Accueil Cybersécurité Phishing : comment s’en protéger ?

Phishing : comment s’en protéger ?

Qui, aujourd’hui, ne connaît pas le terme phishing (ou hameçonnage). C’est une technique utilisée par des cyberattaquants pour usurper l’identité d’une personne ou d’une entité, afin de tromper le destinataire et de pouvoir ainsi lui extorquer différents éléments (coordonnées bancaires, mots de passe, éléments d’identité, etc.). Brian Nicolas-Nelson, consultant en sécurité opérationnelle de Synetis, nous explique comment s’en protéger.

Bien que connues, les campagnes de phishing restent une menace sérieuse pour les entreprises. Des habitudes peuvent être prises par les utilisateurs – lors de la réception d’un email, afin d’éviter ou tout du moins réduire le risque d’être compromis par une telle campagne. La sécurité de manière générale nécessite une attention de tous les jours et le phishing n’en fait pas exception.

En effet, selon une récente enquête, 57 % des professionnels ont déclaré que leurs entreprises ont été victimes d’une attaque de phishing fructueuse en 2020. Ces attaques ont mené, dans la majorité des cas, à une fuite de données, une compromission de comptes ou d’identifiants de connexion, voire même, à l’infection par un ransomware.

Voici donc différentes astuces qui vous permettront de détecter, dans une bonne partie des cas, un mail frauduleux.

Les fautes d’orthographe et le style d’écriture

Manière très connue de détecter des mails frauduleux, les fautes d’orthographe deviennent de moins en moins présentes dans les campagnes de phishing, les attaquants faisant dorénavant particulièrement attention à cet aspect. Bien entendu, il reste toujours des hackers ne soignant pas autant leur écriture, mais ils sont une minorité de nos jours, les utilisateurs étant bien sensibilisés sur ce point-là – base de toutes les sensibilisations sur le sujet ces dix dernières années.

Néanmoins, ce n’est pas pour autant qu’il n’est plus possible de détecter des e-mails frauduleux par la manière dont ils sont écrits. En effet, il reste possible d’axer son attention sur d’autres points comme l’utilisation du tutoiement et/ou vouvoiement. Dans de nombreuses entreprises, le tutoiement ou le vouvoiement peut être un élément présent dans le cadre professionnel – et cela de façon très marquée. Ainsi, une personne qui utiliserait habituellement du tutoiement et qui d’un seul coup, vous vouvoierait dans un email, devrait attirer votre attention. Cela fonctionne naturellement dans le sens inverse. C’est une particularité du français que l’on trouvera plus difficilement d’en d’autres langues, tel que l’anglais.

Le niveau de langage est également un nouveau point d’attention. Au même titre que le tutoiement/vouvoiement, le niveau de langage de l’e-mail est aussi important. Effectivement, un e-mail du service des impôts ou de la CAF, qui aurait un langage trop ou trop peu soutenu, doit également lever une alerte. Cela apparaît comme assez compliqué à déceler, mais dans certains cas, cela peut être assez visible, comme lors d’arnaque au président – technique de spear-phishing (visant une personne en particulier).

Les sujets et objets de l’e-mail

Le phishing peut prendre bien des formes et des visages mais l’objectif de l’attaquant reste le même : obtenir de la donnée ou vous faire télécharger un fichier. Il faut donc d’autant plus faire attention à un e-mail, quand ce dernier contient un fichier en pièce-jointe, une demande de virement, de paiement ou tout autre élément bancaire, une demande d’authentification sur une application extérieure (changer de mot de passe, mise à jour d’une information, nouveau message reçus…), tout mail se targuant d’être urgent ou encore n’importe quelle promesse de dons, de gains ou d’éléments beaucoup trop beaux pour être vrai.

En effet, les attaquants jouent notamment sur la peur et l’urgence. Une personne qui a peur de voir son compte piraté, par exemple, verra son attention réduite et ne fera ainsi que très peu attention aux détails tels que l’adresse de l’envoyeur ou l’URL utilisée. Il est bien compréhensible qu’une demande de virement faite par le président de l’entreprise n’est pas quelque chose que l’on souhaite faire attendre. Néanmoins, dans un cas comme dans l’autre, une vérification rapide sur l’email ou en contactant la personne par un autre biais, permet de s’assurer que tout va bien. Personne ne vous en voudra d’être trop prudent. En sécurité, il vaut mieux l’être trop, que pas assez !

Le domaine et l’url

Une autre habitude à prendre est la vérification du domaine de l’expéditeur. Cela permet, dans une moindre mesure, de s’assurer de la fiabilité du domaine d’envoi. L’une des techniques les plus utilisées par les attaquants étant de prendre des noms de domaines très ressemblants, afin de tromper le destinataire. On aura, par exemple, au lieu de ne-pas-repondre@dgfip.finances.gouv.fr (adresse mail utilisée pour les mails des impôts) : ne-pas-repondre@dgfip-finances.gouv.fr, ne-pas-repondre@dgfip-finances-gouv.fr, ne-pas-repondre@dgfip.finance.gouv.fr… En cas de doute, il ne faut pas hésiter à rechercher sur internet les adresses mails valides.

Le cas existe aussi pour les liens dans les mails. Quand il vous est demandé, par exemple, de mettre à jour votre numéro de carte bleue sur votre site d’achat en ligne préféré : n’hésitez pas à vous rendre sur le site en tapant vous-même l’adresse dans votre moteur de recherche.

Pour les plus curieux, il existe des sites tels que whois.domaintools.com, qui permettent d’obtenir des informations sur les propriétaires des noms de domaines. Cela peut vous apporter des indications complémentaires en cas de doute.

Un dernier test peut également être effectué sur les certificats des sites. Ces certificats sont utilisés afin de chiffrer et, ainsi, protéger les échanges entre le site et les utilisateurs, mais ils servent également à identifier les propriétaires du site. Pour cela, cliquez sur le cadenas à côté de l’URL, sélectionnez « Détails » puis « Emetteur » et vous obtiendrez des informations complémentaires sur l’entité se trouvant derrière le site internet.

Et après ?

Dans le cas où vous auriez un doute ou que vous avez réussi à détecter un mail frauduleux (bravo !), il existe quelques actions à réaliser pour protéger votre entreprise, d’autres citoyens ou votre boîte e-mail personnelle.

Dans un contexte professionnel, prévenez l’équipe informatique ou l’équipe sécurité de l’entreprise et indiquez leur ce que vous avez trouvé. Ils seront en capacité de confirmer si votre intuition est la bonne et pourront également mettre en place des protections pour les autres utilisateurs, comme placer l’e-mail de l’envoyeur en liste noire. Suite à cela, suivez les instructions de vos équipes IT concernant l’e-mail.

Toutefois, s’il s’agit d’un cadre personnel, la CNIL recommande de supprimer le message et de vider la corbeille. Vous pouvez finalement vérifier ou signaler un site depuis le site phishing-initiative.fr/contrib ou signaler toutes tentatives d’escroquerie sur le site du gouvernement internet-signalement.gouv.fr.