Qu’est-ce que le phishing ?

Qu’est-ce qu’une attaque de phishing ?

Le phishing est une arnaque en ligne dans laquelle des cybercriminels se font passer pour des acteurs de confiance, pour inciter leurs victimes à partager leurs données sensibles ou à installer des malwares.

Comme son nom l’indique, le phishing (déformation du mot fishing en anglais, soit l’acte de pêcher) consiste à lancer un appât et à attendre que les victimes mordent à l’hameçon. Le plus souvent, cet appât se présente sous forme d’emails malveillants qui semblent provenir d’expéditeurs de confiance. Ces messages contiennent un lien qui a l’air de vous rediriger vers le site. Et une fois que vous renseignez vos données sensibles, les cybercriminels peuvent les collecter.

Il peut s’agir d’informations personnelles potentiellement utiles comme vos identifiants (email et mot de passe), vos données financières (numéro de carte, données bancaires) ou même vos données personnelles (date de naissance, adresse postale ou numéro de sécurité sociale). Plus qu’une attaque technique, le phishing est considéré comme une attaque d’ingénierie sociale, car sa réussite repose sur l’erreur humaine, plutôt que sur le matériel ou les logiciels des victimes.

Comment fonctionnent les attaques de phishing ?

Les attaques de phishing de base poussent leurs cibles à entrer leurs données personnelles ou d’autres informations à caractère confidentiel. Avec plus de 360 milliards de courriers électroniques envoyés chaque jour, l’email s’impose comme le canal idéal pour les cybercriminels. Si seulement 1 % de ces emails envoyés sont des arnaques, et que sur ces 1 %, seulement 1 % parviennent à leurs fins, cela représente plus de 36 millions d’attaques réussies PAR JOUR. Et malheureusement, le nombre d’arnaques envoyées quotidiennement dépasse largement les 1 %... Mais nous sommes là pour vous aider à faire en sorte que ces tentatives ne portent pas leurs fruits.

Une attaque de phishing peut cibler des utilisateurs précis, par exemple les personnes utilisant un produit spécifique, ou viser plus large et indistinctement, via de faux concours ou appels à l’action urgents. Dans les deux cas, les victimes devront renseigner leur nom, leur adresse électronique et, parfois, leur mot de passe et leurs informations de carte bancaire. D’autres fois, les emails de phishing contiennent des pièces jointes malveillantes que les destinataires sont invités à télécharger.

Comment les cybercriminels trouvent-ils les adresses email de leurs victimes ?

Les hackers peuvent s’appuyer sur une multitude d’approches pour trouver votre adresse email et identifier les services que vous utilisez. En voici quelques-unes :

• Via une recherche web incluant le caractère « @ » : les spammeurs et les cybercriminels utilisent des outils avancés pour parcourir le Web et collecter des adresses email. Si vous avez déjà publié votre adresse en ligne, ils la trouveront facilement.

• Via des outils automatisés : les cybercriminels utilisent également des logiciels capables de générer des noms d’utilisateurs fréquents et de les associer à des noms de domaine populaires. Ces outils sont très similaires aux applications utilisées pour le piratage des mots de passe.

• Via des listes achetées : les spammeurs peuvent aussi acheter des listes d’adresses, légalement ou illégalement. Aussi, nous vous invitons à lire attentivement les politiques de confidentialité des sites qui vous demandent de fournir votre adresse. Le RGPD vous protège, mais vous devez aussi prendre des mesures de votre côté.

• Via des failles techniques : les hackers peuvent également identifier les méthodes employées par différentes marques reconnaissables (de livraison, de vente en ligne, de services publics...) puis exploiter des vulnérabilités. Par exemple, dans le cas des services d’emailing, les arnaqueurs peuvent consulter vos enregistrements DNS publics (SPF, CNAME, TXT) pour essayer de trouver le service que vous utilisez.

Maintenant que vous connaissez les bases et les principes du phishing, voyons ensemble les types d’attaques les plus fréquents.

Quels sont les différents types d’attaques de phishing ?

Il est évident que la grande majorité des utilisateurs ont déjà reçu des emails de phishing. Mais face aux nombreux types d’attaques utilisés et à la sophistication croissante des cybercriminels, il faut s’informer sur l’évolution des méthodes employées pour pouvoir les reconnaître et éviter de tomber dans le piège.

Vous trouverez ici la liste des attaques les plus fréquemment utilisées aujourd’hui. Leurs principales différences résident dans la méthode utilisée et dans le public ciblé.

Spray and pray et spear-phishing

Spray and pray

L’approche « Spray and pray » est assez simple : elle consiste simplement à envoyer un courrier électronique à des millions d’adresses à la fois. Ces messages cherchent généralement à générer un sentiment d’urgence, en se faisant par exemple passer pour votre banque ou un service populaire.

Selon les compétences techniques des cybercriminels, il arrive que ces emails ne contiennent même pas de liens vers des pages Web malveillantes : les utilisateurs sont simplement invités à répondre au message en fournissant leurs informations confidentielles. Ces attaques sont généralement inefficaces, c’est pourquoi elles sont envoyées à un large nombre de destinataires. Il suffit de quelques victimes pour que les cybercriminels considèrent leur attaque comme une réussite.

Spear-phishing

Le spear-phishing, ou harponnage, est une méthode plus avancée. Il cible des groupes spécifiques avec un message plus personnalisé. Les hackeurs peuvent par exemple se concentrer sur les clients d’une marque donnée et créer un email à l’image de cette marque. Ils peuvent cibler des organisations, services ou départements au sein de ces organisations, ou même des individus précis pour maximiser leurs chances de réussite et la quantité d’informations collectées. Il s'agit des cyber-attaques les plus sérieuses.

En se faisant passer pour des messages légitimes, les attaques de spear-phishing vont vous faire communiquer des mots de passe, divulguer des informations confidentielles ou transférer de l’argent. Ici, les cybercriminels mettent tout en œuvre en reproduisant le style des emails originaux et en vous redirigeant vers une page Web réaliste. Comme ces attaques sont bien planifiées, elles sont beaucoup plus efficaces.

Méthodes de phishing

Les méthodes utilisées dépendent des victimes ciblées. Les attaques de type « spray and pray » sont moins complexes à mettre en œuvre que les tentatives de harponnage. En outre, le phishing a évolué : aujourd’hui, les méthodes d’attaque ne se limitent plus à l’email, mais touchent aussi les sites Web, les réseaux sociaux et les applications de messagerie.

Clone phishing

Le clone phishing consiste à envoyer des emails quasiment identiques aux messages légitimes que vous avez déjà reçus par le passé. Par exemple, help@appple.com au lieu de help@apple.com (vous remarquerez les 3 « p » à Apple).

Les seules choses qui différencient l’email original du message frauduleux sont les liens et/ou les pièces jointes modifiés pour rediriger les destinataires vers des sites malveillants ou leur faire ouvrir des logiciels dangereux. Comme l’email ressemble beaucoup au message original, ces attaques ont plus de chances de réussir.

Whaling

Les attaques de whaling (chasse à la baleine – vous devez avoir constaté que les termes liés au phishing reprennent beaucoup de jargon de la pêche) ciblent un groupe restreint de personnes influentes, comme les membres du conseil d’administration ou les membres des équipes techniques ou financières. Ces messages se font passer pour des emails légitimes provenant d’une source de confiance, comme le PDG de la société.

Le whaling est plus compliqué à mettre en œuvre, puisque les cybercriminels doivent identifier précisément leurs cibles et usurper une identité de manière convaincante. Mais ces efforts peuvent s’avérer payants : les PDG et les dirigeants ont beaucoup plus d’informations que les autres salariés. Certaines solutions de messagerie permettent de limiter ces risques en associant une photo de profil aux adresses email internes des collaborateurs, ou grâce à d’autres fonctionnalités comme les listes blanches.

Business Email Compromise (BEC) / Usurpation d’emails

Les attaques BEC se présentent généralement sous forme de demandes « urgentes » de la part d’une marque ou d’un cadre supérieur travaillant pour ladite marque. Ici, les cybercriminels misent sur l’erreur humaine en essayant de persuader les collaborateurs ou utilisateurs de transmettre leurs informations de compte bancaire ou de faire un don. L’usurpation d’identité d’entreprises de services est très commune. Voici un exemple d’email de phishing dans lequel le cybercriminel se fait passer pour WordPress :

En cliquant sur l’un des liens du message, vous êtes redirigé·e vers une page frauduleuse qui collecte vos informations.

Sites Web

Les faux sites Web sont conçus pour paraître authentiques et légitimes. La plupart du temps, vous serez redirigé·e vers une page d’authentification ou de paiement, car elles sont très faciles à mettre en place et permettent de collecter efficacement vos données personnelles.

Pharming / Empoisonnement du cache DNS

Lorsqu'ils effectuent des tentatives de pharming, les cybercriminels créent des sites frauduleux se faisant passer pour des sites légitimes, et exploiter des vulnérabilités DNS pour affecter l’URL à l’adresse IP. Cela leur permet ainsi de rediriger le trafic du site légitime vers leur site malveillant. Ce type d’attaque est probablement le plus dangereux, car les utilisateurs finaux n’ont aucun contrôle sur les enregistrements DNS : il est donc plus difficile de se protéger contre ces tentatives.

Typosquatting / URL interceptées

Plus simple que les attaques de pharming, le typosquatting ne nécessite pas l’usurpation complète du domaine ciblé. L’URL paraît légitime, mais elle n’est pas tout à fait identique à l’adresse originale. Ici, les cybercriminels misent sur l’inattention des destinataires en utilisant des URL ressemblant à celles de sites légitimes à ceci prêt qu’elles comporteront des fautes de frappe (intentionnelles). Ils peuvent par exemple :

• Inclure des lettres se trouvant juste à côté de la bonne lettre sur le clavier ;

• Inverser deux lettres

• Ajouter une lettre

• Substituer des lettres ayant une prononciation similaire, comme « n » et « m ».

Clickjacking / Superposition d’iframes

Avec ce type d’attaque, les cybercriminels superposent des contenus cliquables sur des boutons légitimes. Par exemple, un utilisateur pensant cliquer sur le bouton « Valider ma commande » téléchargera malencontreusement un malware.

Réseaux sociaux

Les réseaux sociaux ne sont pas épargnés par le phishing. Imaginez : vous recevez un message incitatif, avec un lien à la fin. Quand vous cliquez dessus, vous êtes redirigé·e vers la page de connexion de Facebook. Étrange, non ? Malheureusement, certains utilisateurs ne font pas assez attention ou pensent qu’il s’agit d’un simple bug, et saisissent leurs identifiants. Ce qu’ils ne savent pas, c’est que cette page n’est pas la page Facebook, mais une page frauduleuse qui vient de transmettre leurs identifiants à des cybercriminels...

De nouvelles attaques voient le jour sur les réseaux sociaux, et certaines visent le long terme. Par exemple, les cybercriminels peuvent usurper l’identité de quelqu’un d’autre. Au fil du temps, ils vous envoient des messages légitimes entrecoupés de messages de phishing pour collecter progressivement vos informations personnelles.

Phishing par SMS et sur mobile

À l’heure où presque tout le monde dispose d’un smartphone, nous sommes de plus en plus exposés aux attaques de phishing par SMS ou via d’autres applications de messagerie. Les attaques de phishing par SMS reposent sur les mêmes principes que les emails frauduleux, en présentant des contenus qui incitent les victimes à cliquer sur un lien malveillant.

Ces SMS sont courts et souvent pertinents, pour attirer plus facilement l’attention du destinataire et faire en sorte qu’il réagisse sans se poser de questions. Ces attaques sont plus difficiles à identifier, car les SMS sont en texte brut ; il est très facile d’usurper les numéros de téléphone. Lorsque l’utilisateur clique sur le lien du SMS, l’attaque suit le même processus que le phishing par email.

Comment reconnaître les tentatives de phishing ?

Si certaines campagnes de phishing misent sur l’authenticité pour ne pas éveiller les soupçons des victimes, vous pouvez facilement identifier les risques en veillant sur divers éléments clés.

L’adresse de l’expéditeur

Vérifiez si vous avez déjà reçu des messages de la part de cet expéditeur. Si vous avez affaire à un cybercriminel rusé, il fera tout son possible pour déguiser l’adresse : s’il change juste une seule lettre, vous n’y verrez que du feu en survolant l’email. C’est pourquoi vous devez être particulièrement attentif·ve.

Les erreurs dans les noms de domaine

Si vous recevez un email qui semble provenir d’une adresse officielle (par exemple support@mailjet-com.com), vérifiez qu’il s’agit bien du domaine de messagerie utilisé par l’entreprise. Même si le message semble légitime, ne contient pas de faute d'orthographe et utilise le formatage et les visuels officiels de la marque, il peut très bien être envoyé par une adresse frauduleuse.

Dans cette situation, vérifiez que le domaine est identique aux communications habituelles (par exemple, y a-t-il un suffixe après le nom de domaine ?). Mais surtout, rappelez-vous que la majorité des marques de confiance ne vous demanderont jamais de transmettre vos informations personnelles par email.

Les fautes de grammaire et d’orthographe

Beaucoup d’attaques de phishing manquent de sophistication, en particulier dans le cas des tentatives de « Spray and pray », et peuvent comporter des fautes de grammaire et d’orthographe. Les messages provenant de grandes entreprises sont généralement exempts de fautes, donc le manque de qualité linguistique doit vous alerter quant à la légitimité de l’email que vous avez reçu.

Les pièces jointes et les liens suspects

Souvent, les emails de phishing invitent l’utilisateur à cliquer sur un lien qui le redirige vers un site malveillant. Cette URL aura l’air légitime, mais lisez-la attentivement pour identifier d’éventuelles erreurs (lettres manquantes ou inversées, par exemple).

Si le message vous semble étrange, prenez un moment pour examiner le lien, en passant votre curseur dessus pour voir si l’adresse de redirection est différente de l’adresse annoncée. Pour en avoir le cœur net, vous pouvez toujours contacter la marque via son adresse de contact ou par téléphone.

Le sentiment d’urgence

Beaucoup de messages de phishing vous signalent des problèmes au niveau de votre compte ou des transactions que vous avez supposément faites. L’objectif est de vous faire réagir immédiatement, sans réfléchir. Dans ces situations, prenez bien le temps de vérifier les liens dans le message et dans l’adresse de l’expéditeur.

Les messages trop beaux pour être vrais

Par ailleurs, la grande majorité des emails annonçant que vous avez gagné un chèque cadeau ou remporté un prix sont des tentatives de phishing. Ces arnaques nécessiteront des efforts supplémentaires de votre part, outre la saisie de vos informations personnelles, donc faites preuve de vigilance et surveillez bien les éléments dont nous venons de parler. Et si vous avez vraiment gagné quelque chose, tant mieux pour vous ! Pensez juste à contacter séparément l’organisation qui vous a théoriquement fait parvenir le message pour vous assurer qu’il ne s’agit pas de fraude.

Que faire si vous avez été victime d’une attaque de phishing ?

Si vous avez subi une attaque de phishing, commencez par changer tous vos mots de passe, sans plus attendre. Il est évidemment recommandé de changer le mot de passe du service visé par le hackeur, mais il est aussi utile de faire de même pour tous les autres. Vous n’imaginez pas tout ce que les cybercriminels peuvent faire avec un seul de vos identifiants. Optez pour un gestionnaire de mots de passe pour limiter les risques, et assurez-vous que votre antivirus dispose d’une fonctionnalité de navigation Web sécurisée. N’oubliez pas de la mettre à jour régulièrement.

Quand vous identifiez une tentative de phishing visant un service particulier, contactez l’entreprise concernée pour lui signaler cette activité frauduleuse et suivez les éventuels conseils qu’elle vous donne.

Comment éviter les tentatives de phishing ?

Voici quelques mesures préventives qui vous aideront à éviter ou à limiter les risques de phishing :

• Utilisez vos propres liens : si vous utilisez certains sites plusieurs fois par jour ou par semaine, mettez-les en favoris. C’est la seule solution pour être sûr·e que vous utilisez l'adresse du site officiel.

• Utilisez des extensions anti-phishing et anti-spam pour votre navigateur : installez un outil capable d’identifier les sites malveillants pour vous assurer que vous utilisez des sites légitimes.

• Utilisez les fonctionnalités de votre antivirus : les antivirus peuvent analyser les fichiers et identifier les éventuels malwares qu’ils contiennent. Vous pouvez donc les contrôler avant de les ouvrir, pour éviter tout risque potentiel.

• Méfiez-vous de tout : le web reste un Far West, malgré ses décennies d’existence. Développez une culture de sécurité renforcée dans votre entreprise. Évidemment, certains aspects seront plus difficiles à vérifier et nécessiteront des compétences techniques, mais les mesures de base sont à la portée de tous.

• Formez vos équipes : si vous êtes spécialiste de la sécurité, formez régulièrement vos collaborateurs pour leur apprendre à reconnaître les attaques de phishing et leur expliquer comment réagir.

• Testez l’efficacité de vos formations : avec des simulations d’attaques de phishing, vous pourrez voir si vos sessions de sensibilisation sont efficaces, et identifier les collaborateurs qui devraient suivre des formations plus approfondies.

• Utilisez l’authentification à deux facteurs autant que possible : avec l’authentification à deux facteurs, les cybercriminels qui parviennent à dérober l’un de vos identifiants ne pourront pas accéder à vos informations sans le deuxième dispositif d’authentification (SMS, application, token matériel...)

Pour finir

Le phishing n’est pas une nouveauté. Malheureusement, il représente toujours une menace sérieuse, et ce pour deux raisons : il s’agit d’une technique à la fois simple et efficace. Si un expéditeur que vous ne connaissez pas ou une marque que vous n’utilisez pas vous envoie un message ou un email suspect, ne cliquez surtout pas sur le lien. N’allez pas donner vos informations confidentielles à des personnes mal intentionnées.

Sur Internet, la prudence est de mise face à la cybermalveillance. Utilisez des mesures préventives et veillez à votre sécurité quand vous faites des achats en ligne ou quand vous vous authentifiez sur un site. Une fois que vous aurez appris à reconnaître les attaques de phishing, amusez-vous à chercher les tentatives les plus crédibles et les plus évidentes.

Vous souhaitez aller plus loin ? Consultez le site cybermalveillance.gouv.fr qui informe le public sur les menaces numériques et les moyens de s'en protéger, ou encore le site internet-signalement.gouv.fr qui recense des conseils de spécialistes pour mieux vous protéger et protéger vos proches dans leur utilisation de l'Internet.

*** Cet article est une version mise à jour de l’article "Définition : qu’est-ce que le phishing ?", publié sur le blog Mailjet le 6 décembre 2020 par Gabriela Gavrailova.