Le phishing, un enjeu majeur de la cybersécurité souvent négligé
Même si le terme vous parait peu familier, vous avez sûrement été exposé à ce genre de pratique…
Le « phishing » est la contraction des mots anglais « fishing » qui signifie « pêche » et « phreaking » qui veut dire « piratage de lignes téléphoniques ». Encore appelé hameçonnage ou filoutage en français , c’est une technique couramment utilisée par des individus sur internet pour soutirer des données personnelles sensibles (mots de passe, numéros de carte bancaire) ou infecter votre ordinateur avec des logiciels malveillants.
Avec l’instantanéité et les partages sur Internet, ce type d’attaque devient facilement viral, touchant ainsi de nombreuses victimes.
Selon les chiffres l’activité 2018 de Cybermalveillance.gouv.fr [1], « 28 855 victimes sont venues chercher de l’assistance sur la plateforme en 2018 dont 24 574 particuliers, 3 650 entreprises et 631 collectivités. ». Parmi les attaques, le phishing est en tête parmi les principales menaces identifiées (25%) suivi par le piratage des comptes (19%) et le spam (16%). Les consultations sur le site qui ont augmenté de plus de 500% en un an montrent clairement la multiplication des attaques de ce genre.
Plusieurs méthodes et voix d’accès
Les mails, les messageries professionnelles, les réseaux sociaux, SMS, représentent toutes des portes d’entrées pour ce type d’attaque informatique qui peut être très dangereuse.
En général, les auteurs du phishing ont recours à l’usurpation d’identité. Ils se font passer pour des organismes de confiance (banques, sites e-commerce, opérateurs internet, moteurs de recherche) et vous incitent à cliquer sur des liens malveillants, à remplir des formulaires ou à ouvrir/télécharger des documents. Pour tromper la cible, l’adresse URL du lien comprise dans le mail ou le message est également « masquée ou maquillée » afin de paraître authentique.
Quelques exemples de pratiques de Phishing
Exemple Phishing Impôts
La Direction générale des Finances publiques (DGFP) informe qu’elle ne demande jamais la communication d’informations bancaires, ni pour un paiement, ni pour un remboursement d’impôt, pas même pour compléter des données personnelles.
*lien vers la sensibilisation du site officiel : https://www.impots.gouv.fr/portail/actualite/courriels-et-appels-telephoniques-frauduleux-0
Vous pouvez retrouver plus d’exemples de phishing via : https://www.arobase.org/phishing/exemples-phishing.htm
Les Bonnes pratiques pour s’en sortir
Faites attention à l’orthographe des sites web sur lesquels on vous demande des données personnelles sensibles. Le piège peut être déjoué à travers de petits détails
- Accordez un point de vigilance aux mails non sollicités et inattendus
- Veillez à mettre votre antivirus à jour pour réduire les risques
- Vérifiez que vous naviguez en HTTPS avant de fournir certaines donnez personnelles
- Méfiez-vous des e-mails/sms/liens comportant des fautes d’orthographe
- Privilégiez à effectuer vos opérations sur les sites officiels des marques / Entrez manuellement le site au lieu de suivre un lien que l’on vous a envoyé
- Evitez de partager automatiquement sans vérification les mails/sms/alertes que vous recevez
- Méfiez-vous des codes promotionnels ou des prix trop avantageux
- Méfiez-vous dès lors qu’on vous demande des mots de passe ou coordonnées bancaires par mail
- Signalez les tentatives de phishing sur les sites dédiés ( internet-signalement.gouv.fr – https://phishing-initiative.fr/contrib/)
- Sensibilisez vos équipes et votre entourage sur cette pratique frauduleuse
Les tests pour s’entrainer à reconnaître le phishing
Le nombre de victimes de phishing et les innovations des escrocs montrent que personne n’est pas l’abri. Vous pouvez vous familiariser avec certaines pratiques courantes de phishing pour pouvoir les reconnaître plus facilement avec les tests suivants :
Supports potentiels |
Points de vigilance |
Solutions |
Signaler |
---|---|---|---|
|
|
|
|
[1] https://www.cybermalveillance.gouv.fr/nos-articles/cybermalveillance-gouv-fr-bilan-2018/