Le phishing, également appelé hameçonnage, est une escroquerie très répandue sur le web. Le principe est simple: l’escroc imite l’email d’une grande société ou d’une administration et l’envoie à des millions d’internautes afin de récupérer leurs coordonnées bancaires. Se faisant passer pour votre banque, votre fournisseur d’accès à internet, EDF ou même le fisc, il vous demandera soit de cliquer sur un lien, soit de renseigner directement vos informations personnelles (coordonnées bancaires, accès Paypal, login, mot de passe, etc…) prétextant un problème quelconque pour vous convaincre d’avoir affaire à une société « officielle ». Si de prime abord, ces emails semblent authentiques, il est pourtant possible de les identifier et d’éviter l’arnaque. Voici comment faire.
Comment détecter les tentatives de phishing ?
Dans la plupart des cas, les escrocs se font passer pour la banque du client en lui demandant de se connecter sur un site web apparemment identique au site officiel de la banque, avec le même logo, la même mise en page, afin de réactiver son compte. Pensant recevoir un email officiel de sa banque, l’internaute entre ses identifiants sur ce site en apparence authentique, et fournit ainsi au pirate son login et son mot de passe. L’escroc n’a ensuite plus qu’à se connecter tranquillement au compte de sa victime pour virer de l’argent (généralement plusieurs centaines de dollars) vers un compte à l’étranger ou pour effectuer des achats sur internet avec son numéro de carte bancaire. Dans certains cas, les pirates vont même jusqu’à usurper l’identité de leur victime sur les réseaux sociaux. Quant au faux site créé par le pirate, il est généralement détruit après quelques jours.
L’ email envoyé par l’escroc utilise généralement une URL qui semble être celle de la société officielle. Mais en y regardant de plus près, on s’aperçoit que cette URL comporte soit une faute d’orthographe, soit une petite variation du nom (un tiret, un point ou un autre signe de ponctuation placé à un endroit incongru dans l’adresse). Vérifiez si l’URL vers laquelle on vous renvoie est bien à la lettre près la même que celle qui apparaît dans l’email. Si vous avez un doute, n’hésitez pas à contacter l’expéditeur officiel du message.
Exemple: vous recevez un email vous invitant à modifier vos coordonnées bancaires sur fr-service-bnpparibas.com, alors que l’adresse officielle est www.bnpparibas.com. Le sous-domaine étant de la forme sous-domaine.domaine.tld, l’adresse officielle aurait dû être du type fr-service.bnpparibas.com. Nous avons donc affaire ici à un nom de domaine enregistré par des fraudeurs. Pour limiter les risques, ne cliquez jamais sur un lien inclus dans un email vous demandant de vous connecter afin de réactiver votre compte bancaire ou de réaliser de modifications certaines informations de ce compte.
Il se peut que la tentative de phishing soit plus simple à déceler. Si vous recevez un email d’une société dont vous n’êtes pas client vous demandant de renseigner ou modifier certaines de vos informations personnelles, alors supprimez-le immédiatement. Si vous recevez un email vous demandant de modifier votre mot de passe alors que vous n’en avez pas fait la demande au préalable auprès du site en question, supprimez-le. Les emails de phishing comportent souvent des fautes d’orthographe ou des erreurs de syntaxe. Si vous recevez un email de ce type, soyez sûrs qu’il s’agit d’une tentative d’hameçonnage. Ne répondez jamais à ces messages. Passez votre souris sur le lien inclus dans l’email sans cliquer dessus. Si l’adresse internet affichée ne correspond pas au nom de la société qui envoie le mail, c’est encore une arnaque. Votre antivirus pourra parfois déceler les tentatives de phishing et vous affichera «site Web de phishing signalé» ou «ce site est soupçonné de phishing». Vous savez ce qu’il vous reste à faire ! Gardez bien en tête qu’aucune société officielle ne vous demandera jamais de donner votre mot de passe ou vos coordonnées bancaires par email. Les centres des impôts non plus, donc soyez vigilants.
Comment se protéger contre le phishing ?
Dans le doute, contactez l’expéditeur du message en passant par le site officiel sur lequel vous avez l’habitude de vous connecter pour déterminer s’il est bien l’expéditeur du message et s’il est effectivement nécessaire de réactiver un compte ou de procéder à une modification de données. Evitez d’utiliser les moteurs de recherche pour accéder au site internet de votre banque et préférez rentrer directement l’adresse dans votre navigateur. Les pirates arrivent parfois à faire apparaître leurs sites frauduleux dans les résultats des moteurs de recherche. Vous pouvez également vous rendre sur le site Secuser (secuser.com) qui recense de nombreuses arnaques courantes sur internet.
Si vous avez besoin de rentrer des informations personnelles telles que vos coordonnées bancaires ou vos identifiants, vérifiez toujours que vous le faites sur un site sécurisé, dont l’adresse commence par HTTPS et non pas HTTP. Sur les sites sécurisés, vous verrez la présence d’un petit cadenas dans votre navigateur à côté de l’adresse.
Ne cliquez jamais sur les liens contenus dans des emails dont vous ne connaissez pas la provenance. De même, ne téléchargez jamais les pièces jointes contenus dans ces emails. Ces fichiers peuvent infecter votre ordinateur avec un virus ou un logiciel espion qui pourra enregistrer toutes les touches que vous utilisez, et ainsi récupérer tous vos identifiants, coordonnées bancaires, etc… Pour plus de tranquillité, vous pouvez utiliser le logiciel de messagerie Outlook qui bloque automatiquement certains fichiers joints susceptibles de contaminer l’ordinateur.
La plupart des navigateurs proposent désormais une fonctionnalité d’avertissement contre les tentatives de phishing qui peut s’avérer utile même si insuffisante. Certaines solutions de sécurité (antivirus, anti-spam) disposent de fonctions permettant de se protéger contre le phishing, qui, couplées au filtre de votre navigateur, permettront de réduire fortement les risques. Il est possible de traquer l’auteur d’un site frauduleux en interrogeant les données Whois, qui contiennent généralement le nom et les informations personnelles du propriétaire du site. Les fraudeurs n’étant pas stupides, il est peu probable d’y trouver leurs véritables informations personnelles. Cependant, le Whois permet de déceler la tentative d’arnaque. Pour cela, rendez-vous sur http://whois.domaintools.com/ et copiez-collez l’adresse du site suspect. Comparez ensuite le résultat avec le whois du site officiel, et vous pourrez constater que les deux sites n’ont rien à voir.
Comment dénoncer une tentative de phishing ?
En vous connectant sur www.signal-spam.fr, vous pourrez télécharger gratuitement une extension pour votre logiciel de messagerie. Cette extension fera apparaître un bouton « Signal Spam » dans votre messagerie, qui vous permettra de signaler les emails suspects. Les alertes envoyées via Signal Spam sont ensuite transmises à la CNIL, qui s’occupe des enquêtes et des contrôles. Les messageries de type Yahoo, Gmail ou Hotmail (aujourd’hui appelée Live) fournissent des formulaires de signalement pour reporter les emails frauduleux. Vous pouvez également signaler les tentatives de phishing sur la plateforme « PHAROS », sur le site www.internet-signalement.gouv.fr. Après vérification, votre signalement sera transmis à l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC). S’il s’avère que la tentative de phishing provient de l’étranger, alors le signalement est transmis à Interpol.
Notez finalement qu’en France, de manière générale, vous pouvez ignorer tous les mails de banques ou d’administrations vous demandant de vous connecter à quelque chose de spécial, si vous êtes un individu. Dans les rares cas où une banque ou administration vous le demanderait, un simple mail n’a aucune valeur juridique et il doit être confirmé par un courrier donc dans le doute, ne cliquez jamais.
