Protection / Leçon 8 : Adopter les bons comportements face au phishing

Difficulté : Facile
OS requis : Windows 7, 8 ou 10.

Généralités sur le phising

Le phishing est une technique frauduleuse de plus en plus répandue, qui vise à usurper votre identité en tentant de collecter vos données personnelles « sensibles » : numéro de carte bleue, identifiants et mots de passe, carte d’identité numérisée…

Sommaire

 

  1. Définition du phishing
  2. Les bonnes pratiques à adopter
  3. Je viens d’être victime de phishing, que faire ?

 

1. Définition du phishing

 

Le phishing (hameçonnage en français) est une technique frauduleuse de plus en plus répandue, qui vise à usurper votre identité en tentant de collecter vos données personnelles sensibles : numéro de carte bleue, identifiants et mots de passe, carte d’identité numérisée… Le phishing est une technique qui vient compléter une liste déjà bien lourde de techniques frauduleuses, souvent appliquées par email.

Aucun logiciel de protection n’est en mesure de vous protéger totalement contre cette technique. C’est pourquoi la seule manière de s’en prémunir est notre comportement. Nous sommes souvent le maillon le plus faible entre les hackers et nos données personnelles !

Les techniques de phishing sont larges mais certaines sont devenues « classiques », comme la tentative de récupération de nos données bancaires sur un site contrefait (mais construit à l’identique du vrai site, et oui, c’est là où l’on se fait avoir !) depuis un email également contrefait. Nous allons voir comment détecter ces emails et sites frauduleux.

 

2. Phishing : les bonnes pratiques à adopter

 

Comme nous l’avons vu ci-dessus, en cas de tentative de phishing les fraudeurs vous inviteront à fournir vos données personnelles sur un site contrefait par le bais d’un mail frauduleux. Il s’agit donc de vérifier l’authenticité de ceux-ci.

Mais il y a avant tout une règle de base à adopter.

D’une manière générale, ne donnez jamais vos informations bancaires via un email reçu. Si votre banque ou toute autre entreprise et administration doit le faire, elle vous contactera autrement. Et, de toute façon, à moins qu’elle ai perdu toutes ces données, elle n’a aucune raison de vous les redemander ! Les coordonnées bancaires sont à mettre à jour uniquement sur votre demande, lorsque vous changez de carte bancaire ou de banque. Un cas existe cependant, si vous avez par exemple effectué un paiement en plusieurs fois et que vous changez de moyen de paiement entre temps. On vous contactera alors par téléphone ou par courrier, mais en cas par email. D’une manière générale encore, demandez-vous : « mais pourquoi me demandent-ils mes informations bancaires ? ». C’est ainsi la règle la plus importante à adopter.

Voyons maintenant comment vous pouvez vérifier l’authenticité d’un email et d’un site internet.

Vérifier l’authenticité d’un email

 

  •  Vérifiez la syntaxe et l’orthographe du mail. Un mail bourré de fautes ou qui semble avoir été traduit automatiquement est plus que douteux.
  • Vérifiez l’url du lien contenu dans le mail. Si vous êtes en présence d’un email lié à une tentative de phishing, les hackers vous inciteront à vous rendre sur un site en vous indiquant par exemple que vous devez y mettre à jour vos informations personnelles (banque, administration…). L’email contient donc un lien. Survolez le lien avec votre souris et lisez l’url du lien correspond qui s’affiche en bas de la fenêtre. Si vous constatez que l’adresse url ne correspond pas au site officiel concernée, alors vous êtes face à un email frauduleux.
  • Enfin, si votre email contient une pièce-jointe alors que vous n’attendez aucun document, ne l’ouvrez surtout pas. Il pourrait s’agir d’un logiciel espion, qui va enregistrer tout ce que vous allez taper… Mieux vaut être prévenu.
  • Certains emails de phishing sont détectés et placés dans le dossier « spam » de votre messagerie. Soyez donc vigilant au contenu de ce dossier.

 

Vérifier l’authenticité d’un site

 

Si malgré les éléments suspects qu’un email frauduleux contient, vous vous retrouvez sur un site douteux, voici le comportement à adopter. Si vous n’avez encore donné aucune information personnelle, il n’est pas encore trop tard !

  •  Vérifiez que le site présente une connexion sécurisée : présence du cadenas dans la barre d’adresse, de « https » et non de « http ».
  • Vérifiez l’adresse url du site web concerné. Ouvrez le site officiel que vous avez l’habitude d’utiliser et comparez le nom de domaine (Un email avec un logo de La Poste devrait uniquement vous renvoyer vers laposte.fr, et pas lapostefr.fr). Les sites de phishing sont très bien contrefaits car leur but premier est de vous induire en erreur. Vérifiez le site suspect en saisissant une url officielle. Exemple :

Site officiel : laposte.fr
Cherchez une url officielle du site de La Poste : laposte.fr/particulier/votre-espace/authentification
Exemple de site frauduleux : lapostefr.fr
Testez l’url officielle sur le site qui vous parait suspect, le navigateur affichera alors une page inexistante (ou « erreur 404 ») qui vous confirmera que vous n’êtes pas sur le site officiel : lapostefr.fr/particulier/votre-espace/authentification (= adresse inconnue !)

 

En résumé


Adoptez donc ces vérifications pour vous prémunir face au phishing, et appliquez la technique « du bon sens ». 
Il s’agit de se poser les bonnes questions et de ne pas se précipiter. Par exemple, dans le doute, contactez l’entreprise officielle !


3. Je viens d’être victime de phishing, que faire ?

 

Si vous avez transmis vos coordonnées bancaires sur un site internet et que vous venez de vous rendre compte du caractère frauduleux de la démarche, faites immédiatement opposition, car les tentatives d’achats en ligne se feront dans les minutes qui suivent, les fraudeurs jouant sur le fait que votre carte bancaire risque d’être bloquée d’une minute à l’autre.

Contactez ensuite l’entreprise visée afin que celle-ci informe rapidement ces clients que des tentatives de phising sont en cours.

Vous pouvez également ensuite signaler le site frauduleux sur le site internet du gouvernement Internet Signalement.

Fin de la leçon 8

Vous savez maintenant vous prémunir face au phishing.




À propos de l'auteur...

À propos de l'auteur...

Thibaut MATHIEU - WEB / DIGITAL / E-LEARNING

Initiateur et éditeur de Premiers Clics, je vous propose de partager mes connaissances et mon expérience à travers ce service. Vous aider à acquérir les bases de l'informatique, ou à vous perfectionner, telle est mon ambition. Collectivement, il s'agit également d'apporter des outils à celles et ceux qui luttent contre l'illectronisme afin de réduire la fracture numérique et réussir l'inclusion numérique (collectivités, associations, médiateurs). Déjà près de 400 démarches administratives sont en ligne : soyez prêts ! 

Premiers Clics est le fruit d'une initiative personnelle, citoyenne, au service de tous. Premiers Clics n'a pas vocation à animer des ateliers informatique localement, mais propose des ressources pour les particuliers, les collectivités, les associations et les médiateurs numériques.