FICHES PRATIQUES

SE PROTÉGER DU PHISHING (Hameçonnage)

Le phishing est une forme d’escroquerie en ligne. Il consiste à manipuler un internaute pour obtenir des informations confidentielles comme des coordonnées bancaires ou des codes d’accès à un service (messagerie, boutique en ligne…). Ce terme résulte de la contraction des mots anglais phreaking (activité de détournement téléphonique) et fishing (pêche). On parle d’hameçonnage en français. Par extension, un phisher désigne l’émetteur du phishing. Cette notice explique comment procèdent les pirates informatiques et comment se prémunir du phishing.

QU’EST CE QUE LE PHISHING ?

USURPATION D’IDENTITÉ
Il s’agit d’un email non sollicité (un spam) reposant sur la crédulité du destinataire. Le phisher usurpe l’identité d’une organisation très connue comme une banque, Visa, Paypal, Ebay ou une messagerie électronique (Hotmail, Yahoo !,…). L’email envoyé affiche en général le logo de cette organisation en entête.
UNE DEMANDE URGENTE
Dans le message, il est demandé au destinataire de fournir des informations personnelles sous un faux prétexte. Très souvent, cette demande revêt un caractère urgent et suscite soit l’envie (promesse d’une somme d’argent), soit la peur (somme à dépenser, conséquences désagréables) du destinataire. En septembre 2009, plusieurs personnes ont été victimes d’un phishing promettant un remboursement d’une partie de leurs impôts par le Ministère du Budget en l’échange d’un numéro de carte bancaire.
Voici les demandes les plus fréquentes dans le phishing :
- Changer un mot de passe
- Confirmer des informations personnelles
- Réactiver un compte
- Permettre une mise à jour de sécurité
EXEMPLES DE PHISHING
UN SITE FANTÔME
Ces e-mails frauduleux contiennent généralement un lien renvoyant vers un site Internet imitant celui de l’organisation dont l’identité a été usurpée. L’interface, la charte graphique, la typographie, les noms et l’enchaînement des pages sont identiques. Même l’URL vise à tromper l’internaute : https://www.lc1.fr (le second L est le chiffre 1) C’est sur ces sites fantômes que la victime est invitée à saisir les informations demandées dans l’e-mail.
REMARQUE
Sur certains de ces sites, l’URL est dissimulé. On appelle cela de l’URL Cloaking.
UTILISATION DES DONNÉES COLLECTÉES
Les données saisies par l’internaute sont envoyées au pirate informatique. Leur utilisation est très rapide avant que la supercherie ne soit découverte : achats sur Internet, création de faux papiers, récupération d’informations intéressantes sur les messageries, etc.

COMMENT SE PROTÉGER ?

Face à ce type d’arnaque, plusieurs mesures peuvent être prises dans l’entreprise. Aucune n’est efficace à 100% mais leur cumul réduit les risques.
METTRE EN PLACE DES OUTILS
- Installer et mettre à jour des logiciels anti-spam et un pare-feu.
- Utiliser le filtre des navigateurs internet : la plupart d’entre eux proposent des fonctions d’avertissement contre le phishing. Leurs principes peuvent être différents (liste noire, liste blanche, mot clé…). Sans être parfaites, ces fonctions aident à maintenir la vigilance de l’utilisateur.
- Utiliser un navigateur internet récent et à jour : Certains navigateurs sont peu sécurisés et présentent d'avantage de vulnérabilités car rarement mis à jour. Par exemple, Internet Explorer n'a plus été mis à jour depuis 2015. Des navigateurs tels que Chrome, Safari, ou Firefox, sont mieux prémunis contre les sites de hameçonnage.
ADOPTER DE BONS RÉFLEXES
Le meilleur moyen de se protéger du phishing reste encore la connaissance de quelques règles de sécurité qu’il ne faut pas hésiter à diffuser largement dans l’entreprise.

- Être critique vis à vis de l’e-mail reçu : est-il normal que je reçoive un message de cet émetteur ? Le contenu du message est-il conforme à ce que je peux attendre de cet émetteur ? Les éventuelles actions demandées sont-elles légitimes, sans danger et en cohérence avec les deux points précédents ?

- Ne jamais divulguer d'informations confidentielles en réponse à un e-mail, même si celui-ci semble provenir d'une organisation reconnue. Les organisations légitimes ne demandent jamais d’information personnelle ou sensible par retour de mail. En cas de doute, contacter directement l’organisation par un autre moyen de communication

- Ne pas saisir directement des informations personnelles dans des formulaires reçus par e-mail

- Être vigilant lorsqu’un e-mail demande des actions urgentes

- Si l’e-mail émane d’un organisme reconnu, regarder s’il ne comprend pas un nombre anormal de fautes de frappes

- Vérifier que la page web est sécurisée au moment de saisir des données confidentielles. Pour cela, vérifier :
     - que l’URL de la page commence par https
     - qu’un cadenas fermé vert est présent en haut ou en bas de la page
     - qu’en cliquant sur ce cadenas on peut afficher le certificat assurant que la page est cryptée
EXEMPLE DE CERTIFICAT

POUR ALLER PLUS LOIN

CERT-FR Centre gouvernemental des alertes informatiques
Ce site de l'ANSSI répertorie l'actualité des attaques et vulnérabilités informatiques
CONFÉRENCE ESCROQUERIE-CYBERCRIMINALITÉ (ANSSI & Ministère de l'Intérieur)

Source: Espace Numérique Entreprises (ENE)

Autres fiches  :
Juridique et TIC
Sécurité informatique
Organisation entreprises
Stratégie digitale
Référencement
E-commerce
Création de site