Par Robert Descôteaux, Directeur, Administrateur Système chez ITCloud 

Qu’est-ce que l’hameçonnage ? 

L’hameçonnage (ou phishing) est une technique de cyberattaque qui vise à tromper une personne pour lui soutirer des informations sensibles, comme des identifiants, des mots de passe ou des données bancaires. 

La technique consiste à envoyer un message délibérément trompeur et conçu de façon à ressembler le plus possible à un message qu’enverrait un expéditeur légitime. Le type le plus courant de cette cyberattaque peut prendre plusieurs formes, soit par courriels, messages texte, messages sur les médias sociaux ou appels téléphoniques. 

Dans la plupart des cas, les campagnes d’hameçonnage sont non ciblées et visent le plus grand nombre possible de personnes dans l’espoir qu’un certain nombre d’entre elles mordent à l’hameçon. 

L’hameçonnage peut avoir de graves conséquences sur la protection des données et sur l’identité des victimes. Voici les principaux impacts : 

Impact sur la protection des données 

• Vol de données sensibles : Les attaquants peuvent obtenir des identifiants, des mots de passe, des numéros de carte bancaire ou d’autres informations confidentielles.  

• Fuites d’informations d’entreprise : Dans un cadre professionnel, un hameçonnage réussi peut exposer des documents internes, des données clients ou des secrets industriels.  

• Propagation de logiciels malveillants : Certains courriels d’hameçonnage contiennent des pièces jointes ou des liens infectés qui installent des malwares (ransomware, keyloggers, etc.).  

• Usurpation d’accès : Un cybercriminel peut utiliser les informations volées pour accéder à des systèmes, modifier des données ou perturber des opérations. 

Impact sur l’identité 

• Usurpation d’identité : Un attaquant peut utiliser les informations personnelles obtenues pour se faire passer pour la victime et commettre des fraudes (ouverture de comptes bancaires, souscription à des crédits, etc.). 

• Atteinte à la réputation : Si un attaquant accède à un compte professionnel ou personnel (réseaux sociaux, messagerie), il peut diffuser des informations compromettantes. 

• Difficulté de récupération des comptes : Une fois un compte compromis, la récupération peut être complexe si les attaquants ont modifié les informations de sécurité. 

Comment s’en protéger ? 

La meilleure façon de vous protéger ? Déjà, avoir la bonne information. Pour vous protéger des tentatives d’hameçonnage, vous devez connaître les tactiques qu’utilisent les cybercriminels pour vous piéger. 

• Ne jamais cliquer sur des liens suspects ni télécharger des pièces jointes non vérifiées. 

• Vérifier l’expéditeur et l’hyperlien avant de saisir ses informations d’authentification. 

• Activer l’authentification multifactorielle (MFA) pour sécuriser les accès. 

• En entreprise, sensibiliser les employés et utilisateurs aux techniques d’hameçonnage. 

Un hameçonnage réussi peut entraîner des conséquences dévastatrices, tant sur le plan personnel, que sur le plan professionnel. La vigilance et les bonnes pratiques en cybersécurité sont essentielles pour limiter les risques. 

Détecter un hameçonnage 

Il n’y a pas de façon simple de se protéger à coup sûr contre une attaque d’hameçonnage. Voici quelques trucs pour reconnaître une attaque par hameçonnage. 

Information  

La tactique la plus souvent utilisée dans l’hameçonnage est qu’il contient presque toujours un sentiment d’urgence. Exemple :  

• Vite! Votre compte a été piraté, veuillez changer de mot de passe. 

• Répondez dans la prochaine heure et gagnez un voyage à Cancún. 

• Urgent! Votre licence de BitDefender expire aujourd’hui, veuillez la renouveler. 

Un message vous demande de fournir vos renseignements personnels 

Chaque fois que vous recevez un courriel, un message texte ou un appel téléphonique vous demandant de fournir des renseignements personnels, une sonnette d’alarme doit se déclencher dans votre cerveau. 

Est-ce qu’une organisation légitime utiliserait un tel moyen pour vous demander des renseignements personnels? 

Dans la plupart des cas, la réponse est « non ». Mais il n’est pas toujours facile de le déterminer. Les cybercriminels sont devenus des experts dans la conception de messages qui semblent tout à fait légitimes. 

Une des tactiques qu’ils utilisent pour voler vos renseignements personnels est de promettre quelque chose qui est trop beau pour être vrai, comme un remboursement d’impôt, un voyage, de l’argent ou des prix. 

Il faut se rappeler l’adage suivant : si quelque chose est trop beau pour être vrai, ce l’est fort probablement. Si l’on vous annonce que vous êtes le gagnant d’un concours auquel vous n’avez jamais participé, alors vous êtes victime d’une tentative de fraude. On n’est jamais trop prudent. Si vous n’êtes pas certain de l’origine d’un message, appelez la personne ou l’organisation qui est le prétendu expéditeur. Utilisez pour ce faire les coordonnées officielles de l’organisation. S’il s’agit de votre banque, utilisez le numéro de téléphone figurant sur le site web officiel de l’établissement. 

N’oubliez pas, les organisations légitimes ne vous demanderont jamais de fournir vos renseignements personnels par courriel ou message texte. Si c’est le cas, vous êtes probablement victime d’une tentative de fraude. 

Le message menaçant 

Les cybercriminels doivent trouver une façon d’amener leurs victimes à faire ce qu’ils leur demandent. Un message demandant à une personne de dévoiler ses renseignements n’aura aucun effet s’il se termine simplement par « s’il vous plaît » ou « merci ». Voilà pourquoi les cybercriminels utilisent souvent la menace pour arriver à leurs fins. 

Par exemple, une tentative d’hameçonnage courante consiste pour un cybercriminel à affirmer qu’il représente une agence gouvernementale, et à menacer la victime d’une forte amende ou même de la prison. 

Devant une telle menace, la plupart des gens vont penser aux conséquences d’une telle menace s’ils ne coopèrent pas.  C’est pourquoi ce genre de tentative d’hameçonnage est si fréquent. 

Si vous recevez un message menaçant, arrêtez-vous et réfléchissez au lieu de paniquer. L’expéditeur du message est fort probablement un cybercriminel qui tente de vous faire peur pour obtenir ce qu’il cherche. 

Le message suspect 

Les tentatives d’hameçonnage peuvent être difficiles à dépister. Les cybercriminels sont des experts pour concevoir des messages qui ressemblent à s’y méprendre à un message que vous ferait parvenir une personne ou une organisation en qui vous avez confiance. 

Par exemple, les courriels par hameçonnage proviennent souvent d’une adresse qui n’a rien à voir avec celle de la personne ou de l’organisation dont l’expéditeur se réclame. 

Pour ce qui est des tentatives par téléphone ou message texte, une recherche rapide sur Internet du numéro de téléphone de l’expéditeur peut vous convaincre de la légitimité ou non du message. 

Le message contient un lien suspect 

Tromper les gens en les convaincant de cliquer sur un lien est une tactique utilisée depuis longtemps par les cybercriminels. 

Généralement, ils vous envoient un message qui comprend un lien sur lequel on vous demande de cliquer. Ce lien mène à un faux site web qui reproduit le plus fidèlement possible celui d’une organisation légitime, l’objectif étant de vous subtiliser vos renseignements personnels. Une tentative du genre peut prendre diverses formes (les cybercriminels ont l’imagination fertile). Leur dénominateur commun est de vous amener à cliquer sur le lien. 

Il y a toutefois des indices pour reconnaître ce type de message : 

• L’hyperlien du courriel ne concorde pas avec l’hyperlien du site web de l’organisation dont l’expéditeur se réclame. 

• Balayer le lien permet de voir l’hyperlien vers lequel on voudrait vous envoyer. Vérifiez donc l’hyperlien pour vous assurer qu’elle correspond bien à l’adresse de l’organisation légitime que l’expéditeur prétend représenter. 

S’il y a quelque chose qui cloche dans le message 

Les messages par hameçonnage comportent souvent des fautes grammaticales ou utilisent à outrance des signes de ponctuation comme le point d’exclamation. Parfois, le graphisme est déficient ou le logo mal conçu. Les entreprises légitimes et les agences gouvernementales n’enverraient jamais un tel message. Si quelque chose de ce genre est présent, il s’agit probablement d’une tentative d’hameçonnage. 

Les différents types d’hameçonnage 

Voici un aperçu des types d’hameçonnage les plus courants utilisés par les cybercriminels pour voler vos renseignements personnels. 

• Phishing classique : Messages frauduleux en masse visant un large public. 

• Harponnage (spear phishing) : Attaque ciblée contre une personne ou une entreprise précise. 

• Whaling (chasse à la baleine) : Ciblage de dirigeants ou responsables pour obtenir des accès critiques. 

• Vishing (voice phishing) : Hameçonnage par appel téléphonique. 

• Smishing (sms phishing) : Escroquerie via SMS incitant à cliquer sur un lien frauduleux. 

Voici une description plus détaillée des différents types d’hameçonnage : 

Phishing classique 

Le phishing classique consiste à envoyer un grand nombre de messages frauduleux (courriel, SMS, messages sur les réseaux sociaux) dans l’espoir que certaines victimes mordent à l’hameçon. 

• Objectif : Voler des informations personnelles (identifiants, mots de passe, coordonnées bancaires). 

• Méthode : L’attaquant imite une entreprise ou un établissement légitime (banque, administration, fournisseur de services) et demande à la victime d’effectuer une action urgente, comme cliquer sur un lien ou télécharger une pièce jointe. 

• Exemple : Un courriel prétendant provenir de PayPal vous informant d’un « problème avec votre compte » et vous demandant de vous connecter via un lien frauduleux. 

Harponnage (Spear phishing) 

Le spear phishing est une attaque plus sophistiquée et ciblée. Contrairement aux hameçonnages classiques, l’attaquant prend le temps de rechercher des informations spécifiques sur sa victime avant de lancer son attaque. 

Objectif : Tromper une personne bien précise pour obtenir des accès à des données sensibles. 

Méthode : L’attaquant personnalise le message en utilisant des détails crédibles (nom, poste, collègues) pour gagner la confiance de la victime. 

Exemple : Un employé reçoit un courriel apparemment envoyé par son supérieur, lui demandant de télécharger un document confidentiel ou de mettre à jour son mot de passe. 

Whaling (Chasse à la baleine) 

Le whaling est une forme de «spear phishing» qui cible des personnes influentes (PDG, directeurs financiers, cadres dirigeants). Ces individus ont souvent un accès privilégié à des informations critiques. 

• Objectif : Obtenir des fonds, des accès à des bases de données ou des secrets industriels. 

• Méthode : L’attaquant envoie des courriels très sophistiqués, imitant des communications professionnelles de haut niveau. 

• Exemple : Un PDG reçoit un courriel frauduleux soi-disant de son partenaire financier, lui demandant d’effectuer un virement bancaire urgent. 

Vishing (Voice phishing) 

Le vishing est une technique d’hameçonnage réalisée par téléphone. L’attaquant se fait passer pour un service officiel afin d’extorquer des informations confidentielles. 

• Objectif : Récupérer des données personnelles, bancaires ou des accès à un compte. 

• Méthode : L’attaquant utilise des techniques de persuasion et joue sur l’urgence ou la peur. 

• Exemple : Un faux conseiller bancaire appelle un client pour lui signaler une « activité suspecte » sur son compte et lui demande de fournir ses identifiants. 

Smishing (SMS phishing) 

Le smishing est une attaque d’hameçonnage réalisée par SMS. Les cybercriminels envoient des messages incitant la victime à cliquer sur un lien malveillant. 

• Objectif : Voler des identifiants ou infecter le téléphone avec un logiciel malveillant. 

• Méthode : L’attaquant envoie un SMS d’apparence légitime, souvent accompagné d’un lien frauduleux. 

• Exemple : Un SMS prétendant provenir de la poste vous informe d’un colis en attente et vous invite à cliquer sur un lien pour payer des frais de livraison fictifs. 

Vishing et l’intelligence artificielle vocale 

Je ne peux pas passer sous silence dans cette publication l’intelligence artificielle vocale. 

Avec l’émergence de l’intelligence artificielle vocale, cela permet aux cybercriminels de créer des appels automatisés qui semblent provenir de sources légitimes, comme des institutions financières, des entreprises ou même des proches. 

L’intelligence artificielle, en particulier les technologies de synthèse vocale de plus en plus réalistes, permet aux cybercriminels de créer des appels automatisés qui semblent provenir de sources légitimes, comme des institutions financières, des entreprises ou même des proches. 

Les logiciels d’IA peuvent reproduire des voix humaines avec un haut degré de réalisme, ce qui rend plus difficile pour la personne qui reçoit l’appel de distinguer un appel authentique d’un appel frauduleux. Par exemple, des escrocs peuvent utiliser des voix générées par IA pour imiter des dirigeants d’entreprises, des membres de la famille ou des agents bancaires, rendant ainsi l’attaque plus crédible. 

L’utilisation de l’IA dans ce contexte permet également d’automatiser ces attaques à grande échelle, rendant leur détection et leur prévention encore plus complexes. Les technologies de reconnaissance vocale peuvent aussi être utilisées pour capturer des réponses spécifiques à certaines questions, renforçant l’efficacité des fraudes. 

Il est donc essentiel d’être vigilant face aux appels suspects et de toujours vérifier l’identité de la personne au bout du fil, surtout si l’on vous demande des informations sensibles. 

Conclusion 

Il n’y a pas de façon absolument sûre de se protéger contre l’hameçonnage. Mais certaines tactiques peuvent nous aider à nous protéger. La plus efficace ? Le gros bon sens. Si nous sommes vigilants et attentifs à tout ce qui peut sembler suspect, nous saurons reconnaître une attaque par hameçonnage. Et n’oubliez pas, former et sensibiliser vos clients est plus simple que de devoir gérer une fuite de données une fois qu’elle s’est produite. 

Vous souhaitez en savoir plus ?
Remplissez ce formulaire et l’un de nos spécialistes en sécurité vous contactera sous peu.