Les fondamentaux de la sécurité : le phishing

Il y a de fortes chances que votre appareil mobile n’ait pas les mêmes défenses de sécurité que votre ordinateur portable ou votre ordinateur. Pour cette raison, en tant qu’utilisateur final, vous devez faire tout votre possible pour rester à l’abri des cybermenaces. Cet article se penche sur le phishing, ou hameçonnage. En le lisant, vous découvrirez comment savoir si vous avez été hameçonné, quelles sont les conséquences et que faire pour y remédier.

Comment fonctionne le phishing ?

Le phishing est une forme d’ingénierie sociale employée par les pirates pour voler des données utilisateur, en particulier les identifiants de connexion et les numéros de carte de crédit. L’attaquant se fait passer pour une entité fiable pour duper sa victime, l’inciter à ouvrir un message et cliquer sur un lien. Ce lien va rediriger la victime vers un site web frauduleux qui l’invitera à saisir ses identifiants de connexion ou ses données financières – ce sont ces données qui seront interceptées par le pirate.

Le phishing est une technique d’attaque simple, mais hautement efficace, qui peut transmettre aux auteurs une multitude d’informations personnelles, financières et professionnelles appartenant à une entreprise. À quelques variantes près, l’attaque a généralement pour but d’obtenir des données personnelles de la victime ou de l’amener à installer des logiciels malveillants, potentiellement nuisibles pour son appareil.

Outre qu’il est extrêmement répandu, le phishing représente aussi l’une des menaces de cybersécurité les plus préjudiciables et les plus médiatisées qui pèsent sur les grandes entreprises aujourd’hui. Selon le rapport Coût des violations de données 2023 d’IBM, le phishing arrive en tête : il représente 15 % de l’ensemble des violations de données et coûte aux organisations 4,76 millions de dollars en moyenne.

Le phishing commence généralement par contacter une victime peu avertie par SMS, par e-mail, via une application, etc. Le message est conçu pour encourager l’utilisateur à interagir. Il peut offrir une chance de gagner un nouvel iPhone ou un bon pour des vacances gratuites, par exemple. Plus simplement, il peut prétendre vous donner accès à un réseau social, à votre compte bancaire ou à votre messagerie professionnelle.

Pour extorquer des informations personnelles à sa victime, le pirate lui donne souvent un faux sentiment de sécurité en présentant une page web d’apparence légitime l’invitant à saisir ses données. Le malfaiteur peut exploiter les données de deux façons : en accédant immédiatement au service en question via le site officiel, ou en les revendant à des tiers sur le Dark Web.

Types d’attaques par phishing

Si vous avez été victime de phishing, l’attaque a sans doute pris l’une des formes suivantes :

• Message texte : on parle parfois de « smishing ». Des acteurs malveillants envoient un SMS contenant un lien vers un site de phishing, souvent dans le but de voler les identifiants de l’utilisateur.
• WhatsApp : cette forme de phishing est aussi appelée « whishing ». Elle ressemble au smishing, excepté que les pirates envoient leurs messages malveillants dans WhatsApp.
• E-mail : le phishing par e-mail peut toucher aussi bien la messagerie personnelle que professionnelle, et prendre l’apparence d’une organisation ou d’un site web que l’utilisateur connaît bien. L’e-mail lui demande généralement de se connecter à un outil courant, mais le redirige vers un site malveillant d’apparence légitime.
• Phishing vocal : dans le cas du phishing vocal, ou « vishing », le pirate usurpe le numéro d’une institution légitime. Ces attaques peuvent utiliser un programme de synthèse vocale ou une voix réelle, et sont souvent utilisées pour obtenir des informations financières de leurs victimes.
• Spear phishing : ces attaques de phishing ciblé sont envoyées à une victime spécifique ; elles peuvent employer l’e-mail, le SMS ou d’autres vecteurs. Les acteurs malveillants peuvent se faire passer pour une personne connue de l’utilisateur et lui demander de l’aide ou des informations personnelles.
• Whaling : forme spécifique de phishing ciblé, ces attaques visent des cibles très médiatisées comme les CEO ou d’autres décideurs. Les acteurs malveillants peuvent se faire passer pour d’autres cadres et envoyer leur victime sur un site usurpé afin de récolter des identifiants.
• Messages sur les réseaux sociaux et messages directs : certains pirates n’hésitent pas à utiliser les réseaux sociaux pour atteindre leurs victimes. Une fois encore, cette approche consiste généralement à envoyer l’utilisateur sur un site falsifié pour lui extorquer des informations.

Comment reconnaître une attaque de phishing

Avec un peu de chance, vous vous rendrez compte que vous êtes la cible d’une attaque de phishing avant d’avoir fourni vos informations sensibles. Faites attention :

• Aux messages, e-mails et publications sociales non sollicités et suspects contenant des liens raccourcis.
• Aux pages web qui demandent des identifiants de connexion ou d’autres informations sensibles
• Aux e-mails suspects qui emploient un langage inhabituel
• Aux pages web contenant des URL suspectes ou contrefaites
• Aux fautes d’orthographe, aux caractères spéciaux et aux fautes de grammaire (notez toutefois que l’IA aide les pirates à s’améliorer (en anglais) à cet égard et que certains sites et messages peuvent sembler parfaitement authentiques).

Dans l’exemple de tentative de phishing ci-dessous, le message contient un lien raccourci et un appel à l’action (les utilisateurs voudront contester un achat qu’ils n’ont pas effectué). En raison du raccourci, la légitimité du lien est plus difficile à vérifier, et l’absence de fautes évidentes dissimule encore l’attaque. La meilleure chose à faire est d’ignorer le lien et de se connecter manuellement à votre compte bancaire ou de carte de paiement, afin de vérifier si l’achat a bien eu lieu.

S’il est trop tard et que vous avez transmis vos données, certains signes révélateurs peuvent vous aider à vous en assurer. Les attaques de phishing sont diverses, et comme elles sont souvent associées à d’autres menaces, pour diffuser un logiciel malveillant par exemple, les symptômes peuvent être très variés. Voici quelques signes d’une attaque de phishing réussie :

• Vol d’identité
• Transactions bancaires inhabituelles
• Comptes verrouillés
• Demandes intempestives de réinitialisation de mot de passe
• E-mail frauduleux provenant de votre compte

Que faire si vous pensez avoir été victime de phishing

Bien, vous avez été hameçonné. Que devez-vous faire maintenant ?

1. Modifiez les mots de passe de tous les comptes qui ont été compromis, ainsi que ceux qui utilisent des mots de passe identiques ou similaires à ceux qui ont été interceptés par le pirate.
2. Si vous avez saisi les données de votre carte de crédit sur la page du faux site, faites opposition à votre carte.
3. Déconnectez votre ordinateur d’Internet ou supprimez votre compte e-mail pour éviter de répandre les liens d’hameçonnage à vos listes de contacts.
4. Contactez la société ou la personne au nom de laquelle l’attaque a été perpétrée, le cas échéant. Il peut s’agir de votre PDG, d’un ami, d’une entreprise importante ou d’une banque.
5. Recherchez les virus sur votre appareil. En cliquant sur des liens malveillants, vous pouvez déclencher le téléchargement silencieux de logiciels malveillants qui peuvent corrompre vos appareils à votre insu.
6. Guettez les signes de vol d’identité et signalez la fraude à votre organisme de crédit.

Protégez-vous avec ces quelques mesures préventives

Les appareils mobiles sont particulièrement vulnérables aux attaques de phishing. Parce que leur écran plus petit et qu’on les utilise en déplacement, il est plus difficile de vérifier la légitimité des liens sur les mobiles – sans compter que les utilisateurs sont souvent trop pressés pour le faire. Et s’il est courant d’installer une protection contre les menaces sur un ordinateur, cela l’est beaucoup moins sur mobile. Il faut donc redoubler de vigilance.

Mieux vaut prévenir que guérir. Protégez-vous du phishing en suivant ces conseils :

• Ne cliquez jamais sur des liens suspects
• Ne saisissez jamais vos données de carte de crédit pour des services inconnus ou non fiables
• Si un message contient un lien vers le site web de votre banque, ouvrez le site dans un autre onglet en saisissant vous-même l’adresse.
• Ne vous laissez pas duper par les escroqueries évidentes qui affirment que vous avez gagné un prix
• Vérifiez la barre d’adresse afin de repérer les URL suspectes ou contrefaites, comme my.apple.pay.com

Les entreprises peuvent prendre des mesures pour prévenir le phishing sur les appareils professionnels et BYOD :

• Sensibiliser les employés aux attaques de phishing et aux mesures de prévention
• Mettre en place des filtres antispam pour que les messages frauduleux n’atteignent pas les boîtes de réception des employés
• Utiliser l’AMF pour empêcher l’utilisation d’identifiants volés
• Déployer un logiciel de prévention des menaces pour bloquer l’accès aux sites de phishing même en cas de clic
• Utiliser un gestionnaire de mots de passe qui renseigne automatiquement les identifiants en fonction du nom de domaine (et ne fonctionnera donc pas sur un site frauduleux).
• Maintenir les appareils et les logiciels à jour