« Bonjour, nous sommes votre banque et nous avons besoin que nous vous redonniez vos coordonnées bancaires en cliquant sur ce lien. » Qui n’a pas reçu un courrier de ce type sur sa boîte mail ? Depuis qu’Internet est Internet, les pirates et arnaqueurs de tous poils essaient d’obtenir auprès des internautes des informations personnelles à haut risque : coordonnées, codes secrets, mots de passe, etc. C’est ce qu’on appelle le « phishing ». Voici un guide en 5 points pour vous aider à les déjouer !
Qu’est-ce que le phishing ?
Avant de lancer une alerte au phishing, encore faut-il savoir de quoi il s’agit. Ce terme, traduit en français par « hameçonnage », est une contraction entre les mots anglais « fishing » (« pêche ») et « phreaking » (qui désigne, en gros, le piratage des lignes téléphoniques). Cette technique frauduleuse vise à récupérer auprès des internautes des informations personnelles.
Pourquoi s’échiner à franchir les obstacles informatiques pour obtenir des données bancaires, quand on peut directement les demander aux internautes ? Le phishing n’exploite pas les failles des sites bancaires ou commerciaux, trop bien protégés : il s’appuie sur la naïveté et la bonne foi des utilisateurs, mis en confiance par un courrier qui semble provenir d’un organisme sérieux.
Comment on vous fait mordre à l’hameçon
Typiquement, le mail de phishing semble avoir été envoyé par une banque, un organisme de crédit ou un site de e-commerce. Le « hameçonnage » consiste à inciter l’internaute à se connecter, via un lien, à une fausse page aux couleurs de l’entreprise et de l’inviter à mettre à jour ses informations personnelles. De nombreux prétextes peuvent être mis en avant :
- Une mise à jour du service
- Une intervention du support technique
- Une faille dans la sécurité du site
- Une prétendue tentative de connexion pirate
- Voire l’obtention d’une grosse somme d’argent venue du ciel, qui nécessite vos coordonnées bancaires
La page factice sur laquelle l’internaute atterrit ressemble à celle de l’organisme copié. Évidemment, puisque les adresses électroniques sont collectées au hasard, vous pouvez recevoir de telles demandes provenant d’établissements sans lien avec vous. Mais un petit nombre de ces courriers touchent juste. Et si vous êtes effectivement client, vous devenez une cible privilégiée.
Alerte au phishing : 5 techniques pour se protéger
Depuis plusieurs années maintenant, le gouvernement et les associations de consommateur s’entendent pour attirer l’attention des internautes sur cette menace. L’alerte au phishing concerne principalement les citoyens les plus fragiles, peu habitués aux risques numériques : personnes âgées, utilisateurs irréguliers d’Internet, etc.
Attention, car les logiciels anti-virus et anti-spyware ne vous sont d’aucune utilité contre les courriers frauduleux. Ceux-ci contiennent rarement des virus ou des malwares, seulement un lien qui vous renvoie à une page construite ex nihilo pour vous attirer dans un piège. Le danger réside donc en chaque utilisateur : être tenté, dans un moment de faiblesse, d’accéder à cette demande.
Voici 5 techniques et vérifications à appliquer pour éviter une alerte au phishing :
Ne vous laissez pas tromper
Aucun établissement bancaire, aucun site de e-commerce, bref aucun organisme (sérieux, du moins) ne prendra le risque de vous réclamer des informations sensibles par le biais d’un courrier électronique. Ni mot de passe, ni coordonnées bancaires, et surtout pas un code de carte bleue.
Interrogez-vous sur ce que cet organisme sait de vous
Le danger n’est sensible que si vous êtes client de l’organisme choisi par le fraudeur pour vous envoyer le mail d’hameçonnage. Si ce n’est pas le cas, l’affaire est réglée. Si c’est le cas, et que vous êtes effectivement client, interrogez-vous : avez-vous communiqué votre adresse mail à cet organisme ? Avez-vous l’habitude de recevoir des courriers électroniques de sa part ?
Dans le doute : vérifiez !
Vous avez malgré tout un doute ? Pas de soucis, il vous suffit de vérifier la source de la demande. La manière la plus simple consiste à ne surtout pas cliquer sur le lien inscrit dans le mail, mais à ouvrir une nouvelle page/un nouvel onglet de votre navigateur pour vous rendre vous-même sur le service concerné et constater si, oui ou non, ces renseignements vous sont demandés.
Le diable se cache dans les détails
Dans 99% des cas, les pirates informatiques créent des mails et des pages criblés d’erreurs, voire de fautes d’orthographe.
Commencez par vérifier si le mail en contient. Une banque ne vous enverra jamais un courrier électronique vous demandant par exemple de « donné vos cordaunées banquaires ». L’exemple est un peu grossier, mais vous comprenez l’idée. Dans ce cas, c’est alerte au phishing tout de suite. Parfois, c’est jusqu’au nom de domaine lui-même qui contient des erreurs.
Idem si vous avez la mauvaise idée de cliquer sur le lien, ou si le courrier intègre l’en-tête de l’organisme : il n’est pas rare de trouver des fautes dans les intitulés. Si vous recevez une demande de mot de passe de LinkedIn, et qu’il est écrit « Linkedine », vous savez à quoi vous en tenir.
Veillez à la sécurité de vos informations sensibles
Sachez que, dans tous les cas, lorsque vous êtes amené à entrer des informations sensibles dans une page Internet, vous devez vous assurer d’être en mode sécurisé. Pour en être sûr, il suffit de vérifier que l’adresse dans la barre du navigateur commence bien par « https », avec une icône de cadenas visible dans la barre d’état.
Le format « https » devrait d’ailleurs prendre de plus en plus d’importance au sein des règles de classement chez Google, si l’on en croit les nouvelles consignes mises en ligne par le moteur de recherche (voir ici). Si le petit « s » supplémentaire n’est pas visible, quittez la page et, à défaut de lancer une alerte au phishing, n’y revenez pas !
Vous verrez sur cette vidéo que le phishing s’est même installé dans les réseaux sociaux. Alors, prudence !