Accueil » Cybersécurité » Qu'est ce que le phishing ?

Qu'est ce que le phishing ?

Mots-clés :

Le phishing, c'est quoi ?

Phising est un terme anglais traduit en français par hameçonnage ou bien encore filoutage.

Étymologie de phishing

Le terme anglais phishing est un mélange de deux mots anglais : phreaking qui désigne le piratage de lignes téléphoniques et fishing qui se traduit par pêche en français.
Le mot français hameçonnage a d'ailleurs conservé la trace de la référence à la pêche.

Définition de phishing

C'est une technique de fraude utilisée par des pirates informatiques qui est très répandue sur le web qui a pour but de récupérer des informations personnelles (notamment bancaires mais aussi les identifiants et mot de passes) en usurpant l'identité d'un tiers de confiance comme votre banque, votre fournisseur d'accès à internet, une institution publique comme la Caisse d'Allocations Familiales, l'Assurance Maladie, les impôts etc...

Le plus souvent, la victime reçoit donc un email semblant provenir d'une entreprise ou institution de confiance et l'invite à se connecter à son compte via un lien présent dans le courrier électronique pour mettre à jour ses informations, payer une facture, consulter ses messages etc....
Le problème c'est que ce lien ne dirige pas l'internaute vers le site officiel mais vers un site web créé par les fraudeurs qui est souvent la copie quasi conforme de l'original et qui l'invite à saisir via un formulaire son identifiant et mot de passe, ses coordonnées bancaires, ses codes de carte bancaire ou d'autres données personnelles sensibles.
Ces données personnelles sont bien sûr récupérées par les pirates qui ont ensuite le champ libre pour exploiter ces informations et en tirer profit (utilisation de la carte bancaire sur internet, usurpation de votre identité auprès de services gouvernementaux ou bancaires, de services de téléphonie etc...).

Il est important de noter que cette arnaque exploite la faille humaine (validant ainsi , si besoin était, le dicton qui veut que la plupart des problèmes informatiques se situent entre la chaise et le clavier) et non une faille informatique, c'est ce qu'on appelle une technique d'ingénierie sociale.

Quelques exemples de phishing

Voici quelques exemples de courriers électroniques frauduleux reçus dans ma boite Outlook.

A noter que les emails des fraudeurs sont de plus en plus aboutis et ressemblent de plus en plus à ceux des expéditeurs réels : les fautes d'orthographe sont moins présentes qu'il y a quelques années, la mise en forme de l'email est correct, les images de qualité correcte.

Phishing Amelie

Tentative d'hameçonnage : courrier électronique se faisant passer pour l'Assurance Maladie (AMELI)

Tentative de phishing (banque LCL)

Tentative de phishing avec un email frauduleux usurpant l'identité de la banque LCL

Hameçonnage Outlook

Email frauduleux se faisant passer pour la messagerie de Microsoft, Outlook

phishing free

Tentative de phishing en usurpant l'identité du F.A.I Free

Qu'est-ce qui se passe concrètement après avoir cliqué sur un lien d'un email frauduleux ?

Reprenons l'exemple du premier courrier électronique pour l'assurance maladie (AMELI) pris comme exemple ci-dessus qui propose de se connecter à votre compte afin de consulter un remboursement (on essaie donc de vous escroquer en vous faisant miroiter un bénéfice monétaire) : le lien dans le mail renvoie à un site qui ressemble fortement à un site de l'assurance maladie comme on peut le voir ci-dessous :

Tentaive phising Assurance maladie

En temps normal, il aurait juste fallut se connecter à votre compte en vous identifiant directement sur le portail de l'Assurance Maladie.
Ici par contre, on vous informe que pour valider votre dossier de remboursement, il va falloir remplir des informations personnelles et renseigner des données bancaires...

Après avoir cliqué sur continuer, nous arrivons à un formulaire qui invite donc à saisir ses informations personnelles et ses données bancaires :

Formulaire phishong AMELI

Une fois ces données saisies, les pirates auront toutes les informations personnelles et bancaires pour dépouiller leur victime...

Mais alors comment repérer une tentative d'hameçonnage et se protéger du phishing ?

Prudence est mère de sûreté, vous devez être méfiant sur le web !

Il existe quelques vérifications à effectuer pour détecter une tentative d'escroquerie :

  • vérifier en premier lieu l'adresse email de l'expéditeur qui est souvent un indice important de tentative de phishing : elle n'est généralement pas issue du nom de domaine qu'il est censé représenter.
    Regardez dans les images précédentes les adresses mails expéditrices : log@adiciel.fr à la place d'une adresse de free.fr, accountsecurity995.onmicrosoft.com pour usurper l'identité d'Outlook/Microsoft , noreply@mango.com pour se faire passer pour la LCL etc...
    Les pirates essaient d'utiliser des adresses proches de celles des tiers de confiance pour tromper leurs victimes.
    Attention ! Même si l'adresse de l'expéditeur paraît correcte, cela ne garantit pas que cela soit réellement l'expéditeur du message car il est facile d'envoyer un email avec le nom ou l'adresse email d'un tiers, même depuis un webmail.
  • vérifier le lien présent dans le courrier électronique en le survolant avec la souris : en bas de votre navigateur, vous verrez apparaître l'adresse du lien qui est différent de celui officiel (même si là encore, les pirates essaient maintenant de choisir des adresses proches des adresses officielles).
  • la présence de fautes d'orthographe ou d'images de mauvaises qualités peuvent-être révélateurs d'une tentative d'escroquerie.
    Malheureusement, les fautes d'orthographe ont tendance à très fortement diminuer dans les courriels frauduleux (la plupart sont maintenant rédigés dans un français impeccable et sans faute d'orthographe...).
  • si vous êtes déjà inscrit à un service, il n'est pas normal qu'on vous redemande des informations qu'un service est déjà censé avoir.
  • soyez toujours vigilant avec vos informations bancaires : un service public ne vous demandera par exemple jamais vos informations de carte bancaire, votre banque non plus. Si vous avez le moindre doute, ne cliquez pas dans un email et essayez d'en savoir plus (en demandant à un tiers, en répondant au message).

Comment signaler une tentative de phishing ?

Si vous avez reçu un mail très suspect qui ressemble fort à une tentative d'hameçonnage, vous pouvez signaler cette tentative de fraude de deux manières.

La première solution est de faire un signalement d'escroquerie sur la plateforme du gouvernement français PHAROS (Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements).
Ce signalement sera ensuite traité par un service de police judiciaire spécialisé, l'Office Central de Lutte contre la Criminalité liée aux Technologies de l'Information et de la Communication (OCLCTIC)

L'autre façon de procéder est de signaler le site via un formulaire de la plateforme Phishing Initiative (projet commun de Microsoft, Paypal et LEXSI, entreprise spécialisée dans la cybersécurité) qui permet après analyse et validation des cas d'hameçonnage de bloquer les sites frauduleux directement dans les navigateurs web.

Pour en savoir plus sur le phishing

Une liste de quelques ressources supplémentaires sur les techniques frauduleuses d'hameçonnage :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *