fait preuve de négligence (articles L133.19 et suivants du Code monétaire et financier).
- Pour être conseillé en cas d’hameçonnage, contactez info escroqueries au 0805805817 (numéro gratuit).
Bien sûr, rien n’est jamais infaillible à 100 %, mais ce type d’innovation peut contribuer à réduire le nombre de tentatives de phishing réussies qui sont envoyées chaque jour. Mais, la clé pour protéger vos ressources informatiques contre les attaques de phishing est de savoir ce qu’elles sont, comment elles fonctionnent et comment réagir en cas d’attaque de phishing. En fin de compte, si un message ne vous semble pas correct, il ne l’est probablement pas.