Phishing : Comment se protéger d’une cyberattaque par hameçonnage ?

Définition officielle du hameçonnage

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) propose une définition officielle du hameçonnage ou phishing. Il s’agit d'une technique frauduleuse destinée à leurrer sa victime pour l'inciter à communiquer des données personnelles.

Le mot “phishing” trouve quant à lui son origine dans une combinaison d'expressions anglaises. Le cyberpirate part “à la pêche” à la victime, ce qui se traduit en anglais par “to fish”. Il utilise donc un hameçon, la langue française traduit donc le terme par “hameçonnage”. Le hacker hérite en outre de la tradition des “phreaks” : il fait des expérimentations sur les réseaux d’information. D’où le “ph-” de “phishing”.

Les trois composants qui permettent de qualifier une cyberattaque d'hameçonnage” sont :

• le fait que l’attaque soit menée sur les réseaux de télécommunications : emails, mais aussi appels téléphoniques, réseaux sociaux ou SMS ;
• le pirate se fait passer pour un tiers de confiance : un interlocuteur récurrent ou une organisation fiable, comme votre banque ;
• Il vise le vol d’informations sensibles : des données personnelles comme un numéro de sécurité sociale, des données de comptes bancaires ou de votre carte bancaire.

À quoi ressemble un email de phishing ?

Bien se protéger des cyberattaques, c’est d’abord savoir les identifier. Une tentative de phishing peut prendre diverses formes. Vous pouvez recevoir un appel de votre banque, un message sur les réseaux sociaux, un SMS, un email.

Ces messages peuvent sembler provenir d’un site e-commerce fréquenté récemment, de votre opérateur de téléphonie, d’un service public ou de votre fournisseur d’énergie. Dans tous les cas, le pirate utilise les logos que vous connaissez déjà pour gagner votre confiance.

Quels sont les messages d’hameçonnage les plus fréquents ?

Selon la page d’economie.gouv.fr sur le filoutage, les messages de phishing reposent sur deux grands types de contenus :

• On vous reproche d’être en retard dans le règlement d’une somme d’argent, paiement ou facture, et on vous menace de pénalités financières ou de poursuites judiciaires ;
• On vous fait croire à une erreur en votre faveur, donnant droit à un remboursement.

Il existe également d’autres types d’emails de phishing en expansion :

• L’échec de paiement : le message signale un problème de facturation concernant un achat récent. Il renvoie vers une page frauduleuse qui réclame vos informations bancaires ;
• Le cadeau : l'e-mail vous fait croire que vous êtes le gagnant d’un concours, ou l’heureux bénéficiaire d’une offre exceptionnelle. Celle-ci nécessite néanmoins que vous fournissiez certaines données ;
• Les impôts impayés, ou toute autre menace qui émane d'un service public et joue sur la peur des autorités pour forcer le paiement.
• L’appel au secours, dans lequel le pirate se fait passer pour un proche dans une situation difficile, nécessitant une aide financière. Ces cyberattaques se traduisent également par des arnaques téléphoniques, les "vishings".
• Les impôts vous remboursent : une technique très utilisée par les hameçonneurs en période de déclaration fiscale, qui implique bien sûr toujours de transmettre ses informations bancaires.
• Un message de la banque vous alerte d’une activité suspecte, et vous invite à confirmer vos informations.
• N’importe quel email qui joue sur l’urgence pour vous presser à agir dans la panique et à révéler des informations personnelles et sensibles.

Quels sont les signes d’un hameçonnage ?

Une tentative de phishing peut heureusement se repérer, à l’aide de quelques critères récurrents observés dans les emails des hameçonneurs :

1 / L’offre paraît trop alléchante, ou la demande trop pressante. Les services publics laissent toujours plusieurs occasions à leurs usagers de régulariser leurs démarches, nul besoin de payer en urgence.

2 / L’objet de l’email est assez vague, ou reprend le nom d'utilisateur de votre messagerie. Il arrive également que le message ne soit pas adressé directement au destinataire.

3 / Des erreurs d’orthographe, de grammaire ou de syntaxe.

4 / Des liens raccourcis ou mal orthographiés, dus à des usurpations de sites internet légitimes. Passez donc au-dessus des liens pour les vérifier, sans jamais les cliquer.

5 / Des pièces jointes que vous n’attendiez pas.

6 / Toute demande qui concerne la confirmation ou la livraison de vos données personnelles et informations sensibles.

7 / Une demande émise par une entreprise qui ne fait pas partie de vos fournisseurs, ou avec laquelle vous n’avez pas d’interaction spécifique.

8 / Une adresse de site étrange (nom de domaine), il faut toujours vérifier l’adresse de l’organisme qui est censé vous contacter.

Quelle différence entre spam et phishing, pour finir ? La distinction entre les emails de spam et de hameçonnage réside dans l’intention des expéditeurs. Les spammeurs bombardent de publicités indésirables, mais sans autre conséquence néfaste. Les hameçonneurs, quant à eux, utilisent des techniques frauduleuses pour vous dérober des données sensibles.

‍

Qui sont les principales victimes des tentatives de hameçonnage ?

Une étude 2020 du CESIN sur le phishing affirme que le hameçonnage incarne la technique d’attaque la plus fréquemment rencontrée par les RSSI (responsables de la sécurité des systèmes d'informations) des grands groupes français.

Toutes les entreprises sont donc directement concernées par les tentatives de filoutage, PME comme grands groupes cotés en bourse. Un récent article JDN sur les attaques de phishing précise cependant que les grands groupes y sont mieux préparés que les PME. Celles-ci se pensent moins concernées, et écopent dès lors de fréquences d’attaques plus conséquentes. L’article parle ainsi d’une moyenne de 25 000 tentatives d’hameçonnage sur les 3,5 millions d’emails mensuels moyens d’une PME.

En février 2021, c’est d’ailleurs le phishing bancaire qui a fait beaucoup de victimes parmi les sociétés françaises. L'œuvre de cyberpirates qui s’appuient sur la réglementation européenne DSP2 sur la sécurité bancaire pour faire paniquer leurs victimes.

Quelles conséquences redouter d’une cyberattaque par phishing ?

Le phishing menace principalement la sécurité des données confidentielles des entreprises, ainsi que leurs finances :

• la majorité des tentatives d’hameçonnage donnent lieu à des vols d’identité et des détournements de fonds ;
• de nombreuses cyberattaques par filoutage soutiennent aussi l’espionnage d'entreprise ;
• certaines préparent le terrain de démarches plus larges de demande de rançon en l’échange de données bloquées par les pirates, ce qu’on appelle les rançongiciels.

D’un point de vue pénal, le phishing relève de différents types de délits :

• l’usurpation d’identité, passible d’une peine d'un an de prison et de 15 000€ d’amende ;
• la collecte de données à caractère personnel par moyen frauduleux ou illicite, passible d’une peine d’emprisonnement de cinq ans et de 300 000€ d’amende ;
• l’escroquerie, qui peut aboutir à cinq ans d'emprisonnement et 375 000€ d’amende ;
• l’accès frauduleux à un système de traitement automatisé de données, passible de trois ans de prison et de 100 000€ d’amende ;
• la contrefaçon et usage frauduleux de moyen de paiement : sept ans et 750 000€ d’amende ;
• la contrefaçon des marques dans les messages : trois ans de prison et 300 000€ d’amende.