L’hameçonnage (phishing en anglais), technique qui consiste à usurper l’identité d’une personne ou d’une entreprise de confiance pour tromper un internaute, continue de faire de nombreuses victimes tant chez les particuliers que dans les entreprises. Un véritable fléau qui, comme le rapporte Le Parisien, a conduit Orange (entreprise dont l’identité est souvent usurpée par les fraudeurs) à lancer une campagne nationale de sensibilisation sur ce type de fraude. Une bonne raison de rappeler quelques principes de prudence à respecter.
Une usurpation d’identité
En général, les pirates usurpent l’identité d’une administration ou d’une grande entreprise pour parvenir à tromper plus facilement leurs victimes. Pour cela, ils utilisent leurs logos, reproduisent l’environnement graphique de leurs courriels, celui des pages de leurs sites et n’hésitent pas à utiliser des noms de domaine (adresse de site – URL) se rapprochant de ceux des sites copiés. En outre, afin de convaincre les personnes de leur livrer des informations précieuses (le plus souvent, des coordonnées bancaires, un mot de passe…) ou de cliquer sur une pièce jointe porteuse d’un virus, les pirates leur font miroiter un gain (remboursement d’un trop perçu, promotion à saisir…) ou tentent de les inquiéter (amende ou facture en retard à payer, par exemple). Les tentatives d’hameçonnage sont généralement adressées par courriel ou même par SMS.
Comment les identifier ?
Nous recevons des centaines de courriels par jour et presque autant de SMS. Identifier une tentative de phishing dans le lot n’est pas toujours aisé d’autant que les pirates sont de plus en plus ingénieux. Toutefois, certains éléments doivent toujours attirer notre attention. Le premier, le plus important, est le caractère inattendu du message. Un message qui, rappelons-le, émane d’une organisation connue (administration, banque, fournisseur…). Typiquement, une banque vous signale avoir perdu votre mot de passe et vous demande de le renseigner en ligne ou une administration souhaite vous rembourser un trop perçu et réclame vos coordonnées bancaires.
Dès lors qu’apparaît un doute, il convient, avant de donner suite à la demande, de vérifier l’authenticité du message et l’identité de son expéditeur. Généralement, le simple examen de l’adresse de l’expéditeur et de l’adresse du lien inclus dans le message suffit pour distinguer un hameçonnage d’une demande légitime. Pour s’entraîner à identifier plus facilement ces tentatives d’escroquerie, Google propose une page de test très instructive à visiter sans délai.
Comment réagir
Face à une tentative d’hameçonnage avérée ou supposée, les experts de la plate-forme publique Cybermalveillance.gouv.fr conseillent de :
– ne jamais communiquer d’informations sensibles en réponse à une demande par courriel ou par SMS ;
– de contacter directement l’organisme concerné pour confirmer (sans passer par les liens proposés sur le courriel ou le message suspect) ;
– de faire opposition immédiatement (en cas d’arnaque bancaire) ;
– de changer ses mots de passe divulgués ou compromis ;
– de porter plainte.
Les Echos Publishing 2019