Le phishing ou l'hameçonnage

Le phishing ou l'hameçonnage

Qu'est-ce que le phishing ?

Le phishing est une technique de cyberattaque où des escrocs tentent de vous tromper pour obtenir des informations sensibles comme vos mots de passe, numéros de carte bancaire ou données personnelles.

C'est l'une des arnaques les plus courantes sur internet, touchant des millions de personnes chaque année.

☠️
Pourquoi c'est dangereux ? Les conséquences peuvent être graves : vol d'identité, pertes financières, ou même compromission de votre ordinateur avec des virus. Selon des rapports récents (comme ceux de l'ANSSI en France), le phishing représente plus de 80 % des incidents de cybersécurité signalés.

Comment fonctionne le phishing ?

Les attaquants envoient des messages qui paraissent légitimes, mais qui sont faux. Voici les étapes typiques :

  1. L'appât : Un email, SMS, message sur les réseaux sociaux ou un appel téléphonique urgent. Par exemple : "Votre compte bancaire est bloqué ! Cliquez ici pour le débloquer."
  2. La tromperie : Le message imite une entreprise connue (banque, Amazon, impôts, etc.) avec des logos et un langage officiel.
  3. L'action piégée : Vous êtes invité à cliquer sur un lien, télécharger un fichier ou entrer des infos sur un faux site.
  4. La capture : Une fois que vous mordez à l'hameçon, les pirates volent vos données.
📝
Exemple de SMS:
Bonjour c'est le coursier votre paquet ne rentrait pas dans la boite aux lettres. Merci de choisir un créneau ou relais via : https://xxxxxxxxxxx.com
merci

Exemple de mail :

⚠️
Les liens mènent souvent à des sites "clonés" (phishing kits), où l'URL ressemble à la vraie mais avec de petites différences (ex. : "banque-france.com" au lieu de "banque-de-france.fr"). Ces sites utilisent du HTML et JavaScript pour capturer vos saisies en temps réel et les envoyer aux pirates via un serveur distant.

Les types de phishing courants

  • Email phishing : Le plus classique, avec des pièces jointes malveillantes ou des liens.
  • Spear phishing : Personnalisé, ciblant une personne spécifique (ex. : un email qui mentionne votre nom et un détail de votre vie).
  • Smishing : Via SMS (ex. : "Colis en attente, confirmez via ce lien").
  • Vishing : Par téléphone (ex. : un appel prétendant être de votre banque).
  • Pharming : Redirection automatique vers un faux site via un virus sur votre appareil.

Exemple concret : Un email de "Netflix" disant "Votre abonnement expire, renouvelez-le ici". Le lien mène à un site ressemblant très fortement à celui de "Netflix" mais ce dernier va vous voler vos informations de carte bancaire.

Comment repérer un phishing ?

Voici des signes simples :

  • Urgence suspecte : "Agissez maintenant ou perdez votre compte !"
  • Erreurs d'orthographe : Des fautes dans le message ou l'URL.
  • Expéditeur inconnu : Vérifiez l'adresse email réelle (cliquez droit sur "De" pour voir).
  • Demandes inhabituelles : Une banque ne vous demande jamais votre mot de passe par email, ni par SMS, ni par téléphone.
💡
ATTENTION AU TYPOSWATTING
Le typosquatting, ou « piégeage typographique » est le fait d’enregistrer des noms de domaine très similaires de ceux de sites connus, mais volontairement mal orthographiés. L’objectif de cette technique est d’utiliser les fautes de frappe des utilisateurs pour les rediriger vers des pages malveillantes, publicitaires ou frauduleuses.

Exemple : www.microsoft.com et www.rnicrosoft.com
Ici le "m" est remplacer par un "r" suivi d'une "n"

Comment se protéger ?

Des astuces simples pour tous :

  1. Ne cliquez pas impulsivement : Allez directement sur le site officiel via votre navigateur (tapez l'URL vous-même).
  2. Activez l'authentification à deux facteurs (2FA) : Ajoute une couche de sécurité (ex. : code SMS ou app).
  3. Utilisez un antivirus : Certains détectent les phishing.
  4. Soyez vigilant sur mobile : Les apps frauduleuses pullulent sur les stores.
  5. Signalez : En France, utilisez la plateforme cybermalveillance.gouv.fr ou phishing-initiative.fr.
💡
Pensez à regarder l’entête du mail

Ici, on constate que l'adresse mail de l'expéditeur regorge d'erreurs et qu'elle est farfelue. De plus le nom de domaine "@pl90aive8zy.com" ne correspond pas à celui de M&M's qui serait du genre @mms.com

Que faire si vous êtes victime ?

  • Changez immédiatement vos mots de passe.
  • Contactez votre banque si des infos financières sont compromises.
  • Signalez le via le site signalement.gouv.fr
  • Surveillez vos comptes pour des activités suspectes.

En résumé, le phishing repose sur la manipulation humaine, pas sur la technologie avancée. Restez sceptique, vérifiez toujours, et vous éviterez la plupart des pièges.

Partager l'info :