Cours Protection / Leçon 8

Adopter les bons réflexes face au phishing

Difficulté : Facile
OS requis : Windows 7, 8 ou 10.

Généralités sur le phishing

Le phishing est une technique frauduleuse de plus en plus répandue, qui vise à usurper votre identité en tentant de collecter vos données personnelles « sensibles » : numéro de carte bleue, identifiants et mots de passe, carte d’identité numérisée… Même si certains antivirus, comme Bitdefender, luttent désormais contre les attaques de phishing, la meilleure protection… c’est vous ! Découvrez ici les grands principes du phishing et les bons réflexes à avoir pour déjouer une tentative de phishing.

Sommaire

 

  1. Le phishing, comment ça marche ?
  2. Les bonnes pratiques à adopter
  3. Je viens d’être victime de phishing, que faire ?




1. Le phishing, comment ça marche ?

Le phishing (hameçonnage en français) est une technique frauduleuse de plus en plus répandue, qui vise à usurper votre identité en tentant de collecter vos données personnelles sensibles : numéro de carte bleue, identifiants et mots de passe, carte d’identité numérisée… Le phishing est une technique qui vient compléter une liste déjà bien lourde de techniques frauduleuses, souvent appliquées par email.

Aucun logiciel de protection n’est en mesure de vous protéger totalement contre cette technique. C’est pourquoi la seule manière de s’en prémunir est notre comportement. Nous sommes souvent le maillon le plus faible entre les hackers et nos données personnelles !

Les techniques de phishing sont larges mais certaines sont devenues « classiques », comme la tentative de récupération de nos données bancaires sur un site contrefait (mais construit à l’identique du vrai site, et oui, c’est là où l’on se fait avoir !) depuis un email également contrefait. Nous allons voir comment détecter ces emails et sites frauduleux.

2. Phishing : les bonnes pratiques à adopter

Comme nous l’avons vu ci-dessus, en cas de tentative de phishing les fraudeurs vous inviteront à fournir vos données personnelles sur un site contrefait par le bais d’un mail frauduleux. Il s’agit donc de vérifier l’authenticité de ceux-ci.

Mais il y a avant tout une règle de base à adopter.

D’une manière générale, ne donnez jamais vos informations bancaires via un email reçu. Si votre banque ou toute autre entreprise et administration doit le faire, elle vous contactera autrement. Et, de toute façon, à moins qu’elle ai perdu toutes ces données, elle n’a aucune raison de vous les redemander ! Les coordonnées bancaires sont à mettre à jour uniquement sur votre demande, lorsque vous changez de carte bancaire ou de banque. Certains cas existent cependant, par exemple si vous avez effectué un paiement en plusieurs fois, que vous changez de moyen de paiement entre temps sans en avertir le créditeur. On vous contactera alors par téléphone ou par courrier, mais en aucun cas par email. D’une manière générale encore, demandez-vous : « mais pourquoi me demandent-ils mes informations bancaires ? ». C’est ainsi la règle la plus importante à adopter.

Voyons maintenant comment vous pouvez vérifier l’authenticité d’un email et d’un site internet.

Vérifier l’authenticité d’un email

 

  •  Vérifiez la syntaxe et l’orthographe du mail. Un mail bourré de fautes ou qui semble avoir été traduit automatiquement est plus que douteux.
  • Vérifiez l’url du lien contenu dans le mail. Si vous êtes en présence d’un email lié à une tentative de phishing, les hackers vous inciteront à vous rendre sur un site en vous indiquant par exemple que vous devez y mettre à jour vos informations personnelles (banque, administration…). L’email contient donc un lien. Survolez le lien avec votre souris et lisez l’url du lien correspond qui s’affiche en bas de la fenêtre. Si vous constatez que l’adresse url ne correspond pas au site officiel concernée, alors vous êtes face à un email frauduleux.
  • Enfin, si votre email contient une pièce-jointe alors que vous n’attendez aucun document, ne l’ouvrez surtout pas. Il pourrait s’agir d’un logiciel espion, qui va enregistrer tout ce que vous allez taper… Mieux vaut être prévenu.
  • Certains emails de phishing sont détectés et placés dans le dossier « spam » de votre messagerie. Soyez donc vigilant au contenu de ce dossier.

 

Vérifier l’authenticité d’un site

 

Si malgré les éléments suspects qu’un email frauduleux contient, vous vous retrouvez sur un site douteux, voici le comportement à adopter. Si vous n’avez encore donné aucune information personnelle, il n’est pas encore trop tard !

  •  Vérifiez que le site présente une connexion sécurisée : présence du cadenas dans la barre d’adresse, de « https » et non de « http ».
  • Vérifiez l’adresse url du site web concerné. Ouvrez le site officiel que vous avez l’habitude d’utiliser et comparez le nom de domaine (Un email avec un logo de La Poste devrait uniquement vous renvoyer vers laposte.fr, et pas lapostefr.fr). Les sites de phishing sont très bien contrefaits car leur but premier est de vous induire en erreur. Vérifiez le site suspect en saisissant une url officielle. Exemple :

Site officiel : laposte.fr
Cherchez une url officielle du site de La Poste : laposte.fr/particulier/votre-espace/authentification
Exemple de site frauduleux : lapostefr.fr

Testez l’url officielle sur le site qui vous parait suspect, le navigateur affichera alors une page inexistante (ou « erreur 404 ») qui vous confirmera que vous n’êtes pas sur le site officiel : lapostefr.fr/particulier/votre-espace/authentification (= adresse inconnue !)

3. Je viens d’être victime de phishing, que faire ?

Si vous avez transmis vos coordonnées bancaires sur un site internet et que vous venez de vous rendre compte du caractère frauduleux de la démarche, faites immédiatement opposition, car les tentatives d’achats en ligne se feront dans les minutes qui suivent la récupération de vos informations bancaires, les fraudeurs jouant sur le fait que votre carte bancaire risque d’être bloquée d’une minute à l’autre. Contactez ensuite l’entreprise visée afin que celle-ci informe rapidement ces clients que des tentatives de phishing sont en cours.

Vous pouvez également ensuite signaler le site frauduleux sur le site internet du gouvernement Internet Signalement.




En résumé

Appliquez les vérifications vues ci-dessus pour vous prémunir face au phishing. Appliquez également la technique « du bon sens ». Il s’agit de se poser les bonnes questions et de ne pas se précipiter. Par exemple, dans le doute, contactez l’entreprise concernée. D’une manière générale, aucune institution, organisme ou entreprise n’est amenée à vous demander vos coordonnées bancaires par email (en l’occurrence vos informations de carte bleue). Si elles doivent le faire, elles vous contacteront autrement. Pour aller plus loin, lisez aussi mon article sur le cryptojacking, une menace moins dommageable que le phishing mais à ne pas négliger.

Enfin, offrez-vous une protection antivirus complète. La plupart des éditeurs proposent une version de base, voire une version gratuite, mais aussi une version complète, véritable suite logicielle dotée de nombreuses fonctionnalités : protection contre les virus, malwares, ransomwares (demandes de rançons), protection contre le phishing, protection de vos transactions et de votre vie privée, sauvegarde de vos données sensibles dans le cloud… Je vous conseille la protection antivirus Bitdefender Total Security, récompensée par la critique années après années, qui protégera 5 appareils en même temps.

Fin de la leçon 8

Vous savez maintenant vous prémunir face au phishing.




À propos de l'auteur...

À propos de l'auteur...

Thibaut MATHIEU - ASSISTANCE & FORMATION

Initiateur et éditeur de Premiers Clics, je partage mes connaissances sur ce site de cours gratuits en ligne. Vous souhaitez apprendre les bases de l'informatique avec un livre ? Rendez-vous dans la boutique Premiers Clics.

Vous aider à acquérir les bases de l'informatique, ou vous aider à vous perfectionner, telle est mon ambition. Collectivement, il s'agit également d'apporter des outils à celles et ceux qui luttent contre l'illectronisme afin de réduire la fracture numérique et réussir l'inclusion numérique (collectivités, associations, médiateurs). Déjà près de 400 démarches administratives sont en ligne, alors soyez prêts !

Au niveau local, plus précisément sur Dunkerque, j'initie, j'assiste et je dépanne mes clients avec DK Dépann. Des expériences d'assistance et de dépannage qui enrichissent mon point de vue de formateur. Un vrai plus !

Me suivre sur Facebook ou Twitter :