Traduit en français par «  hameçonnage  », le phishing fait partie des méthodes malveillantes les plus couramment utilisées par les pirates pour dérober des données personnelles sensibles aux internautes. Pour se prémunir d'éventuelles attaques via des méthodes de phishing, il est important de bien comprendre le fonctionnement type d'une attaque de phishing.

>> Téléchargez ce guide et découvrez les bases des langages HTML et CSS 

Voici en détail ce qu'est le phishing ainsi que plusieurs moyens de s'en protéger.

Les différents types d'attaques de phishing

Si toutes les tentatives de phishing reposent sur la même méthode, les canaux par lesquels les pirates coordonnent leurs attaques peuvent varier. C'est la raison pour laquelle plusieurs types d'attaques sont reconnus.

Le phishing par e-mail

Ce type d'attaque est le plus courant. Les pirates récupèrent un grand nombre d'adresses e-mail et leur envoient le même message les invitant à renseigner des informations personnelles et/ou à se connecter sur un site internet malveillant. Généralement, cet e-mail commun «  informe  » l'utilisateur que son compte a été endommagé et qu'il doit cliquer rapidement afin de résoudre le problème.

Le vishing

Cette méthode de phishing consiste en un hameçonnage vocal. Les pirates contactent leur victime par téléphone et se font passer pour un organisme officiel, soi-disant pour avertir la personne de la présence d'un virus sur son ordinateur, par exemple. La cible de ce type d'escroquerie est alors amenée à partager ses numéros de carte bancaire en échange d'une fausse solution de la part de l'auteur de la tentative phishing.

Le smishing

Tout comme le vishing désigne un hameçonnage via un canal vocal, le smishing est la variante correspondant à un hameçonnage par SMS ou toute autre messagerie courte. En général, ce type d'attaque prend la forme d'un message reçu sur le téléphone portable de la victime et qui l'invite à cliquer sur un lien pour prendre connaissance d'un problème sur un compte officiel (compte bancaire, Sécurité sociale, service des impôts…).

Le phishing sur les réseaux sociaux

Ce type de phishing devient de plus en plus courant. Il passe d'une part par les plateformes d'échange de messages texte comme Messenger, mais il s'immisce également dans les zones de commentaires d'Instagram, par exemple, pour faire croire à l'utilisateur qu'il est l'heureux gagnant d'un lot.

Que sont les langages HTML et CSS ?

Téléchargez ce guide d'introduction gratuit et découvrez les définitions, les différences et les éléments de code de base de ces deux langages de programmation pour gérer votre site web.

 

Comment détecter le phishing ?

Pour ne pas tomber dans le piège du phishing, mieux vaut connaître les types d'attaques les plus courants. En effet, les pirates ont souvent recours à des méthodes semblables les unes aux autres. Il est possible de les reconnaître même si elles n'ont pas lieu sur les mêmes canaux. Il suffit pour cela d'identifier les procédés utilisés et de remonter le processus de phishing jusqu'à trouver la preuve d'une source malveillante.

Voici le scénario d'attaque le plus courant : tout d'abord, le pirate se fait passer pour une entreprise ou une personne reconnue afin de gagner la confiance de l'utilisateur. Parfois, les malfaiteurs peuvent avoir recours à du phishing ciblé pour attirer à eux un type d'utilisateurs en particulier, à partir de données les concernant visibles sur Internet. Plus ciblé encore, le harponnage est un type d'attaque visant les personnalités influentes, par exemple, les chefs d'entreprise ou les personnes travaillant pour des établissements publics.

En outre, il est utile de savoir que d'autres méthodes moins répandues existent : le pharming, une méthode consistant à manipuler un site internet pour dérober les informations personnelles de ses utilisateurs, sans avoir besoin de créer d'appât. Le phishing par clonage (dont le but est de dupliquer un e-mail légitime) et le phishing sur les services d'hébergement de données en cloud, ainsi que la redirection et la manipulation de liens sont des techniques secondaires qui peuvent néanmoins toucher les utilisateurs de services web.

Enfin, sans connaître les méthodes des pirates sur le bout des doigts, quelques techniques permettent de repérer un e-mail malveillant (le canal le plus utilisé pour le phishing). Il s'agit notamment de vérifier l'adresse e-mail de l'expéditeur, même quand l'intitulé ressemble à celui d'un e-mail officiel, de faire attention aux espacements dans les paragraphes ou encore de scruter les fautes d'orthographe ou problèmes de syntaxe relativement courants dans les tentatives d'hameçonnage.

Comment se protéger du phishing ?

Si se renseigner sur les différentes méthodes de phishing est un très bon début pour s'en prémunir, d'autres techniques peuvent être mises en place, en particulier pour les professionnels pour qui protéger les données de leurs clients représente un enjeu majeur de transparence.

Avant toute chose, il convient de rappeler que toutes les actions sur Internet, en particulier le partage de données sensibles, doivent être accompagnées de prudence voire de méfiance (surtout quand l'identité de la personne qui collecte les données n'est pas connue). Aujourd'hui, le paiement sur Internet est rendu plus facile par une multitude de dispositifs qui peut avoir comme effet négatif d'amener les utilisateurs à se montrer moins vigilants qu'auparavant.

Pour ce qui est des e-mails suspects, il ne faut pas hésiter à vérifier l'authenticité de l'identité de l'émetteur dès le moindre soupçon. La formulation de l'adresse e-mail doit permettre de confirmer les doutes sur la provenance du message. Si, malgré cela, il n'est pas possible d'attester de la légitimité du message, le convertir en texte brut peut faire ressortir du contenu malveillant, en particulier des liens corrompus.

Sur le web, il est important de contrôler les certificats de sécurité et de se fier aux éventuels messages d'alerte des navigateurs. Pour un paiement en ligne, par exemple, le protocole utilisé doit être HTTPS et non HTTP.

En ce qui concerne les comptes personnels en ligne et les services individuels de cloud, chaque utilisateur doit assurer un niveau de sécurité suffisant pour empêcher, autant que possible, que les pirates aient accès aux identifiants de connexion et aux mots de passe. Pour ce faire, changer de mot de passe régulièrement constitue une solution préventive efficace.

 

Pour aller plus loin, téléchargez ce guide gratuit et découvrez les définitions, les différences et les éléments de code de base des langages de programmation HTML et CSS. Nouveau call-to-action

Publication originale le Aug 30, 2021 3:09:00 AM, mise à jour le 20 janvier 2023

Sujet(s):

Cybersécurité