L’hameçonnage (ou phishing en anglais) consiste à piéger l’internaute en l’incitant à communiquer des informations personnelles (mots de passe, comptes de client, données bancaires, etc). Le cybercriminel se fait passer pour une personne ou un établissement de confiance en produisant un faux message, un SMS ou un appel téléphonique. Il agit en ayant pour but de récupérer des données sensibles afin d’en faire un usage frauduleux. Quelle est la définition concrète du phishing et que faire face à cette cyber-menace ?
Le phishing, ou comment piéger l’internaute
En revêtant l’apparence d’une personne ou d’un établissement de confiance, le cybercriminel qui a recours à la technique du phishing piège l’internaute et l’incite frauduleusement à lui communiquer ses données personnelles. Lorsque la tentative de phishing a lieu dans le milieu professionnel on parle d’hameçonnage ciblé, qui vise à obtenir d’un employé les identifiants d’accès au réseau professionnel auquel il a accès. Véritable fléau en ligne, l’hameçonnage doit être pris en considération par les particuliers et les professionnels, qui augmentent judicieusement leur niveau de cybersécurité sur Internet.
En pratique, le cybercriminel agit par l’intermédiaire d’un mail, d’un SMS ou d’un message qui comprend et reproduit tous les codes de la communication de l’entité pour laquelle il se fait passer : mail d’un fournisseur d’énergie, d’une institution, etc. Le pirate informatique justifie l’envoi de ce message par une mise à jour ou une confirmation des informations suite à un incident technique.
Certains éléments permettent de repérer des mails ou des messages suspicieux d’hameçonnage :
- L’e-mail possède un lien douteux, visible une fois le curseur positionné dessus.
- Le mail contient des erreurs d’orthographe, de grammaire ou des fautes de frappe récurrentes.
- Le message demande clairement de partager des informations sensibles et personnelles.
- Le mail vous indique qu’une somme d’argent n’a pas été réglée, ou que l’organisme est en attente de vos données bancaires afin de procéder à un remboursement, etc…
La victime ainsi piégée pense communiquer à sa banque ou à un autre organisme de confiance des informations sensibles. Elle est ainsi frauduleusement incitée à communiquer ses données bancaires, son adresse, les références de ses comptes d’accès et ses mots de passe.
Définition du phishing et législation française : une infraction pénale
Selon le type de cyberattaque et ses conséquences, la loi française retient que ces pratiques peuvent être qualifiées :
- D’escroquerie : article 313-1 du Code pénal.
- De collecte de données à caractère personnel par des moyens dits frauduleux, déloyaux ou illicites : article 226-18 du Code pénal.
- D’un accès frauduleux à un système de traitement automatisé de données : article 323-1 du Code pénal.
- De contrefaçon et d’usage frauduleux de moyen de paiement : article L 163-3 et L 163-4 du Code monétaire et financier.
- D’usurpation d’identité : article 226-4-1 du Code pénal.
- De contrefaçon des marques : article L.713-2 et L. 713- 3 du Code de la propriété intellectuelle.
Selon les cas, si l’hameçonnage vise à collecter des données afin de voler une somme d’argent, c’est alors aux yeux de la loi une fraude à la carte bancaire. Les peines qu’encourent les cybercriminels peuvent aller de 5 ans d’emprisonnement à 375 000 euros d’amende pour les plus sévères. Quant aux victimes, les autorités et la justice avancent pour proposer des indemnisations à hauteur de leur préjudice réel. Il est cependant crucial de développer des outils et des comportements permettant d’éviter de tomber dans le piège du hameçonnage.
En pratique, le cybercriminel agit par l’intermédiaire d’un mail, d’un SMS ou d’un message qui comprend et reproduit tous les codes de la communication de l’entité pour laquelle il se fait passer : mail d’un fournisseur d’énergie, d’une institution, etc. Le pirate informatique justifie l’envoi de ce message par une mise à jour ou une confirmation des informations suite à un incident technique.
Phishing : comment réagir ?
En premier lieu, il ne faut jamais répondre à ces messages suspects, ni cliquer sur les liens qu’ils comprennent ou en ouvrir les pièces jointes. Il est crucial que les professionnels procèdent à des campagnes de sensibilisation de leurs collaborateurs aux bons comportements à adopter sur internet. Grâce à ces formations, il est possible d’adopter des mesures préventives évitant d’être victime de phishing :
- Ne jamais communiquer sur le web ou au téléphone les données sensibles de la structure. Par exemple, ne pas dicter les numéros de la carte de paiement à un opérateur téléphonique et ne les entrer que sur des plateformes d’achat sur Internet sécurisées.
- Avant de cliquer sur un lien, vérifier l’adresse qui s’affiche sous le curseur. Il s’agira de la cible réelle du lien. Le nom qui apparaît permet d’en vérifier la vraisemblance.
- De même, contrôler l’adresse qui s’affiche dans le navigateur : s’il ne correspond pas au site ou s’il comprend un caractère différent de l’adresse d’origine, ce peut être la marque d’un site frauduleux.
- Utiliser des mots de passe complexes et différents selon les applications de travail utilisées. Privilégier des comptes uniques pour chaque collaborateur et ne pas se connecter à Internet via des comptes aux droits d’administrateur.
Si l’attaque est avérée, demandez à votre expert informatique de changer tous les mots de passe de votre système et faites opposition auprès de votre organisme bancaire. Si l’hameçonnage a ciblé votre messagerie professionnelle, transférez vos mails au technicien informatique qui le vérifiera et donnera son aval pour le supprimer. Demandez à votre prestataire informatique de prendre en main les opérations nécessaires et signalez l’incident à Signal Spam ainsi qu’à Phishing Initiative, dans le cas d’une plateforme web frauduleuse.
Professionnels : augmentez votre cybersécurité pour faire
face au phishing
Si adopter des comportements conscients et responsables permet d’éviter d’être victime de phishing, l’extrême dangerosité et la régularité de ces attaques conduisent les professionnels à installer des solutions logicielles de pointe afin de renforcer leur cybersécurité. Les sociétés prennent donc des mesures pour sécuriser leurs e-mails professionnels, leur navigation sur le web et les divers échanges de données que génèrent leurs activités.
En effet, selon le rapport de l’ANSSI pour les années 2019 et 2020, le taux de progression des incidents liés aux ransomwares, aux pratiques de phishing et autres cyberattaques est en hausse de plus de 255 %. Cela signifie que 4 entreprises sur 10 ont été victimes d’une attaque informatique. Or, de nos jours, 70 % de la valeur d’une société réside dans ses données : l’enjeu pour les professionnels de renforcer leur cybersécurité est donc colossal.
Afin d’y parvenir, les directions des sociétés (PME comme multinationales) externalisent les prestations de sécurité informatique à des spécialistes de la connectivité des entreprises. Ces experts sont en mesure de proposer à leurs clients des solutions techniques et des prestations haut de gamme afin de garantir leur niveau de sécurisation. À titre d’exemple, il est possible de mettre en place des logiciels de protection sur Internet comme des Firewall, des UTM ou des SD-WAN.
Il est aussi capital de pouvoir compter sur la présence et la prise en charge d’un expert de l’informatique lorsque les attaques de type hameçonnage sont avérées. À ce titre, Voip Telecom propose des offres de cybersécurité qui comprennent des audits, un accompagnement préventif sur-mesure et des interventions en cas d’incident.
Le phishing est une pratique frauduleuse qui pullule sur le web. Ses dommages sont colossaux pour une entreprise : 80 % des victimes déposent le bilan deux ans après avoir été ciblées par une pratique d’hameçonnage ou une cyberattaque.
Contactez-nous
Vous avez un projet ? Vous avez besoin d’une information ? D’un devis ?
Nous vous recontacterons dans les plus brefs délais.