L’hameçonnage, ou l’art de ferrer le poisson



Qu’est-ce que l’hameçonnage ?

L’hameçonnage est une escroquerie qui consiste à tromper les gens pour qu’ils révèlent des informations sensibles, telles que des mots de passe et des numéros de carte bancaire. Tout comme il existe plusieurs types d’hameçon, il existe plusieurs façons d’attraper une victime, mais une tactique d’hameçonnage spécifique a le vent en poupe. Les victimes reçoivent un e-mail ou un SMS qui imite (ou « usurpe l’identité de », en anglais, « spoofing ») une personne ou une organisation à laquelle elles font confiance, comme un collègue, une banque ou un une organisation gouvernemental, ministérielle ou étatique. Quand la victime ouvre l’e-mail ou le SMS, elle y trouve un message inquiétant qui joue sur la peur pour l’empêcher de raisonner. Ce message demande à la victime de se rendre sur un site Internet et d’exécuter immédiatement une action ou, dans le cas contraire, d’en subir des conséquences. 

Si les utilisateurs mordent à l’hameçon et cliquent sur le lien, ils sont envoyés sur un site imitant , en tous points, un site légitime. Là, on leur demande de se connecter avec leur nom d’utilisateur et leur mot de passe. S’ils sont assez crédules pour accepter, les informations de connexion sont transmises au malfaiteur, qui les utilise pour voler les identités, piller les comptes en banque et vendre des informations personnelles sur le marché noir.

Contrairement aux autres types de menaces en ligne, pas besoin d’être un technicien spécialisé pour pratiquer l’hameçonnage. L’hameçonnage est la forme de cyberattaque la plus simple, et en même temps, la plus dangereuse et la plus efficace. En effet, elle ne fait pas tant appel à des outils informatiques qu’à notre crédulité.  Les hameçonneurs n’essaient pas d’exploiter une faille technique dans le système d’exploitation de votre appareil, ils utilisent l’« ingénierie sociale ». De Windows aux iPhones, des Macs aux appareils Android, aucun système d’exploitation n’est entièrement à l’abri de l’hameçonnage, quelle que soit la sécurité qui l’entoure. En fait, les malfaiteurs utilisent souvent l’hameçonnage parce qu’ils ne trouvent pas de failles techniques. Pourquoi perdre du temps à essayer de cracker des couches de sécurité quand vous pouvez faire en sorte que quelqu’un vous donne la clé ? Bien trop souvent, le maillon le plus faible dans un système de sécurité n’est pas un problème dissimulé dans un code informatique, c’est un être humain qui ne vérifie pas à deux fois la provenance d’un e-mail.

L’origine du mot « hameçonnage » (« phishing », en anglais) est facile à trouver. Le processus qui consiste à hameçonner ressemble de près à la pêche à l’hameçon. Vous montez un appât conçu pour leurrer votre victime, puis vous le lancez et vous espérez qu’elle morde. Quant au « ph » qui remplace le « f » dans le terme anglais « phishing » (au lieu de « fishing » – pêcher), ce pourrait être le résultat de la combinaison des termes « fishing (pêcher) » et « phony (faux) », mais d’autres sources pointent vers une autre origine possible.

Types d’attaques par hameçonnage

Malgré leur diversité, le dénominateur commun de toutes les attaques par hameçonnage est l’utilisation d’un prétexte frauduleux pour acquérir des biens de valeur. Les catégories principales comprennent :

Harponnage

Alors que la majorité des campagnes d’hameçonnage envoient des e-mails groupés à autant de personnes que possible, l’harponnage est plus ciblé. Les attaques par harponnage visent une personne ou une organisation spécifique, généralement avec du contenu adapté à la ou aux victimes. Ces attaques nécessitent des recherches préalables pour découvrir les noms, les postes occupés, les adresses e-mail, etc. Les pirates informatiques parcourent Internet pour associer ces informations à d’autres renseignements trouvés sur les collègues de la cible, ainsi que les noms et les relations professionnelles des employés clés de son organisation. À l’aide de ces informations, les hameçonneurs créent un e-mail crédible.

Par exemple, un fraudeur peut harponner un employé dont la responsabilité comprend la capacité à autoriser les paiements. L’e-mail est censé provenir d’un cadre supérieur de l’organisation qui ordonne à l’employé d’envoyer un paiement substantiel soit à lui-même, soit à un fournisseur de l’entreprise (alors qu’en fait, le lien de paiement malveillant l’envoie au cybercriminel).

L’harponnage est une menace critique pour les entreprises et les gouvernements et coûte des fortunes. Selon un rapport de 2016 d’une étude sur le sujet, l’harponnage est à l’origine de 38 % des cyberattaques sur les entreprises participantes au cours de l’année 2015. De plus, concernant les entreprises américaines impliquées, le coût moyen des attaques par harponnage par incident s’élevait à 1,8 million de dollars.

Clonage

Pour cette attaque, les cybercriminels font une copie (ou un clone) d’e-mails déjà envoyés mais légitimes qui contiennent soit un lien soit une pièce jointe. L’hameçonneur remplace ensuite le lien ou les fichiers joints par des éléments malveillants qui ressemblent aux vrais. Les utilisateurs inconscients cliquent sur le lien ou ouvrent la pièce jointe, ce qui permet souvent aux pirates de prendre le contrôle de leur système. L’hameçonneur peut alors imiter l’identité de la victime afin de se faire passer pour un expéditeur de confiance auprès d’autres victimes de la même organisation.

Arnaques nigériennes 419

L’e-mail d’hameçonnage prolixe de quelqu’un qui prétend être un prince nigérien est l’une des premières et des plus anciennes escroqueries sur Internet. L’e-mail d’hameçonnage du prince nigérien provient d’une personne qui prétend être un fonctionnaire du gouvernement ou un membre d’une famille royale qui a besoin d’aide pour transférer des millions de dollars hors du Nigeria. Cet e-mail est marqué comme « urgent » ou « privé » et son expéditeur demande au destinataire de fournir un numéro de compte bancaire pour garder les fonds. 

Dans une version actualisée hilarante du modèle d’hameçonnage nigérien classique, le site d’information britannique Anorak a rapporté en 2016 qu’il avait reçu un e-mail d’un certain Dr Bakare Tunde, qui prétendait être le responsable projet du département astronautique de l’agence du développement et de la recherche nationale du Nigeria. Le Dr Tunde prétendait que son cousin, Air Force Abacha Tunde, se trouvait à bord d’une ancienne station spatiale soviétique depuis plus de 25 ans. Mais pour seulement 3 millions de dollars, les autorités spatiales russes pourraient envoyer un vol pour le ramener à la maison. Tout ce que les destinataires avaient à faire était d’envoyer leurs informations de compte bancaire afin de transférer la somme nécessaire, ce pour quoi le Dr Tunde paierait à chacun un montant de 600 000 dollars.

Il se trouve que le numéro « 419 » est associé à cette arnaque. Il fait référence à l’article du Code pénal nigérien qui traite de la fraude, des accusations et des peines applicables aux contrevenants.

Hameçonnage téléphonique

Avec les tentatives d’hameçonnage par téléphone, parfois appelées « phishing vocal », les appels de l’hameçonneur prétendent représenter votre banque locale, la police ou même les impôts. Ensuite, ils vous effraient en mentionnant un problème et insistent pour que vous le résolviez immédiatement en partageant vos informations bancaires ou, en cas de refus, en payant une amende. Ils vous demandent généralement de payer par virement bancaire ou avec des cartes prépayées, afin qu’il soit impossible de remonter jusqu’à eux.

L’hameçonnage par SMS, ou « smishing », est le frère jumeau maléfique de l’hameçonnage par téléphone. Il utilise le même genre d’arnaque (parfois avec un lien malveillant sur lequel cliquer) au moyen d’envoi de SMS.

Comment identifier une attaque par hameçonnage?

Reconnaître une attaque par hameçonnage n’est pas toujours simple, mais quelques conseils, un peu de discipline et du bon sens devraient suffire. Recherchez quelque chose d’étrange ou d’inhabituel. Demandez-vous si le message « sonne vrai ». Faites confiance à votre intuition, mais ne vous laissez pas tirailler par vos émotions, ce qui altère votre jugement.

L’e-mail fait une offre qui semble trop belle pour être vraie. Il peut mentionner que vous avez gagné au loto, un prix de valeur ou un article incroyable (voir cet article).

Voici d’autres signes :

  • Vous reconnaissez l’expéditeur mais c’est quelqu’un à qui vous ne parlez pas. Même si vous connaissez le nom de l’expéditeur, méfiez-vous s’il s’agit de quelqu’un avec qui vous ne communiquez pas habituellement ; il vous tutoie au lieu de vous vouvoyer.
  • Le message semble délirant. Méfiez-vous si l’e-mail utilise un langage anxiogène ou alarmiste pour créer un sentiment d’urgence, vous exhortant à cliquer et à « agir maintenant » avant que votre compte ne soit clôturé. N’oubliez pas, les organisations officielles ne demandent pas d’informations personnelles sur Internet (voir cet article).
  • Le message contient des pièces jointes inattendues ou inhabituelles. Ces pièces jointes peuvent contenir des malwares, des ransomwares ou une autre menace en ligne.
  • Le message contient un lien étrange. Même si votre 6e sens ne vous dit rien au sujet de toutes les informations précédentes, ne faites pas aveuglément confiance aux liens hypertexte intégrés. Au lieu de cela, survolez le lien avec votre curseur pour voir la véritable URL. Soyez particulièrement attentif aux fautes d’orthographe sur un site qui vous est familier, parce que ces fautes signifient qu’il est faux. Il est toujours préférable de saisir directement une URL plutôt que de cliquer sur le lien intégré ou aller chercher le site par la voie officielle depuis votre moteur de recherche (voir cet article).

Comment me protéger contre l’hameçonnage ?

Comme indiqué précédemment, l’hameçonnage est une menace qui touche tout le monde, et qui peut apparaître sur les PC, les ordinateurs portables, les tablettes et les smartphones. La majorité des navigateurs ont la possibilité de vérifier si un lien est fiable, mais la première ligne de défense contre l’hameçonnage, c’est votre propre jugement. Entraînez-vous à reconnaître les signes d’hameçonnage et essayez de mettre en place une pratique informatique sécurisée quand vous vérifiez vos e-mails, consultez des publications sur Facebook ou jouez à votre jeu en ligne préféré.

Voici les pratiques les plus importantes à mettre en place pour protéger votre sécurité par, à nouveau, notre Adam Kujawa à nous ;

  • N’ouvrez pas les e-mails des expéditeurs que vous ne connaissez pas.
  • Ne cliquez jamais sur un lien contenu dans un email sauf si vous savez exactement ce qu’il contient.
  • Pour renforcer la protection, si vous recevez un e-mail d’une source dont vous n’êtes pas sûr, rendez-vous manuellement sur le lien fourni en saisissant l’adresse du site Internet légitime sur votre navigateur ou accédez au site en question depuis votre moteur de recherche ou vos favoris/marque-pages.
  • Recherchez le certificat numérique d’un site Internet.
  • Si l’on vous demande de fournir des informations sensibles, vérifiez que l’URL de la page commence par « HTTPS » au lieu de « HTTP ». Le « S » signifie « sécurisé ». Il ne garantit pas qu’un site est légitime, mais la plupart des sites légitimes utilisent le HTTPS car il est plus sécurisé. Les sites HTTPS, même légitimes, sont vulnérables aux hackers. 
  • Si vous suspectez qu’un e-mail n’est pas légitime, extrayez un nom ou un morceau de texte du message et copiez-le dans un moteur de recherche pour savoir si des attaques par hameçonnage connues existent et utilisent les mêmes méthodes (voir cet article).
  • Survolez le lien avec votre curseur pour l’analyser et voir s’il s’agit d’un site légitime.

Testez vos connaissances avec un Quizz sur l’hameçonnage proposé par Google.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

© Boulanger Jean Informatique
Versailles & Le Chesnay