Dans un monde hyper connecté, où nos données personnelles circulent en permanence sur le web, les cybercriminels exploitent l’un des maillons les plus faibles de la cybersécurité : l’humain. Parmi les cyberinfractions les plus courantes et redoutables, le phishing (ou hameçonnage) représente une menace majeure, touchant aussi bien les particuliers que les entreprises. En 2021, plus de 300 000 attaques de phishing ont été recensées selon le APWG’s Phishing Activity Trends Report. Un chiffre alarmant qui souligne l’ampleur de cette menace silencieuse. Mais, comment fonctionne réellement le phishing ? Quelles sont les formes les plus courantes ? Comment s’en protéger ? Dans cet article, nous vous dévoilons toutes ce que vous devez maîtriser pour identifier, éviter et réagir face au phishing.

Sommaire

Définition du phishing

Le phishing ou l’hameçonnage est une technique d’escroquerie en ligne visant à usurper l’identité d’une entreprise, d’un service ou d’une institution de confiance (banque, administration, service en ligne, etc.), pour manipuler les internautes, afin de récupérer leurs informations confidentielles (identifiants, mots de passe, coordonnées bancaires, etc).
Dans la majeure partie des cas, les fraudeurs vont utiliser les logos, signes distinctifs, le nom d’un organisme précis, dans le but de mettre le public en confiance. Et l'amener par la suite à divulguer des informations personnelles.

Le phishing : une arnaque basée sur l’ingénierie sociale

Le phishing fonctionne aussi bien, car il repose essentiellement sur l’ingénierie sociale. Laquelle est une technique de manipulation qui exploite les émotions et réflexes humains : l’urgence (Votre compte va être suspendu) ; la peur (Une activité suspecte détectée sur votre compte bancaire) ; la curiosité (Cliquez ici pour voir une information très importante).
L’hameçonnage implique donc un certain piratage de l’être humain ou une exploitation des failles humaines dans le but d’amener un utilisateur à divulguer sans aucune contrainte ses données personnelles. Les cybercriminels arrivent donc ainsi à contourner les mesures de sécurité puisque au lieu de pirater le système, ils incitent les utilisateurs à librement leur donner accès à des informations sensibles. Les cybercriminels sont des personnes extrêmement futées, car elles analysent et exploitent la manière dont les êtres humains réfléchissent ou agissent pour pouvoir atteindre un objectif visé.

Les différentes formes de phishing

Les cybercriminels utilisent entre autres :

Le phishing classique ou smishing (par e-mail ou SMS) : l’utilisateur reçoit un e-mail ou un SMS frauduleux se faisant passer pour une institution de confiance (banque, administration, service en ligne). Ce dernier contient souvent un lien malveillant qui mène à un faux site imitant l’original, où l’on demande de saisir des informations personnelles. Exemple : Un faux e-mail de votre banque vous demandant de "vérifier" votre compte en cliquant sur un lien.
Le spear phishing (hameçonnage ciblé) : Cette méthode est plus sophistiquée et ciblée. En effet, le pirate adapte son message en fonction du poste que sa victime occupe dans une structure (dirigeant d’entreprise, employé) dans le but de lui voler ses données de connexion. Exemple : Un employé reçoit un e-mail prétendument envoyé par son patron lui demandant de transférer de l'argent ou des documents confidentiels.
Le whaling (attaque de haut niveau) : C'est une forme de spear phishing visant les dirigeants, des cadres d’entreprise. Les pirates utilisent des techniques avancées pour obtenir des accès privilégiés et détourner des fonds ou des informations sensibles. Exemple : Un PDG reçoit un e-mail soi-disant envoyé par un fournisseur légitime lui demandant de régler une facture frauduleuse.
Le pharming (piratage de site web) : Cette technique consiste à rediriger automatiquement un internaute vers un site frauduleux sans qu’il ne s’en rende compte. Contrairement au phishing classique, il n’y a pas besoin de cliquer sur un lien : le pirate modifie le DNS pour afficher un faux site à l’adresse d’un site légitime. Les sites web les plus visés sont ceux des banques, des plateformes de paiement en ligne ou des sites de commerce électronique. Exemple : Vous tapez l’adresse de votre banque dans votre navigateur, mais vous êtes redirigé vers une copie frauduleuse du site.
Le vishing (hameçonnage vocal) : C’est l’abréviation de voice phishing. Ici, les fraudeurs utilisent des appels téléphoniques pour usurper l’identité d’un service officiel (banque, police, service client, etc.) ou une connaissance pour inciter la victime à divulguer ses informations. Exemple : Un faux conseiller bancaire vous appelle pour vous signaler une activité suspecte sur votre compte et vous demande vos identifiants.

3 cas de phishing qui ont marqué l’histoire

L’attaque de Google et Facebook (2013-2015)

La technique utilisée était le Spear Phishing ou Whaling. En effet, un cybercriminel lituanien, a réussi à voler plus de 100 millions de dollars à Google et Facebook en se faisant passer pour un fournisseur légitime, Quanta Computer. Il a envoyé des factures frauduleuses à ces géants, en usurpant l’identité du véritable fournisseur. Les entreprises, ne se doutant de rien, ont effectué plusieurs virements directement sur ses comptes bancaires frauduleux.

L’attaque de Sony Pictures (2014)

La technique utilisée était aussi le Spear phishing. Des hackers nord-coréens ont ciblé des employés de Sony Pictures en leur envoyant des e-mails frauduleux contenant des liens malveillants. Une fois les liens cliqués, un logiciel espion s’est installé et a permis aux malfaiteurs de voler plus de 100 téraoctets de données confidentielles.

L’attaque du réseau Twitter (2020)

La Technique utilisée était une fois de plus le spear phishing. Les malfaiteurs ont ciblé les comptes Twitter des personnalités (Kanye West, Barack Obama, etc.). Et ils ont manipulé des employés de Twitter afin d'obtenir un accès aux outils administratifs du réseau social. Une fois à l’intérieur, ils ont pris le contrôle des comptes de célébrités et ont publié des messages incitant les abonnés à envoyer des bitcoins en promettant un doublement de la somme reçue.

Comment se protéger contre le phishing ?

Astuce : Il est important d'être vigilant en ligne pour protéger ses informations personnelles contre toute atteinte.

Ne cliquez jamais sur un lien suspect.
Vérifiez toujours l’adresse e-mail ou l’URL.
Activez l’authentification à deux facteurs (2FA).
Mettez régulièrement à jour vos logiciels et antivirus.
Méfiez-vous des demandes urgentes ou trop alléchantes.

À retenir : Si vous êtes victime de phishing, vous devez signaler et bloquer l’expéditeur, changer vos mots de passe immédiatement et contacter votre banque en cas de vol de données bancaires. Vous pouvez aussi signaler l’attaque sur phishing@cybermalveillance.gouv.fr
Mais surtout, demandez conseil à un avocat !!

Sources:

https://www.service-public.fr/particuliers/vosdroits ; https://www.cnil.fr/fr/cnil-direct/question/le-phishing-cest-quoi ; https://www.economie.gouv.fr/dgccrf/les-fiches-pratiques/phishing-hameconnage ; https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing ; https://www.kaspersky.fr/resource-center/definitions/what-is-social-engineering* ; https://www.fortinet.com/fr/resources/cyberglossary/types-of-phishing-attacks ; https://www.kaspersky.fr/resource-center/definitions/pharming ; https://phished.io/fr/blog/les-5-plus-grandes-attaques-de-phishing-de-lhistoire-mondiale ; https://blog.usecure.io/fr/statistiques-%C3%A0-savoir-sur-le-phishing-en-2023;