Le Phishing : une pêche qui pèche

L’hameçonnage (phishing en anglais) est une technique qui consiste à usurper l’identité d’un site de confiance : vous pensez être sur le site Internet de votre banque alors que vous êtes sur une page malveillante qui l’imite en tous points.

Lorsque vous entrez vos identifiants, ils sont envoyés à l’auteur de la page qui pourra dorénavant les utiliser pour se connecter à votre compte.

Le « phishing » est un fléau exploitant le manque de vigilance et les mauvaises habitudes des internautes. Que ce soit par mail ou via les moteurs de recherche, il imite l’apparence d’un site officiel pour mieux piéger ses potentielles victimes. En 2012, 37 millions d’internautes ont été victimes de phishing. On a sans doute tous reçu des mails provenant prétenduement de notre fournisseur d’accès à Internet, d’un réseau social ou de notre banque, nous invitant à nous connecter à notre compte pour régler un problème d’impayé ou de coordonnées inexactes.

Exemple de mail frauduleux

Le but de ces techniques est de dérober vos indentifiants, soit pour vous voler de l’argent, soit pour pouvoir étudier en détail votre profil. Les réseaux sociaux sont de plus en plus la cible de ce genre de malveillance.

Quelques précautions simples pour se prémunir contre l’hameçonnage :

1/ Il faut toujours taper l’adresse exacte du site sensible qu’on veut visiter plutôt que de passer par une requête via un moteur de recherche. En effet, et c’est une très mauvaise habitude exploitée par les pirates, beaucoup d’internautes n’entrent jamais l’adresse d’un site pour s’y connecter mais utilisent un moteur de recherche (Google la plupart du temps) et cliquent ensuite sur l’un des liens proposés. Or, il est possible pour un pirate de créer une adresse proche de celle du site officiel et de la référencer sur Google : par exemple, « mabanquee.fr » ou « mabanque.infos.fr » au lieu de « mabanque.fr ». Pour être certain de l’exactitude d’une adresse, relisez vos courriers postaux où figurera obligatoirement l’adresse internet de l’institution.

2/ Une banque ou n’importe quelle autre institution n’envoie jamais de mail demandant de se connecter sur son compte via un lien, même en cas d’impayé. Elle vous invite dans ce cas à la contacter au plus vite par téléphone ou à vous y rendre.

3/ En cas de doute, faites un clic droit sur le lien à cliquer et choisir « Copier le lien » ou  « Copier le raccourci ». Le coller (CTRL+V) dans un bloc note (c’est une application disponible sur votre système d’exploitation) et vérifier qu’il s’agit bien de l’adresse correspondant au service (banque, fournisseur d’accès, caf, etc).

4/ Utiliser une suite internet de protection type « Kaspersky Total Security » ou « ESET Smart Security ». Il en existe beaucoup et il n’est pas facile de choisir le produit le plus performant du moment, puisqu’au fil des versions certains de ces logiciels deviennent plus ou moins performants. Les sites http://av-comparatives.org/ (en Anglais) ou http://www.av-test.org/ (Français) effectuent régulièrement des tests poussés et indépendants de nombreux logiciels de sécurité. Mais attention : ces logiciels ne sont pas infaillibles et ne dispensent pas de rester vigilant lorsqu’on accède à ses mails ou à un site internet, mais ils peuvent aider.

Exemple de mail frauduleux

Exemple de mail frauduleux

 

 

 

 

 

 

 

Si vous êtes victime de ce genre de malveillance, Vous devez faire opposition le plus vite possible auprès de votre banque. Vous pouvez par ailleurs signaler le site frauduleux sur l’un des sites officiels suivants : https://phishing-initiative.fr/contrib/ ou https://www.internet-signalement.gouv.fr/. 

De manière générale, il est utile de s’informer sur la sécurité dès lors qu’on utilise Internet. Ce site, à destination d’étudiants, regorge d’informations pour mieux se protéger sur le thème « Adopter une attitude citoyenne dans la société de l’information ». Internet est un outil très puissant d’information et de communication qui va devenir incontournable, les institutions dématérialisant peu à peu leurs services. L’apprentissage des règles de sécurité sur le web est donc nécessaire pour surfer en toute sérénité.