Phishing : Comment éviter le vol de données

janv. 15, 2020.

L’hameçonnage (ou phishing) est une méthode fréquemment utilisée dans le cadre de la cybercriminalité. Elle exploite la crédulité des gens et peut engendrer des pertes financières élevées. Cet article vous donne des conseils pour savoir identifier les attaques d’hameçonnage, vous en protéger et réagir correctement après avoir ouvert un e-mail d’hameçonnage. Vous découvrirez également une particularité suisse et apprendrez qui est responsable en cas d’hameçonnage en Suisse.

 

Communications par e-mails, transactions par e-banking et adhésion à diverses boutiques en ligne et réseaux sociaux – la quantité de données personnelles que nous laissons sur Internet augmente. Ce sont justement ces informations confidentielles que les fraudeurs convoitent avec la méthode d’hameçonnage.

 

Définition et fonctionnement de l’hameçonnage

L’hameçonnage classique se déroule par le biais d’e-mails dont l’adresse d’expédition a été falsifiée. Les e-mails contiennent des liens par lesquels les destinataires doivent être conduits sur des sites Internet également faux.  

 

Sur ces sites Internet « factices », les fraudeurs essaient de pousser leurs victimes à divulguer des informations confidentielles tels que des mots de passe, des noms d’utilisateur ou les données de comptes ou de cartes de crédit telles que des codes PIN ou TAN.

 

Les SMS ainsi que les services de messagerie instantanée tels que WhatsApp ou Skype sont aussi appréciés des fraudeurs ou de ceux qu’on appelle les hameçonneurs (phishers) comme moyens de diffusion de liens falsifiés. Ils manipulent également les codes QR afin d’attirer par exemple les consommateurs sur le site web falsifié d’un établissement financier.

 

Reconnaître des attaques d’hameçonnage et s’en protéger

« De manière générale, il faut être prudent avec les e-mails inattendus qui demandent une action. Par exemple de la part d’un prestataire de services avec lequel on n’a encore jamais eu de contact. », explique Oliver Hirschi. Chargé de cours dans le département informatique de la Haute école de Lucerne, Oliver Hirschi mène le projet « eBanking en toute sécurité ! » dans le cadre duquel son équipe et lui ont publié un test d’hameçonnage conçu sur mesure pour la Suisse.

 

Souvent, les e-mails falsifiés ressemblent comme deux gouttes d’eau à ceux de sociétés de vente par correspondance comme Amazon ou de services de paiement comme PayPal. Mais il y a des éléments qui permettent de démasquer une attaque d’hameçonnage.

 

Comment réagir après avoir ouvert un e-mail d’hameçonnage ?

Les personnes ayant reçu un e-mail d’hameçonnage peuvent l’annoncer sur www.antiphishing.ch, un portail d’annonce de la Centrale suisse d'enregistrement et d'analyse pour la sûreté de l'information (MELANI). De dangereux sites web peuvent par ce biais être désactivés aussi vite que possible.

 

Les victimes d’une attaque d’hameçonnage devraient immédiatement porter plainte auprès de la police. Si des informations délicates telles que des codes PIN ou des mots de passe sont tombées entre les mains de fraudeurs, il est important de bloquer immédiatement toutes les cartes bancaires et cartes de crédit auprès de la banque et de contrôler en détail les extraits de compte.

 

Oliver Hirschi ajoute : « D’un point de vue technique, il est également important de faire contrôler l’ordinateur et la protection anti-virus et de modifier ensuite l’ensemble des mots de passe et questions de sécurité. » Pour se protéger contre l’hameçonnage, les consommateurs devraient également travailler avec des programmes d’e-mails qui ne téléchargent pas automatiquement les contenus provenant d’Internet lors de l’ouverture des e-mails.

 

Des attaques d’hameçonnage toujours plus ciblées

Dans le passé, les hameçonneurs envoyaient plusieurs millions de fois le même e-mail. Aujourd’hui, ils se donnent souvent plus de peine. Pas uniquement en copiant parfaitement la présentation visuelle de l’entreprise. « Il y a actuellement une évolution vers ce qu’on appelle du spear-phishing », explique l’informaticien Hirschi. « Les attaques sont toujours plus ciblées : Les assaillants réduisent leurs groupes cibles et construisent des e-mails d’hameçonnage dont le contenu est plus personnalisé. Souvent, les assaillants connaissent non seulement le nom du destinataire, mais également ceux de ses contacts privés et professionnels ce qui leur permet de donner l’impression que l’e-mail vient d’une personne connue. »

 

Responsabilité et situation en Suisse

Et qu’en est-il de la responsabilité en Suisse ? A ce sujet, il n’y a selon Oliver Hirschi qu’une seule réponse correcte, très simple qui plus est : « Ça dépend. » La plupart des banques et prestataires de services en ligne définissent la responsabilité dans leurs conditions générales. Dans ce contexte, c’est en principe le client qui porte la responsabilité. S’il y a un dommage, celui-ci est cependant souvent étudié individuellement. On analyse ce qui s’est passé et on décide ensuite de la responsabilité, parfois après négociations. Il est d’autant plus raisonnable de se protéger et de s’assurer au moyen d’une assurance cyber.

 

En plus de cela, Oliver Hirschi mentionne une particularité à laquelle les internautes suisses devraient faire attention : « Au niveau mondial, le rapport entre Android et iOS est d’environ 85% contre 15%. En Suisse, les appareils IOS sont très répandus, ce qui fait passer le ratio à environ 50%-50%. Les criminels ont donc tout intérêt à développer des logiciels malveillants, comme par exemple des « Chevaux de Troie », destinés spécifiquement au système d’exploitation IOS et de les installer sur les ordinateurs au moyen d’attaques d’hameçonnage. » Ainsi, les utilisateurs d’Apple sont aussi vulnérables et devraient tout autant se méfier des attaques d’hameçonnage que les utilisateurs d’autres systèmes d’exploitation.

 

Avec un peu de prudence et en sachant à quoi prêter attention, il est souvent possible de reconnaître ce qu’on appelle les e-mails d’hameçonnage (phishing) envoyés par des criminels. Notre check-list sur l’hameçonnage vous donne en un coup d’œil les principaux éléments grâce auxquels vous pouvez vous protéger des attaques.