Traduit en français par « hameçonnage », le phishing fait partie des méthodes malveillantes les plus couramment utilisées par les pirates pour dérober des données personnelles sensibles aux internautes. Pour se prémunir d'éventuelles attaques via des méthodes de phishing, il est important de bien comprendre le fonctionnement type d'une attaque de phishing.
Voici en détail ce qu'est le phishing ainsi que plusieurs moyens de s'en protéger.
Définition du phishing
Le phishing est une méthode consistant à aller « pêcher » les informations personnelles d'un utilisateur en lui présentant un « appât ». Il peut s'agir de promettre un gain en échange d'une action de sa part, par exemple. La stratégie est d'obtenir la confiance de l'internaute afin d'avoir accès à ses données sensibles (identifiants pour se connecter à un espace personnel, numéros de carte bancaire, etc.).
Les différents types d'attaques de phishing
Si toutes les tentatives de phishing reposent sur la même méthode, les canaux par lesquels les pirates coordonnent leurs attaques peuvent varier. C'est la raison pour laquelle plusieurs types d'attaques sont reconnus.
Le phishing par e-mail
Ce type d'attaque est le plus courant. Les pirates récupèrent un grand nombre d'adresses e-mail et leur envoient le même message les invitant à renseigner des informations personnelles et/ou à se connecter sur un site internet malveillant. Généralement, cet e-mail commun « informe » l'utilisateur que son compte a été endommagé et qu'il doit cliquer rapidement afin de résoudre le problème.
Le vishing
Cette méthode de phishing consiste en un hameçonnage vocal. Les pirates contactent leur victime par téléphone et se font passer pour un organisme officiel, soi-disant pour avertir la personne de la présence d'un virus sur son ordinateur, par exemple. La cible de ce type d'escroquerie est alors amenée à partager ses numéros de carte bancaire en échange d'une fausse solution de la part de l'auteur de la tentative phishing.
Le smishing
Tout comme le vishing désigne un hameçonnage via un canal vocal, le smishing est la variante correspondant à un hameçonnage par SMS ou toute autre messagerie courte. En général, ce type d'attaque prend la forme d'un message reçu sur le téléphone portable de la victime et qui l'invite à cliquer sur un lien pour prendre connaissance d'un problème sur un compte officiel (compte bancaire, Sécurité sociale, service des impôts…).
Le phishing sur les réseaux sociaux
Ce type de phishing devient de plus en plus courant. Il passe d'une part par les plateformes d'échange de messages texte comme Messenger, mais il s'immisce également dans les zones de commentaires d'Instagram, par exemple, pour faire croire à l'utilisateur qu'il est l'heureux gagnant d'un lot.
Comment détecter le phishing ?
Pour ne pas tomber dans le piège du phishing, mieux vaut connaître les types d'attaques les plus courants. En effet, les pirates ont souvent recours à des méthodes semblables les unes aux autres. Il est possible de les reconnaître même si elles n'ont pas lieu sur les mêmes canaux. Il suffit pour cela d'identifier les procédés utilisés et de remonter le processus de phishing jusqu'à trouver la preuve d'une source malveillante.
Voici le scénario d'attaque le plus courant : tout d'abord, le pirate se fait passer pour une entreprise ou une personne reconnue afin de gagner la confiance de l'utilisateur. Parfois, les malfaiteurs peuvent avoir recours à du phishing ciblé pour attirer à eux un type d'utilisateurs en particulier, à partir de données les concernant visibles sur Internet. Plus ciblé encore, le harponnage est un type d'attaque visant les personnalités influentes, par exemple, les chefs d'entreprise ou les personnes travaillant pour des établissements publics.
En outre, il est utile de savoir que d'autres méthodes moins répandues existent : le pharming, une méthode consistant à manipuler un site internet pour dérober les informations personnelles de ses utilisateurs, sans avoir besoin de créer d'appât. Le phishing par clonage (dont le but est de dupliquer un e-mail légitime) et le phishing sur les services d'hébergement de données en cloud, ainsi que la redirection et la manipulation de liens sont des techniques secondaires qui peuvent néanmoins toucher les utilisateurs de services web.
Enfin, sans connaître les méthodes des pirates sur le bout des doigts, quelques techniques permettent de repérer un e-mail malveillant (le canal le plus utilisé pour le phishing). Il s'agit notamment de vérifier l'adresse e-mail de l'expéditeur, même quand l'intitulé ressemble à celui d'un e-mail officiel, de faire attention aux espacements dans les paragraphes ou encore de scruter les fautes d'orthographe ou problèmes de syntaxe relativement courants dans les tentatives d'hameçonnage.
Comment se protéger du phishing ?
Si se renseigner sur les différentes méthodes de phishing est un très bon début pour s'en prémunir, d'autres techniques peuvent être mises en place, en particulier pour les professionnels pour qui protéger les données de leurs clients représente un enjeu majeur de transparence.
Avant toute chose, il convient de rappeler que toutes les actions sur Internet, en particulier le partage de données sensibles, doivent être accompagnées de prudence voire de méfiance (surtout quand l'identité de la personne qui collecte les données n'est pas connue). Aujourd'hui, le paiement sur Internet est rendu plus facile par une multitude de dispositifs qui peut avoir comme effet négatif d'amener les utilisateurs à se montrer moins vigilants qu'auparavant.
Pour ce qui est des e-mails suspects, il ne faut pas hésiter à vérifier l'authenticité de l'identité de l'émetteur dès le moindre soupçon. La formulation de l'adresse e-mail doit permettre de confirmer les doutes sur la provenance du message. Si, malgré cela, il n'est pas possible d'attester de la légitimité du message, le convertir en texte brut peut faire ressortir du contenu malveillant, en particulier des liens corrompus.
Sur le web, il est important de contrôler les certificats de sécurité et de se fier aux éventuels messages d'alerte des navigateurs. Pour un paiement en ligne, par exemple, le protocole utilisé doit être HTTPS et non HTTP.
En ce qui concerne les comptes personnels en ligne et les services individuels de cloud, chaque utilisateur doit assurer un niveau de sécurité suffisant pour empêcher, autant que possible, que les pirates aient accès aux identifiants de connexion et aux mots de passe. Pour ce faire, changer de mot de passe régulièrement constitue une solution préventive efficace.
Pour aller plus loin, téléchargez ce guide gratuit et découvrez les définitions, les différences et les éléments de code de base des langages de programmation HTML et CSS. 
Qu'est-ce que le phishing et comment s'en protéger ?
GUIDE D'INTRODUCTION HTML ET CSS
Apprendre à différencier et utiliser ces langages de programmation.
Télécharger gratuitementMis à jour :
Publié :
Traduit en français par « hameçonnage », le phishing fait partie des méthodes malveillantes les plus couramment utilisées par les pirates pour dérober des données personnelles sensibles aux internautes. Pour se prémunir d'éventuelles attaques via des méthodes de phishing, il est important de bien comprendre le fonctionnement type d'une attaque de phishing.
Voici en détail ce qu'est le phishing ainsi que plusieurs moyens de s'en protéger.
Définition du phishing
Le phishing est une méthode consistant à aller « pêcher » les informations personnelles d'un utilisateur en lui présentant un « appât ». Il peut s'agir de promettre un gain en échange d'une action de sa part, par exemple. La stratégie est d'obtenir la confiance de l'internaute afin d'avoir accès à ses données sensibles (identifiants pour se connecter à un espace personnel, numéros de carte bancaire, etc.).
Les différents types d'attaques de phishing
Si toutes les tentatives de phishing reposent sur la même méthode, les canaux par lesquels les pirates coordonnent leurs attaques peuvent varier. C'est la raison pour laquelle plusieurs types d'attaques sont reconnus.
Le phishing par e-mail
Ce type d'attaque est le plus courant. Les pirates récupèrent un grand nombre d'adresses e-mail et leur envoient le même message les invitant à renseigner des informations personnelles et/ou à se connecter sur un site internet malveillant. Généralement, cet e-mail commun « informe » l'utilisateur que son compte a été endommagé et qu'il doit cliquer rapidement afin de résoudre le problème.
Le vishing
Cette méthode de phishing consiste en un hameçonnage vocal. Les pirates contactent leur victime par téléphone et se font passer pour un organisme officiel, soi-disant pour avertir la personne de la présence d'un virus sur son ordinateur, par exemple. La cible de ce type d'escroquerie est alors amenée à partager ses numéros de carte bancaire en échange d'une fausse solution de la part de l'auteur de la tentative phishing.
Le smishing
Tout comme le vishing désigne un hameçonnage via un canal vocal, le smishing est la variante correspondant à un hameçonnage par SMS ou toute autre messagerie courte. En général, ce type d'attaque prend la forme d'un message reçu sur le téléphone portable de la victime et qui l'invite à cliquer sur un lien pour prendre connaissance d'un problème sur un compte officiel (compte bancaire, Sécurité sociale, service des impôts…).
Le phishing sur les réseaux sociaux
Ce type de phishing devient de plus en plus courant. Il passe d'une part par les plateformes d'échange de messages texte comme Messenger, mais il s'immisce également dans les zones de commentaires d'Instagram, par exemple, pour faire croire à l'utilisateur qu'il est l'heureux gagnant d'un lot.
Le guide pour comprendre les langages HTML et CSS.
Découvrez comment utiliser les langages HTML et CSS pour gérer votre site web efficacement.
Télécharger
Tous les champs sont obligatoires.
Merci d'avoir soumis le formulaire
Cliquez sur le lien pour accéder au contenu en tout temps
Comment détecter le phishing ?
Pour ne pas tomber dans le piège du phishing, mieux vaut connaître les types d'attaques les plus courants. En effet, les pirates ont souvent recours à des méthodes semblables les unes aux autres. Il est possible de les reconnaître même si elles n'ont pas lieu sur les mêmes canaux. Il suffit pour cela d'identifier les procédés utilisés et de remonter le processus de phishing jusqu'à trouver la preuve d'une source malveillante.
Voici le scénario d'attaque le plus courant : tout d'abord, le pirate se fait passer pour une entreprise ou une personne reconnue afin de gagner la confiance de l'utilisateur. Parfois, les malfaiteurs peuvent avoir recours à du phishing ciblé pour attirer à eux un type d'utilisateurs en particulier, à partir de données les concernant visibles sur Internet. Plus ciblé encore, le harponnage est un type d'attaque visant les personnalités influentes, par exemple, les chefs d'entreprise ou les personnes travaillant pour des établissements publics.
En outre, il est utile de savoir que d'autres méthodes moins répandues existent : le pharming, une méthode consistant à manipuler un site internet pour dérober les informations personnelles de ses utilisateurs, sans avoir besoin de créer d'appât. Le phishing par clonage (dont le but est de dupliquer un e-mail légitime) et le phishing sur les services d'hébergement de données en cloud, ainsi que la redirection et la manipulation de liens sont des techniques secondaires qui peuvent néanmoins toucher les utilisateurs de services web.
Enfin, sans connaître les méthodes des pirates sur le bout des doigts, quelques techniques permettent de repérer un e-mail malveillant (le canal le plus utilisé pour le phishing). Il s'agit notamment de vérifier l'adresse e-mail de l'expéditeur, même quand l'intitulé ressemble à celui d'un e-mail officiel, de faire attention aux espacements dans les paragraphes ou encore de scruter les fautes d'orthographe ou problèmes de syntaxe relativement courants dans les tentatives d'hameçonnage.
Comment se protéger du phishing ?
Si se renseigner sur les différentes méthodes de phishing est un très bon début pour s'en prémunir, d'autres techniques peuvent être mises en place, en particulier pour les professionnels pour qui protéger les données de leurs clients représente un enjeu majeur de transparence.
Avant toute chose, il convient de rappeler que toutes les actions sur Internet, en particulier le partage de données sensibles, doivent être accompagnées de prudence voire de méfiance (surtout quand l'identité de la personne qui collecte les données n'est pas connue). Aujourd'hui, le paiement sur Internet est rendu plus facile par une multitude de dispositifs qui peut avoir comme effet négatif d'amener les utilisateurs à se montrer moins vigilants qu'auparavant.
Pour ce qui est des e-mails suspects, il ne faut pas hésiter à vérifier l'authenticité de l'identité de l'émetteur dès le moindre soupçon. La formulation de l'adresse e-mail doit permettre de confirmer les doutes sur la provenance du message. Si, malgré cela, il n'est pas possible d'attester de la légitimité du message, le convertir en texte brut peut faire ressortir du contenu malveillant, en particulier des liens corrompus.
Sur le web, il est important de contrôler les certificats de sécurité et de se fier aux éventuels messages d'alerte des navigateurs. Pour un paiement en ligne, par exemple, le protocole utilisé doit être HTTPS et non HTTP.
En ce qui concerne les comptes personnels en ligne et les services individuels de cloud, chaque utilisateur doit assurer un niveau de sécurité suffisant pour empêcher, autant que possible, que les pirates aient accès aux identifiants de connexion et aux mots de passe. Pour ce faire, changer de mot de passe régulièrement constitue une solution préventive efficace.
Pour aller plus loin, téléchargez ce guide gratuit et découvrez les définitions, les différences et les éléments de code de base des langages de programmation HTML et CSS.
Partager cet article sur les réseaux sociaux
Articles recommandés
Décryptage du quishing : une menace émergente en cybersécurité
SFTP : Tout savoir sur ce protocole
Injection SQL : qu'est-ce que c'est et comment protéger son entreprise ?
SOAR : définition, fonctionnement et intérêt
Le Zero Trust expliqué : avantages et bonnes pratiques à adopter
Botnets en développement web : conseils pour sécuriser ses applications et serveurs
Comment savoir si un site est fiable ? 5 conseils
Qu'est-ce que le chiffrement PGP et comment ça fonctionne ?
Typosquatting : définition, exemples et risques
L'ingénierie sociale : comment se défendre contre les arnaques ?