Alors qu’Orange vient d’annoncer avoir été victime d’un vol de données qui pourrait concerner jusqu’à 800.000 abonnés, retour sur cette pratique hyper répandue sur le net.
• Qu’est-ce que le phishing?
Le phishing est un procédé cybercriminel qui mise sur la faille humaine et non pas informatique. La méthode consiste à se faire passer pour un tiers (banque, opérateur télécom, grande entreprise commerciale), afin de pousser l’internaute à se connecter sur un site factice via un lien hypertexte. Prétextant la nécessité d’une mise à jour des informations personnelles de l’utilisateur, le fraudeur va ainsi récolter les coordonnées bancaires de ce dernier, ou bien les identifiants et mots de passe qui lui seront nécessaires pour obtenir ultérieurement ces fameuses données, et ainsi être capable de transférer directement de l’argent sur un autre compte.
• Les différentes techniques
Plusieurs méthodes sont récurrentes sur Internet. La plus répandue consiste en la confirmation de données: un faux service clientèle vous envoie un mail vous redirigeant vers un formulaire afin de taper vos coordonnées confidentielles. Souvent, cette demande est assortie d’une alerte, par exemple en vous informant d’un risque de sécurité (tentative d’intrusion, piratage de données, etc.) ou d’un problème de facturation. Une autre technique bien connue des boites de réception est le soi-disant tirage au sort: afin de recevoir votre lot (voiture, smartphone, etc.), vous êtes invité à envoyer vos données personnelles. Enfin, des méthodes plus désuètes continuent d’abonder en marge, comme le harponnage sentimental: un particulier vous sollicite en vous évoquant sa maladie, en appelant à votre générosité pour un don. Le phishing peut également se pratiquer par SMS.
• Qui sont les entreprises prises pour cible?
A peu près n’importe quelle entreprise qui possède un grand nombre de clients dont elle gère l’argent, ou qui est payée par prélèvements bancaires. C’est par exemple régulièrement le cas d’Apple ou encore d’EDF, qui avait recensé 40 000 tentatives de fraude au cours du seul mois de janvier 2013. Fin 2013, Adobe faisait les frais d’un géant vol de données: les informations de 152 millions d’utilisateurs pourraient ainsi avoir été dérobées, probablement dans le but de lancer une campagne de fishing.
• Comment se protéger?
Essentiellement en faisant preuve de beaucoup de circonspection. Quelques réflexes rapides à intégrer permettent de se mettre hors de danger. Tout d’abord, faire preuve de bon-sens et se demander si l’on a déjà communiqué son adresse mail à l’organisme qui nous contacte. Ensuite, taper soi-même l’adresse URL du site plutôt que suivre les liens hypertexte présents dans le mail. Les faux liens diffèrent parfois de très peu du vrai nom de domaine de l’entreprise usurpée, et il est souvent compliqué de ne pas s’y faire prendre. Il est important de bien lire l’adresse de l’émetteur du courriel: si celle-ci indique une messagerie générique (type gmail, yahoo, hotmail, etc.), il y a de très fortes chances que ce message soit un faux. Recherchez des indices d’authenticité: numéro de client, nom de l’agence, etc. Quand vous saisissez vos données personnelles, et notamment bancaires, vérifiez bien que le site sur lequel vous vous trouvez est sécurisé: un cadenas doit apparaitre dans le navigateur, et l’adresse du site doit commencer par https (au lieu de http).
• Comment réagir en cas de phishing?
Si vous doutez de l’authenticité d’un mail reçu, signalez-le directement à l’institution concernée. Si l’escroquerie est avérée, vous pouvez alors informer la plateforme PHAROS (qui permet également de dénoncer les sites au contenu illicite), éventuellement dénoncez un site factice sur Phishing Initiative, et contactez immédiatement votre banque qui est tenue de rembourser l’intégralité des sommes détournées.
Le Figaro
