Une Menace Massive et Insidieuse

Le phishing (ou hameçonnage) n'est pas une cyberattaque comme les autres. Il ne repose pas sur des lignes de code complexes ou des failles techniques obscures, mais sur une technique éprouvée, l'ingénierie sociale.
L'ingénierie sociale, c'est l'art de manipuler la psychologie humaine. C'est par ce biais que ce phénomène si courant (il représente la majorité des cyber incidents) est si dangereux. Il cible le maillon le plus faible de toute sécurité informatique : l'utilisateur.

Une pêche à la Ligne numérique

Imaginez un pêcheur qui lance un appât pour attirer un poisson, de la même façon, le pirate, lui, lance un email pour inciter un utilisateur à réaliser une action (cliquer sur un lien, ouvrir une pièce jointe). De nombreuses variantes existent, et si le terme générique phishing concerne généralement un mail, pour un SMS, on parlera de smishing, quant au terme vishing il s'appliquera à un appel vocal, mais tous tentent, avec plus ou moins de réussite, d'imiter un interlocuteur de confiance (une banque, un service public, un collègue, un fournisseur d'accès internet). Un énoncé très incomplet, d'autant que la perfidie des cybercriminels pour voler nos données ne connait pas de limite.

Deux objectifs parfois complémentaires

Quelque soit la méthode, la finalité recherchée est de faire réagir le destinataire du message pour qu'il interagisse avec le contenu du message, un lien ou une pièce jointe.
URL ou document, ces 2 éléments ont des finalités quelque peu différentes, mais tout aussi malveillantes l'une que l'autre.

• Cliquer sur un lien contenu dans le message consiste à exécuter une action de redirection. La victime peut alors arriver sur une page imitant (avec plus ou moins de succès) un site supposé être en lien avec le message. Il s'agira généralement d'un formulaire d'identification dont le but est de recueillir identifiant (pseudo, mail) et mot de passe. Si la redirection pointe vers une page d'erreur, il est probable qu'elle se chargera d'installer un programme malveillant sur la machine de la victime.
• Ouvrir une pièce jointe peut se révéler tout aussi dangereux. Il peut s'agir d'un fichier exécutable auquel l'attaquant aura donné l'apparence d'une image, d'un pdf ou autre. Il peut également s'agir d'un fichier contenant une macro ou un script qui s'exécutera à l'ouverture. Qu'il s'agisse de l'un ou de l'autre, il sera procédé à l'installation silencieuse d'un programme léger sur la machine. Sa fonction pourra être de récupérer vos données (keylogger), d'installer une porte dérobée permettant un accès libre à l'attaquant (backdoor), d'extraire vos données, ou encore de les crypter pour réclamenr une rançon (ransomware).
  
  

  ---

  Des données sensibles

  ---

  
  

Les Signes qui Doivent Vous Alerter

La Checklist Anti-Arnaque

Les arnaques évoluent et la démocratisation de l'IA contribue à réduire les signaux d'identification, mais une analyse attentive des messages reçus peut permettre de révéler les indices qui trahirons les tentatives de phishing.

• Le sentiment d'urgence, c'est l'arme absolue du pirate !
  "Votre compte sera suspendu dans les 24h".
  "Une facture impayée nécessite votre action immédiate".
  "Votre colis ne peut être livré".
  "Vous avez gagné le gros lot, répondez avant midi !".
  

Ce sentiment incite à agir rapidement, sans prendre le temps de la réflexion. Gardez à l'esprit que quelques secondes, voire minutes n'auront qu'un impact limité, voire nul, sur une situation d'urgence.

• Les fautes d'orthographe et les éléments anormaux
  Ces éléments sont presque systématiquement révélateurs d'une attaque de phishing, toutefois, au fil du temps, les techniques et outils utilisés par les pirates (kits tout fait, IA..) visent à réduire ces signaux, au nombre desquels on identifie, les fautes d'orthographe, les tournures de phrases maladroites, incomplètes, ou peu cohérentes.
  Certains éléments perdurent toutefois, et l'analyse du message reçu peut éveiller les soupçons.
  Un message impersonnel (cher client ou lien de cher M. Xxxx), l'absence de VOTRE email dans le champ "pour :", l'adresse de l'expéditeur et ou du service représenté (amaz0n au lieu de amazon, rnicrosoft au lieu de microsoft...), l'url (adresse internet) vers laquelle pointent les liens contenus dans le message ne correspond pas au site représenté, l'intégralité du mail n'est pas du texte, mais une image contenant un lien...
  
  

• Les demandes anormales
  Aucune organisation légitime ne vous demandera jamais de confirmer votre mot de passe, vos coordonnées bancaires complètes ou votre numéro de sécurité sociale par email ou téléphone. Surtout, si le message reçu n'est pas désiré. Méfiez-vous comme de la peste des pièces jointes inattendues.
  
  

• L'appât du gain
  Aucun organisme de gestion de jeux, qu'ils soient en ligne ou non, ne vous fera part d'un gain par mail ou SMS. La promesse d'une somme d'argent conséquente contre un "simple clic" pour ouvrir un site, une pièce jointe ou télécharger un fichier sera systématiquement assortie d'une cyberattaque.
  
  

• Les demandes "impossibles" Le message provient d'un organisme, société ou commerce chez qui vous ne possédez pas de compte. Si votre compte bancaire est domicilié auprès du Crédit Agricole, un mail de La Poste signalant une opération suspecte sur votre compte est assurément une tentative d'attaque.
  

Le kit de survie numérique, 7 règles essentielles

La protection repose sur une hygiène numérique rigoureuse

1. L'expéditeur toujours tu vérifieras
   Oui, vraiment, ne vous fiez pas (JAMAIS) au nom affiché. Cliquez pour déployer l'entête d'un mail et voir l'adresse email complète.
   Une communication officielle viendra presque toujours d'un domaine propre à l'entreprise (@nomdelentreprise.fr), jamais d'un Gmail ou Yahoo gratuit.
   
   

2. Les liens systématiquement tu survoleras
   En passant votre souris sur un lien (SANS CLIQUER) vous pourrez voir, généralement en bas à gauche de votre navigateur, l'adresse (url) réelle vers laquelle pointe le lien. Bien que généralement très différente du texte affiché, elle n'en reste pas moins révélatrice d'une éventuelle arnaque.
   
   

3. Tes propres liens tu utiliseras
   Si un email vous indique un problème sur votre compte, malgré la relative urgence, ne cliquez pas ! Ouvrez votre navigateur et tapez vous-même l'adresse officielle du site ou utilisez vos favoris.
   
   

4. Un gestionnaire de mots de passe tu adopteras
   Outre la capacité de définir des mots de passes uniques, sécurisés et aléatoires, ces outils (comme Bitwarden, 1Password...), remplissent automatiquement les formulaires rencontrés, Ainsi ils ne se laisseront pas berner par la copie frauduleuse d'un site officiel dont l'adresse n'est pas celle du site officiel.
   
   

5. A la double authentification tu te soumettras
   Même si elle reste faillible, la double authentification offre une couche de protection supplémentaire à même d'interdire l'accès à un compte même avec les identifiants.
   
   

6. Sur la messagerie, l'anti-spam tu activeras
   Présents chez la majorité des clients mails, les filtres anti-spam bloquent la majeur partie des tentatives les plus grossières.
   
   

7. Ta vigilance tu aiguiseras
   La meilleure défense que vous puissiez obtenir, c'est vous.
   Une saine paranoïa ("Et si c'était une arnaque ?") est votre meilleur antivirus.
   
   

Que faire en cas de doute ?

• Si vous avez un doute
  

  1. NE CLIQUEZ PAS, sur rien, ni lien ni pièce jointe.
     
  2. CONTACTEZ l'expéditeur présumé par mail ou téléphone, coordonnées trouvées sur le site officiel, en aucun cas dans le mail.
     
  3. SIGNALEZ le message comme spam/phishing dans votre messagerie et sur signal-spam.fr.
     
     

• Si vous êtes tombé dans le piège
  

  1. Vous avez saisi vos identifiants
     Changez immédiatement le mot de passe compromis sur le vrai site concerné.
     S'il s'agit de données bancaires, contactez votre banque sans tarder pour bloquer d'éventuelles transactions frauduleuses.
     Surveillez activement vos comptes et vos emails pour détecter toute activité anormale.
     Signalez l'incident sur cybermalveillance.gouv.fr pour obtenir des conseils et alerter les autorités.
     
     
  2. Vous avez ouvert une pièce jointe
     Débranchez / coupez toutes les connexions de votre machine (câble Ethernet, Wi-Fi, Bluetooth)pour éviter la propagation.
     NE PAS ETEINDRE LA MACHINE.
     Sur un réseau professionnel, prévenez IMMEDIATEMENT votre département SI qui s'occupera des étapes suivantes.
     Pour un particulier, lancez l'analyse complète du système avec un antivirus à jour, un anti-malware...
     Si la contamination est avérée, tournez vous vers un professionnel. Des ressources en ligne (depuis une autre machine) peuvent vous aider à limiter les dégâts.
     Il est recommandé de changer l'intégralité de vos mots de passe.
     Signalez l'incident sur cybermalveillance.gouv.fr pour obtenir des conseils et alerter les autorités.
     
     

En bref

La vigilance est une compétence essentielle en cybersécurité
Le phishing évolue constamment, avec des attaques de plus en plus ciblées (le "spear-phishing"). Aucune technologie ne vous protégera à 100%. La clé est d'adopter un réflexe sceptique systématique face à toute demande en ligne.
Ainsi, prendre quelques secondes pour analyser un message avant de cliquer est déjà un acte fort de cybersécurité. Ces quelques secondes étant à même de vous éviter des mois de complications.

RAPPEL Votre banque, le centre des impôts, votre opérateur ou Amazon ou encore la française des jeux ne vous enverront jamais un email urgent vous demandant de saisir vos informations sensibles.

En cas de doute, il n'y a pas de doute

Ne faites rien et vérifiez par un autre canal.

📷 Crédit photo : cliff1126 | pixabay.com