Phishing

Phishing : Comment se protéger d’une cyberattaque par hameçonnage?

Les tentatives de hameçonnage vis-à-vis des entreprises se perfectionnent, menaçant l'intégrité des données sensibles. Tout savoir pour bien se protéger !

C-RiskC-Risk

Publié le 27 août 2021 07:40 (Mise à jour le 1 décembre 2021 14:56)

Le “phishing”, ou “hameçonnage” en français, reste une des cyberattaques les plus fréquentes. Il représente un des principaux enjeux de cybersécurité pour les entreprises, tant les techniques des hameçonneurs pour voler des informations personnelles ou détourner l’argent des sociétés se sont perfectionnées.

Afin de bien protéger votre structure, il convient de dépasser l’image qu’on se fait de l'email d'hameçonnage : un courriel mal rédigé aux apparences et aux promesses parfois grotesques. Les supports du phishing et les techniques déployées par les hackers se perfectionnent, et deviennent de plus en plus difficiles à repérer. Il convient de les connaître pour y préparer vos collaborateurs et limiter les risques.

Définition officielle du hameçonnage

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) propose une définition officielle du hameçonnage ou phishing. Il s’agit d'une technique frauduleuse destinée à leurrer sa victime pour l'inciter à communiquer des données personnelles.

Le mot “phishing” trouve quant à lui son origine dans une combinaison d'expressions anglaises. Le cyberpirate part “à la pêche” à la victime, ce qui se traduit en anglais par “to fish”. Il utilise donc un hameçon, la langue française traduit donc le terme par “hameçonnage”. Le hacker hérite en outre de la tradition des “phreaks” : il fait des expérimentations sur les réseaux d’information. D’où le “ph-” de “phishing”.

Les trois composants qui permettent de qualifier une cyberattaque d'“hameçonnage” sont :

  • le fait que l’attaque se perpètre sur les réseaux de télécommunications : emails, mais aussi appel téléphonique, réseaux sociaux ou SMS ;
  • le pirate se fait passer pour un tiers de confiance : un interlocuteur récurrent ou une organisation fiable, comme votre banque ;
  • Il vise le vol d’informations sensibles : des données personnelles comme un numero de sécurité sociale, des données de comptes bancaires ou de votre carte bancaire.

À quoi ressemble un email de phishing ?

Bien se protéger des cyberattaques, c’est d’abord savoir les identifier. Une tentative de phishing peut prendre diverses formes. Vous pouvez recevoir un appel de votre banque, un message sur les réseaux sociaux, un SMS, un email.

Ces messages peuvent sembler provenir d’un site e-commerce fréquenté récemment, de votre opérateur de téléphonie, d’un service public ou de votre fournisseur d’énergie. Dans tous les cas, le pirate utilise les logos que vous connaissez déjà pour gagner votre confiance.

Quels sont les messages d’hameçonnage les plus fréquents ?

Selon la page d’economie.gouv.fr sur le filoutage, les messages de phishing reposent sur deux grands types de contenus :

  • On vous reproche d’être en retard dans le règlement d’une somme d’argent, paiement ou facture, et on vous menace de pénalités financières ou de poursuites judiciaires ;
  • On vous fait croire à une erreur en votre faveur, donnant droit à un remboursement.

Il existe également d’autres types d’emails de phishing en expansion :

  • L’échec de paiement : le message signale un problème de facturation concernant un achat récent. Il renvoie vers une page frauduleuse qui réclame vos informations bancaires ;
  • Le cadeau : l'e-mail vous fait croire que vous êtes le gagnant d’un concours, ou l’heureux bénéficiaire d’une offre exceptionnelle. Celle-ci nécessite néanmoins que vous fournissiez certaines données ;
  • Les impôts impayés, ou toute autre menace qui émane d'un service public et joue sur la peur des autorités pour forcer le paiement.
  • L’appel au secours, dans lequel le pirate se fait passer pour un proche dans une situation difficile, nécessitant une aide financière. Ces cyberattaques se traduisent également par des arnaques téléphoniques, les "vishings".
  • Les impôts vous remboursent : une technique très utilisée par les hameçonneurs en période de déclaration fiscale, qui implique bien sûr toujours de transmettre ses informations bancaires.
  • Un message de la banque vous alerte d’une activité suspecte, et vous invite à confirmer vos informations.
  • N’importe quel email qui joue sur l’urgence pour vous presser à agir dans la panique et à révéler des informations personnelles et sensibles.

Quels sont les signes d’un hameçonnage ?

Une tentative de phishing peut heureusement se repérer, à l’aide de quelques critères récurrents observés dans les emails des hameçonneurs :

1 / L’offre paraît trop alléchante, ou la demande trop pressante. Les services publics laissent toujours plusieurs occasions à leurs usagers de régulariser leurs démarches, nul besoin de payer en urgence.

2 / L’objet de l’email est assez vague, ou reprend le nom d'utilisateur de votre messagerie. Il arrive également que le message ne soit pas adressé directement au destinataire.

3 / Des erreurs d’orthographe, de grammaire ou de syntaxe.

4 / Des liens raccourcis ou mal orthographiés, dus à des usurpations de sites internet légitimes. Passez donc au-dessus des liens pour les vérifier, sans jamais les cliquer.

5 / Des pièces jointes que vous n’attendiez pas.

6 / Toute demande qui concerne la confirmation ou la livraison de vos données personnelles et informations sensibles.

7 / Une demande émise par une entreprise qui ne fait pas partie de vos fournisseurs, ou avec laquelle vous n’avez pas d’interaction spécifique.

8 / Une adresse de site étrange (nom de domaine), il faut toujour vérifiez l’adresse de l’organisme qui est censé vous contacter.

Quelle différence entre spam et phishing, pour finir ? La distinction entre les emails de spam et de hameçonnage réside dans l’intention des expéditeurs. Les spammeurs bombardent de publicités indésirables, mais sans autre conséquence néfaste. Les hameçonneurs, quant à eux, utilisent des techniques frauduleuses pour vous dérober des données sensibles.

Qui sont les principales victimes des tentatives de hameçonnage ?

Une étude 2020 du CESIN sur le phishing affirme que le hameçonnage incarne la technique d’attaque la plus fréquemment rencontrée par les RSSI (responsables de la sécurité des systèmes d'informations) des grands groupes français.

Toutes les entreprises sont donc directement concernées par les tentatives de filoutage, PME comme grands groupes cotés en bourse. Un récent article JDN sur les attaques de phishing précise cependant que les grands groupes y sont mieux préparés que les PME. Celles-ci se pensent moins concernées, et écopent dès lors de fréquences d’attaques plus conséquentes. L’article parle ainsi d’une moyenne de 25 000 tentatives d’hameçonnage sur les 3,5 millions d’emails mensuels moyens d’une PME.

En février 2021, c’est d’ailleurs le phishing bancaire qui a fait beaucoup de victimes parmi les sociétés françaises. L'œuvre de cyberpirates qui s’appuient sur la réglementation européenne DSP2 sur la sécurité bancaire pour faire paniquer leurs victimes.

Quelles conséquences redouter d’une cyberattaque par phishing ?

Le phishing menace principalement la sécurité des données confidentielles des entreprises, ainsi que leurs finances :

  • la majorité des tentatives d’hameçonnage donnent lieu à des vols d’identité et des détournements de fonds ;
  • de nombreuses cyberattaques par filoutage soutiennent aussi l’espionnage d'entreprise ;
  • certaines préparent le terrain de démarches plus larges de demande de rançon en l’échange de données bloquées par les pirates, ce qu’on appelle les rançongiciels.

D’un point de vue pénal, le phishing relève de différents types de délits :

  • l’usurpation d’identité, passible d’une peine d'un an de prison et de 15 000€ d’amende ;
  • la collecte de données à caractère personnel par moyen frauduleux ou illicite, passible d’une peine d’emprisonnement de cinq ans et de 300 000€ d’amende ;
  • l’escroquerie, qui peut aboutir à cinq ans d'emprisonnement et 375 000€ d’amende ;
  • l’accès frauduleux à un système de traitement automatisé de données, passible de trois ans de prison et de 100 000€ d’amende ;
  • la contrefaçon et usage frauduleux de moyen de paiement : sept ans et 750 000€ d’amende ;
  • la contrefaçon des marques dans les messages : trois ans de prison et 300 000€ d’amende.

Comment se déroule une cyberattaque par hameçonnage ?


Quel que soit le support de la cyberattaque par phishing, la procédure des hameçonneurs reste la même. Il s’agit de transmettre un message qui joue sur l'ingénierie sociale pour convaincre la victime de cliquer sur un lien ou une pièce jointe. Objectif : récupérer ses données personnelles. Cette stratégie repose sur des supports différents, mais heureusement aussi sur des techniques identifiables.

Quels sont les différents supports des attaques par phishing ?

Les hameçonneurs envoient le plus souvent des emails, mais pas seulement :

  • L’hameçonnage par email renvoie soit à des liens malveillants soit à des pièces jointes piratées.
  • Le phishing vocal, ou "vishing", consiste à essayer d’obtenir des informations personnelles sur la victime par téléphone.
  • Les sites usurpés incarnent des copies de sites web légitimes. Ils aident les hackers à récolter les données de connexion des victimes pour les réutiliser sur d’autres comptes.
  • Le “skimming” consiste à hameçonner par SMS, en invitant à cliquer sur un lien ou à télécharger une application porteuse d’un logiciel malveillant.

Le phishing via les réseaux sociaux consiste à pirater les comptes de la victime pour envoyer des liens malveillants à ses contacts. Cette technique se traduit également par la création de faux comptes utilisateurs. Ce type de phishing concerne particulièrement les entreprises, notamment concernées par le “social engineering”. Les hameçonneurs récoltent dans ce cas des informations sur la société pour mieux cibler leurs cyberattaques par la suite.

Il existe également des tentatives de phishing via comptes Linkedin. Les pirates envoient des liens à leurs victimes, qui fournissent des identifiants et des mots de passe. Ils s’en servent ensuite pour prendre la main sur le compte Linkedin et envoyer des messages frauduleux à ses contacts.

L'hameçonnage sert souvent à récupérer les données de connexion

Quelles astuces utilisent les hameçonneurs pour pirater les entreprises ?

Comme détaillé plus haut, les pirates utilisent différentes techniques pour se faire passer pour des interlocuteurs fiables. Ils recourent cependant à des méthodes bien précises pour cibler les entreprises :

  • Le "phishing trompeur” consiste à se faire passer pour une société du même secteur, intéressée par une collaboration ;
  • La fraude au PDG se résume, pour les pirates, à usurper l’identité du ou de la présidente de l'entreprise ou d'un responsable hiérarchique. L’attaque sert à obtenir des données bancaires ou des informations confidentielles ;
  • Le whaling, ou “harponnage”, consiste à cibler les personnalités les plus importantes d’une entreprise. Ce type d’attaque permet notamment de récupérer les informations qui permettent de procéder ensuite à une arnaque au président ;
  • Le “phishing Google Docs” - ou tout autre service cloud similaire - consiste à afficher des imitations de vos interfaces clouds pour récupérer les données de connexion de vos collaborateurs et accéder ensuite aux fichiers stockés en ligne ;
  • L’hameçonnage par clonage, ou “clone phishing”, consiste à copier vos emails légitimes pour les envoyer à vos destinataires avec de nouveaux liens, tous piratés.

Parmi les attaques par hameçonnage qui ont fait le plus parler d’elles, on retient notamment celle qui a touché la base de données des hôtels partenaires de Booking. Les utilisateurs du site internet avaient ainsi tous fait l’objet d’attaques frauduleuses par SMS ou via Whatsapp.

On a également beaucoup parlé de l’attaque au phishing vécue par les magasins Target en 2013. Celle-ci a donné lieu à une violation des données de 110 millions de consommateurs. Un événement qui a durablement affecté la réputation de la marque américaine.

Le phishing vise notamment les données bancaires

Comment protéger la société d’une cyberattaque par hameçonnage ?


La première étape pour protéger votre entreprise des tentatives de phishing consiste à former vos collaborateurs sur les communications dont ils doivent se méfier. Il convient aussi d'investir dans les logiciels anti-hameçonnage adéquats. Une fois l'attaque perpétrée, cependant, quelques bonnes pratiques permettent d’en réduire les conséquences négatives.

Mesures préventives contre les tentatives de phishing

La DGCCRF et le site cybermalveillance.gouv.fr véhiculent quelques mesures essentielles de prévention contre les tentatives d’hameçonnage, à transmettre à votre personnel :

  • Ne communiquez jamais de données sensibles par messagerie ou téléphone. Les administrations ne réclament pas de données bancaires ou de mots de passe par email ou SMS. Si c’est une entreprise qui vous contacte, vérifiez directement auprès d’elle ses intentions, en prenant l’initiative de la communication.
  • Survolez les liens des emails pour vérifier la validité des URLs affichées. Si besoin, consultez par vous-mêmes le site internet légitime et comparer son URL aux liens affichés dans le potentiel email piraté ;
  • Utilisez des mots de passe complexes, différents pour chaque compte, que vous renouvelez régulièrement ;
  • Si votre application le permet, activez la double identification et vérifiez les dates et heures des dernières connexions.

À ces conseils, nous ajoutons deux recommandations :

  • Méfiez-vous des fenêtres pop-ups, ou utilisez un bloqueur de fenêtres contextuelles. Quand elles affichent, cliquez toujours sur la croix habituelle de fermeture de la fenêtre, et non sur la grosse croix traditionnellement mise en valeur par les hameçonneurs ;
  • Affichez vos mails en texte brut : une astuce qui permet de révéler des images masquées, et de visibiliser la tentative de fraude.

Comment gérer les e-mails de phishing ?

Si les conseils ci-dessus amènent vos collaborateurs a identifié une ou plusieurs tentatives de phishing durant leurs activités professionnelles, six étapes à suivre :

  • Inscrivez votre société sur www.signal-spam.fr ;
  • Téléchargez l’extension correspondante à la messagerie utilisée en interne ;
  • En cas d’alerte au hameçonnage, il suffit de cliquer sur le bouton de l’extension pour signaler le message aux autorités. Certains fournisseurs de messageries, comme Outlook, prévoient d'ailleurs déjà ce type de mécanisme de dénonciation.
  • Vous pouvez éventuellement contacter l’entreprise usurpée pour la prévenir que des hackers détournent sa marque à des fins frauduleuses ;
  • Vous avez également la possibilité de dénoncer l’adresse URL du site de phishing sur Phishing-initiative.fr et www.internet-signalement.gouv.fr. Votre signalement sera traité par la Pharos, Plateforme d'harmonisation d'analyse, de regroupement et d'orientation des signalements.
  • Supprimez les messages pirates.

Réagir quand on est victime d’hameçonnage

Si vous êtes victimes d’une cyberattaque par phishing réussie, et que les hameçonneurs ont obtenu de vous des données confidentielles ou de l’argent :

  • contactez votre banque pour faire opposition aux éventuels prélèvements frauduleux ;
  • conservez les preuves, et donc le message piraté ;
  • mettez en place la cellule de crise destinée à la gestion des failles de cybersécurité ;
  • déposez plainte auprès du commissariat de police, de la gendarmerie locale ou du procureur de la République du tribunal judiciaire ;
  • signalez les messages à Signal Spam ;
  • changez les mots de passe et les noms d’utilisateurs de tous vos comptes en ligne ;
  • contactez votre prestataire en cybersécurité pour plus de conseils.

En cas de phishing bancaire, votre entreprise se verra-t-elle rembourser ses pertes financières ? La juridiction ne tranche pas sur le sujet. L’éventuel remboursement dépend effectivement de l’apparence du message frauduleux. Si l’email piraté avait toutes les apparences d’un faux, que la somme demandée était délirante ou que la demande paraissait illogique, votre comportement pourrait être jugé comme une négligence.

C’est ce qui s'est passé dans l’affaire qui opposait le Crédit mutuel Nord Europe à une de ses clientes. La juridiction de proximité avait reconnu la fraude, arguant que les pirates lui avaient volé ses données bancaires. La Cour de Cassation a préféré donner raison à la banque, en suspectant la cliente de négligence grave dans la manipulation de ses données bancaires.

Faire opposition en cas de fraude bancaire

FAQ

Le phishing, ou hameçonnage, est une forme de cyberattaque qui permet de voler des données confidentielles : personnelles ou bancaires. Le pirate passe généralement par un email, un SMS, ou un appel téléphonique en se faisant passer pour un interlocuteur légitime.

Si vous êtes face à un courriel douteux, survolez les URLs pour vous assurer qu'elles correspondent à des sites internet légitimes. Dans le doute, mettez fin à la communication (SMS, appel, mail) et contactez vous-même l’expéditeur officiel pour vous assurer qu’il s’agit bien d’un message à son initiative.

Vous pouvez signaler les spams et autres mails d'hameçonnage à la plateforme gouvernementale www.internet-signalement.gouv.fr.