Les tentatives de hameçonnage vis-à-vis des entreprises se perfectionnent, menaçant l'intégrité des données sensibles. Tout savoir pour bien se protéger !
Le “phishing”, ou “hameçonnage” en français, reste une des cyberattaques les plus fréquentes. Il représente un des principaux enjeux de cybersécurité pour les entreprises, tant les techniques des hameçonneurs pour voler des informations personnelles ou détourner l’argent des sociétés se sont perfectionnées.
Afin de bien protéger votre structure, il convient de dépasser l’image qu’on se fait de l'email d'hameçonnage : un courriel mal rédigé aux apparences et aux promesses parfois grotesques. Les supports du phishing et les techniques déployées par les hackers se perfectionnent, et deviennent de plus en plus difficiles à repérer. Il convient de les connaître pour y préparer vos collaborateurs et limiter les risques.
La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) propose une définition officielle du hameçonnage ou phishing. Il s’agit d'une technique frauduleuse destinée à leurrer sa victime pour l'inciter à communiquer des données personnelles.
Le mot “phishing” trouve quant à lui son origine dans une combinaison d'expressions anglaises. Le cyberpirate part “à la pêche” à la victime, ce qui se traduit en anglais par “to fish”. Il utilise donc un hameçon, la langue française traduit donc le terme par “hameçonnage”. Le hacker hérite en outre de la tradition des “phreaks” : il fait des expérimentations sur les réseaux d’information. D’où le “ph-” de “phishing”.
Les trois composants qui permettent de qualifier une cyberattaque d'“hameçonnage” sont :
Bien se protéger des cyberattaques, c’est d’abord savoir les identifier. Une tentative de phishing peut prendre diverses formes. Vous pouvez recevoir un appel de votre banque, un message sur les réseaux sociaux, un SMS, un email.
Ces messages peuvent sembler provenir d’un site e-commerce fréquenté récemment, de votre opérateur de téléphonie, d’un service public ou de votre fournisseur d’énergie. Dans tous les cas, le pirate utilise les logos que vous connaissez déjà pour gagner votre confiance.
Selon la page d’economie.gouv.fr sur le filoutage, les messages de phishing reposent sur deux grands types de contenus :
Il existe également d’autres types d’emails de phishing en expansion :
Une tentative de phishing peut heureusement se repérer, à l’aide de quelques critères récurrents observés dans les emails des hameçonneurs :
1 / L’offre paraît trop alléchante, ou la demande trop pressante. Les services publics laissent toujours plusieurs occasions à leurs usagers de régulariser leurs démarches, nul besoin de payer en urgence.
2 / L’objet de l’email est assez vague, ou reprend le nom d'utilisateur de votre messagerie. Il arrive également que le message ne soit pas adressé directement au destinataire.
3 / Des erreurs d’orthographe, de grammaire ou de syntaxe.
4 / Des liens raccourcis ou mal orthographiés, dus à des usurpations de sites internet légitimes. Passez donc au-dessus des liens pour les vérifier, sans jamais les cliquer.
5 / Des pièces jointes que vous n’attendiez pas.
6 / Toute demande qui concerne la confirmation ou la livraison de vos données personnelles et informations sensibles.
7 / Une demande émise par une entreprise qui ne fait pas partie de vos fournisseurs, ou avec laquelle vous n’avez pas d’interaction spécifique.
8 / Une adresse de site étrange (nom de domaine), il faut toujour vérifiez l’adresse de l’organisme qui est censé vous contacter.
Quelle différence entre spam et phishing, pour finir ? La distinction entre les emails de spam et de hameçonnage réside dans l’intention des expéditeurs. Les spammeurs bombardent de publicités indésirables, mais sans autre conséquence néfaste. Les hameçonneurs, quant à eux, utilisent des techniques frauduleuses pour vous dérober des données sensibles.
Une étude 2020 du CESIN sur le phishing affirme que le hameçonnage incarne la technique d’attaque la plus fréquemment rencontrée par les RSSI (responsables de la sécurité des systèmes d'informations) des grands groupes français.
Toutes les entreprises sont donc directement concernées par les tentatives de filoutage, PME comme grands groupes cotés en bourse. Un récent article JDN sur les attaques de phishing précise cependant que les grands groupes y sont mieux préparés que les PME. Celles-ci se pensent moins concernées, et écopent dès lors de fréquences d’attaques plus conséquentes. L’article parle ainsi d’une moyenne de 25 000 tentatives d’hameçonnage sur les 3,5 millions d’emails mensuels moyens d’une PME.
En février 2021, c’est d’ailleurs le phishing bancaire qui a fait beaucoup de victimes parmi les sociétés françaises. L'œuvre de cyberpirates qui s’appuient sur la réglementation européenne DSP2 sur la sécurité bancaire pour faire paniquer leurs victimes.
Le phishing menace principalement la sécurité des données confidentielles des entreprises, ainsi que leurs finances :
D’un point de vue pénal, le phishing relève de différents types de délits :
Quel que soit le support de la cyberattaque par phishing, la procédure des hameçonneurs reste la même. Il s’agit de transmettre un message qui joue sur l'ingénierie sociale pour convaincre la victime de cliquer sur un lien ou une pièce jointe. Objectif : récupérer ses données personnelles. Cette stratégie repose sur des supports différents, mais heureusement aussi sur des techniques identifiables.
Les hameçonneurs envoient le plus souvent des emails, mais pas seulement :
Le phishing via les réseaux sociaux consiste à pirater les comptes de la victime pour envoyer des liens malveillants à ses contacts. Cette technique se traduit également par la création de faux comptes utilisateurs. Ce type de phishing concerne particulièrement les entreprises, notamment concernées par le “social engineering”. Les hameçonneurs récoltent dans ce cas des informations sur la société pour mieux cibler leurs cyberattaques par la suite.
Il existe également des tentatives de phishing via comptes Linkedin. Les pirates envoient des liens à leurs victimes, qui fournissent des identifiants et des mots de passe. Ils s’en servent ensuite pour prendre la main sur le compte Linkedin et envoyer des messages frauduleux à ses contacts.
Comme détaillé plus haut, les pirates utilisent différentes techniques pour se faire passer pour des interlocuteurs fiables. Ils recourent cependant à des méthodes bien précises pour cibler les entreprises :
Parmi les attaques par hameçonnage qui ont fait le plus parler d’elles, on retient notamment celle qui a touché la base de données des hôtels partenaires de Booking. Les utilisateurs du site internet avaient ainsi tous fait l’objet d’attaques frauduleuses par SMS ou via Whatsapp.
On a également beaucoup parlé de l’attaque au phishing vécue par les magasins Target en 2013. Celle-ci a donné lieu à une violation des données de 110 millions de consommateurs. Un événement qui a durablement affecté la réputation de la marque américaine.
La première étape pour protéger votre entreprise des tentatives de phishing consiste à former vos collaborateurs sur les communications dont ils doivent se méfier. Il convient aussi d'investir dans les logiciels anti-hameçonnage adéquats. Une fois l'attaque perpétrée, cependant, quelques bonnes pratiques permettent d’en réduire les conséquences négatives.
La DGCCRF et le site cybermalveillance.gouv.fr véhiculent quelques mesures essentielles de prévention contre les tentatives d’hameçonnage, à transmettre à votre personnel :
À ces conseils, nous ajoutons deux recommandations :
Si les conseils ci-dessus amènent vos collaborateurs a identifié une ou plusieurs tentatives de phishing durant leurs activités professionnelles, six étapes à suivre :
Si vous êtes victimes d’une cyberattaque par phishing réussie, et que les hameçonneurs ont obtenu de vous des données confidentielles ou de l’argent :
En cas de phishing bancaire, votre entreprise se verra-t-elle rembourser ses pertes financières ? La juridiction ne tranche pas sur le sujet. L’éventuel remboursement dépend effectivement de l’apparence du message frauduleux. Si l’email piraté avait toutes les apparences d’un faux, que la somme demandée était délirante ou que la demande paraissait illogique, votre comportement pourrait être jugé comme une négligence.
C’est ce qui s'est passé dans l’affaire qui opposait le Crédit mutuel Nord Europe à une de ses clientes. La juridiction de proximité avait reconnu la fraude, arguant que les pirates lui avaient volé ses données bancaires. La Cour de Cassation a préféré donner raison à la banque, en suspectant la cliente de négligence grave dans la manipulation de ses données bancaires.
Le phishing, ou hameçonnage, est une forme de cyberattaque qui permet de voler des données confidentielles : personnelles ou bancaires. Le pirate passe généralement par un email, un SMS, ou un appel téléphonique en se faisant passer pour un interlocuteur légitime.
Si vous êtes face à un courriel douteux, survolez les URLs pour vous assurer qu'elles correspondent à des sites internet légitimes. Dans le doute, mettez fin à la communication (SMS, appel, mail) et contactez vous-même l’expéditeur officiel pour vous assurer qu’il s’agit bien d’un message à son initiative.
Vous pouvez signaler les spams et autres mails d'hameçonnage à la plateforme gouvernementale www.internet-signalement.gouv.fr.
en lien avec la quantification des cyber risques