Cybersécurité

Qu’est ce que le phishing ?

Par Steve Chevillard , le 07/12/2022 , mis à jour le 22/05/2023 - 8 minutes de lecture
Tentative de phishing (banque LCL)
AccueilCybersécuritéQu’est ce que le phishing ?

Vous avez certainement déjà entendu parlé de phishing (ou hameçonnage en français) dans la presse ou sur le web. C’est une des techniques d’escroquerie la plus courante sur internet. Revenons aujourd’hui sur ce type de fraude, en quoi consiste le phishing et comment s’en prémunir.

Le phishing, c’est quoi ?

Phising est un terme anglais traduit en français par hameçonnage ou bien encore filoutage.

Étymologie de phishing

Le terme anglais phishing est un mélange de deux mots anglais : phreaking qui désigne le piratage de lignes téléphoniques et fishing qui se traduit par pêche en français.
Le mot français hameçonnage a d’ailleurs conservé la trace de la référence à la pêche.

Définition de phishing

C’est une technique de fraude utilisée par des pirates informatiques qui est très répandue sur le web qui a pour but de récupérer des informations personnelles (notamment bancaires mais aussi les identifiants et mot de passes) en usurpant l’identité d’un tiers de confiance comme votre banque, votre FAI, une institution publique comme la Caisse d’Allocations Familiales, l’Assurance Maladie, les impôts etc…

Le plus souvent, la victime reçoit donc un email semblant provenir d’une entreprise ou institution de confiance et l’invite à se connecter à son compte via un lien présent dans le courrier électronique pour mettre à jour ses informations, payer une facture, consulter ses messages etc….
Le problème c’est que ce lien ne dirige pas l’internaute vers le site officiel mais vers un site web créé par les fraudeurs qui est souvent la copie quasi conforme de l’original et qui l’invite à saisir via un formulaire son identifiant et mot de passe, ses coordonnées bancaires, ses codes de carte bancaire ou d’autres données personnelles sensibles.
Ces données personnelles sont bien sûr récupérées par les pirates qui ont ensuite le champ libre pour exploiter ces informations et en tirer profit (utilisation de la carte bancaire sur internet, usurpation de votre identité auprès de services gouvernementaux ou bancaires, de services de téléphonie etc…).

Il est important de noter que cette arnaque exploite la faille humaine (validant ainsi , si besoin était, le dicton qui veut que la plupart des problèmes informatiques se situent entre la chaise et le clavier) et non une faille informatique, c’est ce qu’on appelle une technique d’ingénierie sociale.

Quelques exemples de phishing

Voici quelques exemples de courriers électroniques frauduleux reçus dans ma boite Outlook.

A noter que les emails des fraudeurs sont de plus en plus aboutis et ressemblent de plus en plus à ceux des expéditeurs réels : les fautes d’orthographe sont moins présentes qu’il y a quelques années, la mise en forme de l’email est correcte, les images de qualité correcte.

Phishing Amelie
Tentative d’hameçonnage : courrier électronique se faisant passer pour l’Assurance Maladie (AMELI)
Tentative de phishing (banque LCL)
Tentative de phishing avec un email frauduleux usurpant l’identité de la banque LCL
Hameçonnage Outlook
Email frauduleux se faisant passer pour la messagerie de Microsoft, Outlook
phishing free
Tentative de phishing en usurpant l’identité du F.A.I Free

Qu’est-ce qui se passe concrètement après avoir cliqué sur un lien d’un email frauduleux ?

Reprenons l’exemple du premier courrier électronique pour l’assurance maladie (AMELI) pris comme exemple ci-dessus qui propose de se connecter à votre compte afin de consulter un remboursement (on essaie donc de vous escroquer en vous faisant miroiter un bénéfice monétaire) : le lien dans le mail renvoie à un site qui ressemble fortement à un site de l’assurance maladie comme on peut le voir ci-dessous :

Tentaive phising Assurance maladie

En temps normal, il aurait juste fallut se connecter à votre compte en vous identifiant directement sur le portail de l’Assurance Maladie.
Ici par contre, on vous informe que pour valider votre dossier de remboursement, il va falloir remplir des informations personnelles et renseigner des données bancaires…

Après avoir cliqué sur continuer, nous arrivons à un formulaire qui invite donc à saisir ses informations personnelles et ses données bancaires :

Formulaire phishong AMELI

Une fois ces données saisies, les pirates auront toutes les informations personnelles et bancaires pour dépouiller leur victime…

Mais alors comment repérer une tentative d’hameçonnage et se protéger du phishing ?

Prudence est mère de sûreté, vous devez être méfiant sur le web !

Il existe quelques vérifications à effectuer pour détecter une tentative d’escroquerie et éviter de se faire arnaquer :

  • Vérifier en premier lieu l’adresse email de l’expéditeur qui est souvent un indice important de tentative de phishing : elle n’est généralement pas issue du nom de domaine qu’il est censé représenter.
    Regardez dans les images précédentes les adresses mails expéditrices : [email protected] à la place d’une adresse de free.fr, accountsecurity995.onmicrosoft.com pour usurper l’identité d’Outlook/Microsoft , [email protected] pour se faire passer pour la LCL etc…
    Les pirates essaient d’utiliser des adresses proches de celles des tiers de confiance pour tromper leurs victimes.
    Attention ! Même si l’adresse de l’expéditeur paraît correcte, cela ne garantit pas que cela soit réellement l’expéditeur du message car il est facile d’envoyer un email avec le nom ou l’adresse email d’un tiers, même depuis un webmail.
  • Vérifier le lien présent dans le courrier électronique en le survolant avec la souris : en bas de votre navigateur, vous verrez apparaître l’adresse du lien qui est différent de celui officiel (même si là encore, les pirates essaient maintenant de choisir des adresses proches des adresses officielles).
  • La présence de fautes d’orthographe ou d’images de mauvaises qualités peuvent-être révélateurs d’une tentative d’escroquerie.
    Malheureusement, les fautes d’orthographe ont tendance à très fortement diminuer dans les courriels frauduleux (la plupart sont maintenant rédigés dans un français impeccable et sans faute d’orthographe…).
  • Si vous êtes déjà inscrit à un service, il n’est pas normal qu’on vous redemande des informations qu’un service est déjà censé avoir.
  • Soyez toujours vigilant avec vos informations bancaires : un service public ne vous demandera par exemple jamais vos informations de carte bancaire, votre banque non plus. Si vous avez le moindre doute, ne cliquez pas dans un email et essayez d’en savoir plus (en demandant à un tiers, en répondant au message).
  • Méfiez-vous également des raccourcisseurs d’URL (ex: goo.gl, bit.ly etc…) car l’URL n’ayant pas de sens significatif, il est plus facile de se faire avoir. Si vous avez cliqué sur un lien de ce type, regardez ensuite l’URL définitive pour examiner si elle est légitime ou pas.
  • N’ouvrez pas les pièces-jointes d’un destinataire inconnu, il y a des chances qu’il contienne un virus / malware

Comment signaler une tentative de phishing ?

Si vous avez reçu un mail très suspect qui ressemble fort à une tentative d’hameçonnage, nous vous recommandons de signaler cette arnaque pour éviter que d’autres, plus crédule, se fassent escroquer !

La meilleure solution est de faire un signalement d’escroquerie via un formulaire de la plateforme Phishing Initiative (projet commun de Microsoft, Paypal et LEXSI, entreprise spécialisée dans la cybersécurité) qui permet après analyse et validation des cas d’hameçonnage de bloquer les sites frauduleux directement dans les navigateurs web.

Signaler un spam ou un contenu illégal

Dans le cas d’un simple spam, vous pouvez le signaler via la plateforme Signal Spam : https://www.signal-spam.fr/

Enfin, pour signaler un contenu internet illégal, il faut faire un signalement sur la plateforme du gouvernement français PHAROS (Plateforme d’Harmonisation, d’Analyse, de Recoupement et d’Orientation des Signalements): https://www.internet-signalement.gouv.fr/PharosS1/

Pour en savoir plus sur le phishing

Une liste de quelques ressources supplémentaires sur les techniques frauduleuses d’hameçonnage :

A lire aussi

Phishing et scamp par email : une technique malveillanteQuelles sont les différentes techniques de phishing ? Protection email efficace : AltospamComment protéger sa boite mail des spam, virus et phishing ? Un cybercriminel à l'acrtionCybercriminalité : un fléau aggravé par la généralisation du télétravail 40% des e-mails que vous recevez sont des messages indésirables40% des emails que vous recevez sont des messages indésirables
Steve Chevillard, créateur d'Astuces & Aide Informatique

Steve Chevillard

Homo numericus. Créateur et principal rédacteur d'Astuces & Aide Informatique, je partage mon temps entre ce blog, mon emploi de chef de projet web pour le magazine Sciences Humaines, ma passion pour la musique, ma femme et mes deux enfants.

Voir les publications de l'auteur

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.

Lettre d’information

Inscription à la newsletter Astuces & Aide Informatique

Inscrivez-vous gratuitement à la newsletter Astuces & Aide Informatique pour être informé par email de la publication des nouveaux articles et des bons plans de nos partenaires (jeux concours, réduction sur les logiciels, matériel informatique etc.) !

Les dossiers d’Astuces et Aide Informatique

EaseUS Licence Windows Netflix PDF Windows 10 Windows 11 Wondershare