Page d'accueil Navigation Sommaire Contacts Sitemap Recherche

Le phi­shing

Le but d’une attaque de phi­shing (ou hame­çon­nage en fran­çais), est de dérober les iden­ti­fiants de connexion à des uti­li­sa­teurs de comptes d’e-banking par exemple ou de dif­fé­rents sites mar­chands. Les hackers exploitent alors la cré­di­bi­lité de leurs vic­times en se pré­sen­tant à elles sous une fausse identité.

Pour vous pro­téger contre le phishing…

  • ne cli­quez jamais sur un lien reçu par email, SMS ou Mes­senger, ou que vous auriez obtenu après avoir scanné un code QR, pour vous connecter à un ser­vice de banque en ligne.
  • ne rem­plissez jamais de for­mu­laires envoyés par cour­riel et dans les­quels on vous demande d'indiquer vos iden­ti­fiants de connexion.
  • soyez méfiants à l’égard des pièces jointes de vos cour­riels et SMS.
  • ne révélez au télé­phone aucune infor­ma­tion confi­den­tielle comme vos mots de passe par exemple.
  • tapez tou­jours manuel­le­ment l’adresse de la page d’accueil du site du four­nis­seur de ser­vices ou de la banque dans la barre d’adresse de votre navi­ga­teur.
  • lorsque la page d’accueil s’affiche, véri­fiez la connexion SSL (https:// et sym­bole du cadenas) et contrôlez l’adresse Internet dans la barre d’adresse du navi­ga­teur pour vous assurer que vous êtes bien sur le bon site.
  • en cas de doute, contactez tou­jours direc­te­ment votre ins­titut financier.

Voici com­ment se déroule géné­ra­le­ment une attaque par phishing

1. Prise de contact

Les hame­çon­neurs envoient une série de faux cour­riels en se fai­sant passer pour des col­la­bo­ra­teurs de pres­ta­taires de ser­vices en ligne ou d’instituts finan­ciers. Le contenu du mes­sage peut faire réfé­rence par exemple au fait que les infor­ma­tions concer­nant le compte ou les don­nées d’accès (par ex. iden­ti­fiant et mot de passe) sont obso­lètes, invi­tant les des­ti­na­taires à cli­quer sur un lien pour leur per­mettre de les actualiser.

2. Inter­cep­tion des don­nées personnelles

Or le lien en ques­tion ne conduit pas sur le site offi­ciel du four­nis­seur de ser­vices mais sur un site piraté, res­sem­blant comme deux gouttes d’eau à l’original. Tous les iden­ti­fiants et mots de passe tapés sur la page de connexion contre­faite finissent direc­te­ment entre les mains des malfaiteurs.

3. Enri­chis­se­ment

Grâce aux infor­ma­tions volées, les cri­mi­nels peuvent par exemple effec­tuer des vire­ments sur leurs propres comptes, faire des achats en ligne ou faire des offres sur les sites de ventes aux enchères, au nom et aux frais de la victime.

 

Si vous recevez des cour­riels d’hame­çon­nage, c’est que les escrocs connaissent votre adresse de mes­sa­gerie élec­tro­nique. Pour dimi­nuer ce risque et plus géné­ra­le­ment pour réduire la quan­tité de spam dans votre boîte de récep­tion, il convient de suivre quelques règles simples que nous avons regrou­pées dans notre article consacré au spam.

Le phi­shing désigne le vol d'informations confi­den­tielles comme p. ex. les iden­ti­fiants de connexion des internautes.

Le terme anglais phi­shing est un mot-valise com­posé de « pass­word » et de « fishing » et signifie donc lit­té­ra­le­ment « pêche aux mots de passe ».

 

Mémento :

Pour aller plus loin

Le phi­shing ou hame­çon­nage classique

Lors d'une attaque de phi­shing clas­sique, les assaillants tentent d’attirer leurs vic­times sur des sites Internet piratés au moyen de faux cour­riels, dans le but de leur voler leurs iden­ti­fiants (p. ex. numéro de contrat, mot de passe, etc.).

À la place ou en com­plé­ment de cela, ils ajoutent sou­vent des pièces jointes conte­nant un cheval de Troie qui, à l'ouverture du fichier, va dis­crè­te­ment s’installer sur le dis­po­sitif de la vic­time et, à partir de là, enre­gis­trer les iden­ti­fiants de connexion aux comptes de l’internaute ou l’amener à se connecter sur des sites piratés.

Bon à savoir : les ins­ti­tuts finan­ciers n'envoient jamais ce genre d'email.

Pré­ven­tion : ne cli­quez jamais sur les liens ou sur les pièces jointes contenus dans les cour­riels et tapez tou­jours manuel­le­ment l’adresse de l’institut finan­cier dans la barre d'adresse. Véri­fiez la connexion SSL et la vali­dité du cer­ti­ficat.

Spear phi­shing (har­pon­nage) et Dyna­mite phishing

Contrai­re­ment au phi­shing clas­sique, qui consiste à envoyer au hasard de grandes quan­tités d’emails à un large public, les des­ti­na­taires du spear phi­shing sont ciblés et reçoivent des cour­riels per­son­na­lisés et rédigés sur mesure.

L’expéditeur se fait alors passer pour une per­sonne de confiance, un membre de l’entourage, un col­la­bo­ra­teur ou un inter­lo­cu­teur connu de la vic­time. Conçu sur mesure, le contenu du cour­riel appa­raît plau­sible et authen­tique, si bien qu'il n’est sou­vent pas reconnu par les filtres anti-spam.

Lorsque ces emails per­son­na­lisés sont rédigés de manière auto­ma­tique et envoyés en masse, on parle alors de « Dyna­mite phi­shing ».

Pré­ven­tion : méfiez-vous des emails non sol­li­cités ou dont le contenu vous semble inha­bi­tuel, même si vous avez l’impression de connaître l’émetteur du mes­sage. En cas de doute, contactez ce der­nier en uti­li­sant un autre moyen de com­mu­ni­ca­tion, par télé­phone par exemple.

Smi­shing ou phi­shing par SMS

Les SMS sont de plus en plus uti­lisés pour les attaques de phi­shing. Le pro­blème du « smi­shing », c’est que la plu­part des cri­tères ser­vant à recon­naître les mails de hame­çon­nage ne s’appliquent pas dans le cas des SMS où le nom du des­ti­na­taire n’est pra­ti­que­ment jamais men­tionné. La langue et l’organisation de ces mes­sages courts sont par ailleurs trop simples et trop suc­cinctes pour per­mettre de tirer des conclu­sions sur l’authenticité du mes­sage. Enfin, la plu­part des dis­po­si­tifs mobiles ne per­mettent pas de véri­fier faci­le­ment le lien contenu dans le mes­sage ou l'identité du véri­table émet­teur. N’oublions pas non plus que beau­coup d'utilisateurs ont l’habitude de rece­voir des SMS de véri­fi­ca­tion lorsqu’ils ouvrent une ses­sion d’e-banking ou effec­tuent des tran­sac­tions financières.

Pré­ven­tion : ne cli­quez jamais sur les liens contenus dans les SMS. Au contraire, tapez vous-même l’adresse de votre ins­titut ban­caire dans la barre d’adresse et assurez-vous qu'il s’agit d’une connexion sécu­risée (sym­bole du cadenas, adresse cible). Si vous recevez un SMS non sol­li­cité de votre banque, alertez-la en uti­li­sant les infor­ma­tions de contact offi­cielles (ex. numéro de télé­phone) et demandez à ce que l'on vous confirme l’envoi du SMS en question.

Vishing ou phi­shing par téléphone

Le vishing est une variante du phi­shing basée sur la com­mu­ni­ca­tion vocale par télé­phone. Comme dans le hame­çon­nage clas­sique, l'utilisateur est incité, après s'être entendu raconter une his­toire bien ficelée, à révéler des infor­ma­tions confi­den­tielles comme par exemple ses iden­ti­fiants de connexion à son espace e-banking.

Pré­ven­tion : ne com­mu­ni­quez jamais de don­nées confi­den­tielles (p. ex. un mot de passe) à une autre per­sonne. Rac­cro­chez immé­dia­te­ment, lorsque l’on vous le demande au télé­phone. Uti­lisez uni­que­ment les numéros de télé­phone offi­ciels pour contacter votre ins­titut financier.

Phi­shing par QR Code

Le prin­cipe de cette variante consiste à recou­vrir des QR Codes (Quick Res­ponse Codes) authen­tiques pré­sents dans des lieux par­ti­cu­liè­re­ment fré­quentés par des mosaïques du même type, conçues par des cyber­cri­mi­nels pour diriger les uti­li­sa­teurs vers de fausses adresses URL. Ce sys­tème permet ensuite aux hackers de démarrer immé­dia­te­ment des télé­char­ge­ments, en par­ti­cu­lier sur les dis­po­si­tifs mobiles, mais aussi d’exécuter des scripts ou d’afficher une fausse page d'ouverture de ses­sion d'e-banking.

Pré­ven­tion : n'utilisez jamais un code QR pour vous iden­ti­fier auprès d'un ins­titut finan­cier. Avant de scanner un code QR, assurez-vous que celui-ci n'a pas été recou­vert par un autre piraté. Véri­fiez si pos­sible que le lien conduit effec­ti­ve­ment à l'adresse souhaitée.

Phi­shing avec page web en pièce jointe

Dans ce genre de hame­çon­nage, le cour­riel reçu par la vic­time ne contient pas de lien ni de docu­ment, mais une page web frau­du­leuse au format HTM- ou HTML- en pièce jointe. En l’absence de lien à cli­quer, la vic­time se sent plutôt en confiance au pre­mier abord, d’autant plus que le fichier joint n’est pas un docu­ment (Word, Excel, etc.) pou­vant contenir par exemple des macros malveillantes.

Mais le danger est bien là, car les fichiers HTM- et HTML- peuvent ren­voyer direc­te­ment au ser­veur d’un hame­çon­neur qui n’aura plus qu’à récolter les iden­ti­fiants éven­tuel­le­ment saisis par la vic­time. Mais de tels fichiers peuvent éga­le­ment contenir des scripts sus­cep­tibles de pro­vo­quer d’autres dégâts.

De fait, les pro­grammes de mes­sa­gerie élec­tro­nique modernes bloquent sys­té­ma­ti­que­ment ces ren­vois et scripts pour des rai­sons de sécu­rité. Mais si vous décidez d'ouvrir une pièce jointe HTM- ou HTML-, celle-ci échappe aux para­mètres de sécu­rité de votre pro­gramme de mes­sa­gerie. Cette méthode est par­ti­cu­liè­re­ment per­fide dans la mesure où elle peut tromper même les uti­li­sa­teurs déjà sen­si­bi­lisés, car la barre d’adresse du navi­ga­teur contient « uni­que­ment » un chemin d’accès local et non une URL dou­teuse comme dans le cas du phi­shing classique.

Pré­ven­tion : méfiez-vous des pièces jointes au format HTM- et HTML. Ne cli­quez pas sur les pièces jointes conte­nues dans les cour­riels et tapez tou­jours manuel­le­ment l’adresse de l’institut finan­cier dans la barre d'adresse du navi­ga­teur.

Qu’aimeriez-vous savoir encore sur le thème de la sécurité en e-banking ?

Je sou­haite m'inscrire
à une formation :

For­ma­tion de base

Décou­vrez les prin­ci­pales menaces qui cir­culent sur Internet et apprenez à vous en pro­téger et à sécu­riser vos ses­sions d’e-banking.

en savoir plus

For­ma­tion en ligne Mobile Ban­king / Payment

Vous décou­vrirez le Mobile Ban­king et le Mobile Pay­ment, et appren­drez à uti­liser les appli­ca­tions cor­res­pon­dantes en toute sécurité.

en savoir plus

For­ma­tion en ligne pour les moins de 30 ans

Apprends à uti­liser ton smart­phone en toute sécu­rité ! Révise les bases et découvre tout ce qu’il faut savoir sur les réseaux sociaux, pla­te­formes cloud, le Mobile Ban­king et le Mobile Payment.

en savoir plus

For­ma­tion pour les PME

Votre entre­prise est-elle suf­fi­sam­ment pro­tégée ? Décou­vrez les mesures qui vous per­met­tront d’améliorer sen­si­ble­ment la sécu­rité infor­ma­tique dans votre entreprise.

en savoir plus