On nous le répète souvent mais derrière notre ordinateur, nous sommes toujours très vulnérables. En effet, quand les hackers ne tentent pas d’attaquer notre ordinateur en profitant de ses failles, ils recourent au phishing, un procédé par lequel il mise sur la faille humaine pour obtenir des données confidentielles.
Egalement connu sous le nom « hameçonnage », le phishing est une méthode souvent utilisée par des fraudeurs pour tenter de collecter des données sensibles. Et, si vous possédez un compte de messagerie, vous avez probablement déjà été victime de phishing … sans peut-être le savoir.
En effet, le phishing prend souvent la forme d’un envoi de mail en usurpant l’identité d’une entreprise, le plus fréquemment des banques ou bien des sociétés habituées à recourir au prélèvement automatique telles les fournisseurs d’énergie ou les opérateurs téléphoniques. Dans ce faux mail, copie conforme du site original de la société, celle-ci vous informe qu’elle a besoin de mettre à jour diverses coordonnées (bancaires ou d’accès à votre messagerie).
Certains fraudeurs utilisent également des méthodes plus anciennes pour tenter d’obtenir vos coordonnées en vous informant que vous avez gagné à la grande loterie Microsoft ou bien qu’une personne gravement malade veut vous faire un don avant de mourir.
Il est relativement simple de se protéger contre une tentative de fishing. Déjà, posez-vous toujours la question de savoir si la société qui vous contacte a une bonne raison d’avoir vos coordonnées. Vous pouvez en effet être hameçonnés par des fraudeurs se faisant passer pour une entreprise avec qui vous n’avez aucune relation…
Vérifiez ensuite bien la provenance du mail qui vous a été envoyé. Une adresse avec une extension .hotmail, .yahoo ou.gmail est rarement fiable pour une entreprise de même qu’une extension où le nom de la société est mal orthographié.
Enfin, par prudence, n'ouvrez jamais un email qui vous paraît suspect ; en tout cas ne cliquez sur aucun des liens qu'il pourrait contenir ni n'ouvrez de pièce jointe.
En cas de doute (par exemple email se réclamant d'OVH signalant l'échec d'un paiement), ne cliquez pas sur le lien fournit et rendez vous directement sur le site concerné de manière conventionnel afin de vérifier l'information
Si vous pensez être victime d’une tentative de phishing, n’hésitez pas à en informer l’entreprise dont les fraudeurs ont usurpé l’identité mais aussi la plateforme PHAROS répertoriant les problèmes rencontrés par les internautes en la matière.
Le phishing est également utilisé pour implanter divers virus (malwares) dans votre système d'information. La tendance aujourd'hui est d'utiliser la méthode du phishing (usurpation) pour tenter d'infecter votre réseau informatique avec un ransomware : en très peu de temps, il crypte vos données qui sont « prises en otages et rançonnées » : une somme d'argent vous est demandée en échange de leur décryptage.
Il est impératif de ne jamais cliquer sur un lien hypertexte dans un email qui vous parait frauduleux, ni de télécharger et ouvrir son éventuelle pièce jointe.
En cas de doute, n'hésitez pas à demander conseil à votre prestataire informatique.
Si vous souhaitez en savoir plus, vous pouvez lire l'article de Thomas Gendron sur le site vadesecure.com qui analyse le mécanisme d'infection d'un email frauduleux.