Le phishing, kezako ?

Phishing - Hameçonnage
Phishing - Hameçonnage

Le « phishing » est un anglicisme utilisé pour parler de « hameçonnage » (terme québécois) ou de « filoutage » (terme français). Cependant, le terme français est finalement très peu utilisé, restons donc sur  « phishing » dans cet article si vous en êtes d’accord.

Petit rappel et tour d’horizon de la planète phishing : il s’agit d’un procédé employé par une entité malveillante ayant pour but de dérober des informations personnelles, en se faisant passer pour un tiers de confiance. Les informations ciblées peuvent être un mot de passe, un numéro de carte bancaire, un papier officiel (carte d’identité)…

L’attaque peut être effectuée par email, téléphone, SMS, ou tout autre moyen de communication électronique (messenger, whatsapp, …). Le plus souvent, le message provient prétendument d’un organisme de confiance comme une banque, un site de commerce en ligne (amazon), un opérateur téléphonique…

Et le spear phishing alors ?

Le « spear phishing », qui peut se traduire par « hameçonnage à la lance », est une variante du phishing traditionnel ciblant une personne précise.

L’attaquant va par exemple se faire passer pour un proche de la cible avec un message construit pour inspirer confiance, en se basant sur des données personnelles accessibles sur les réseaux sociaux.

Quid du In-session phishing ?

Le « In-session phishing » est une autre variante de phishing qui se base sur une faille informatique de type XSS présente sur le site visé.

Cette fois-ci, la cible de l’attaquant n’est pas une donnée personnelle, mais directement un cookie de session (c’est ce qui vous permet de ne pas avoir à vous connecter à chaque fois que vous visitez ce site) qu’il obtiendra à l’instant où vous aurez cliqué sur le lien.

Comment l’identifier ?

Il existe différents moyens d’identifier un message comme étant une tentative de phishing :

  • Vous n’utilisez pas ce service ou vous n’êtes pas client de cette entreprise.
  • Le nom de domaine de l’expéditeur (ce qui se trouve après le « @ ») ne correspond pas à l’organisme pour lequel il essaie de se faire passer. Cela peut être du typosquatting (« arnazon » au lieu de « amazon », « g00gle » au lieu de « google »…) ou alors le nom de domaine n’a rien à voir (« fo7zl89.com »).
  • Le sujet est écrit de manière informelle (pas de numéro de dossier par exemple).
  • Le message est mal écrit. Souvent, les messages sont rédigés à l’aide de traducteurs par des personnes qui ne parlent pas français. Cela étant, les traducteurs automatiques étant de plus en plus performants, cela peut devenir plus difficile à détecter.
  • L’email ne vous est pas personnellement adressé. Des formules comme « cher client » sont utilisées plutôt que d’indiquer votre nom. Une nuance toutefois, il est possible que votre adresse mail ait été récupérée en même temps que votre nom et prénom à la suite d’une fuite de données d’un site auquel vous avez fait confiance, invalidant ce point.
  • Lorsque vous passez votre curseur au-dessus d’un lien, vous pouvez voir l’adresse vers laquelle vous allez être redirigé. Si le lien et l’adresse affichée ne correspondent pas, c’est sûrement du phishing.
  • Le message vous demande des informations personnelles.

Conseils et préventions

Afin de limiter les risques de tomber dans ce genre du piège, il y a plusieurs habitudes à prendre.

Tout d’abord, c’est un conseil qui s’applique partout sur Internet, on ne le répétera jamais assez : soyez méfiant ! Pour tous les contenus que vous trouverez, posez vous la question suivante : la source est-elle fiable et si oui, pourquoi ? En fonction de ces réponses, agissez, avec prudence.

Deuxièmement, ne cliquez pas sur les liens. Si vous recevez un message qui vous demande de vérifier vos informations bancaires (par exemple), ouvrez un nouvel onglet et rendez-vous directement sur le site de votre banque. Comme j’en ai parlé avec le « In-session phishing », dans certains cas, si vous cliquez sur le lien, c’est déjà trop tard. De plus, les attaquants redirigent souvent vers une copie conforme du site de l’entité pour laquelle ils essaient de se faire passer. Vous ne vous apercevrez donc pas forcément de l’arnaque.

Ne communiquez jamais d’information personnelle par mail à moins d’être sûr de l’identité de votre correspondant. Les organisations (type banque) vous feront transmettre vos informations personnelles directement via leur plateforme. Cependant, il est possible d’avoir besoin d’envoyer des papiers par mail (pour son travail ou son propriétaire par exemple). Dans ces cas-là, avant d’envoyer les informations demandées, validez avec la personne (par téléphone) qu’elle est bien à l’origine de la demande.

Utilisez des mots de passe uniques sur chaque site. En cas de compromission d’un mot de passe, l’attaquant n’aura pas accès aux autres plateformes. De même, essayez de changer régulièrement de mot de passe, cela permet de couper les accès à un éventuel pirate.

Pour les accès critiques (mail, banque,…) mettez en place la double authentification afin de sécurisez vos comptes.

Enfin, sachez qu’il est possible de signaler les escroqueries à l’adresse suivante : www.internet-signalement.gouv.fr (Et si vous m’avez bien suivi, vous ne cliquerez pas sur le lien, mais vous irez dessus via un nouvel onglet).

Source de l’image : mohamed_hassan via Pixabay

Auteur/autrice : Quentin AUBRY

Administrateur Systèmes & Réseaux - Nameshield group