Nous communiquons par e-mail, nous effectuons nos paiements en ligne, nous revendons nos objets sur Internet. Pour utiliser tous ces services, nous devons à chaque fois divulguer certaines données personnelles. Une aubaine pour les escrocs qui vont tenter de nous les soustraire en utilisant pléthore d’astuces.


Phishing ? C'est quoi ?
Le terme Phishing est une contraction des mots anglais password (mot de passe), harvesting (moisson) et fishing (pêche). Il s’agit d’une technique d’escroquerie, aussi appelée hameçonnage, est l’une des arnaques les plus anciennes et les plus connues d’Internet. Cette technique d’escroquerie est apparue en 2005 et n’a depuis cessé d’évoluer pour se perfectionner.
Le phishing est généralement réalisée par courrier électronique -bien que ce type d’attaque englobe aussi les appels téléphoniques (qu’on appelle le « vishing« ), les médias sociaux, les services de messagerie (alias « smishing« )- consistant à tromper la cible, reposant sur une usurpation d’identité, pour qu’elle fasse ce que l’escroc veut, récupérer vos données personnelles, (mot de passe, numéro de carte bancaire …)
Le hameçonnage est également une méthode populaire pour les cyber-attaquants de livrer des logiciels malveillants, en encourageant les victimes à télécharger un document ou à visiter un lien qui installera secrètement la charge utile malveillante (malware, cheval de Troie, ransomware….) On estime qu’en moyenne 1,4 million de ces sites web sont créés chaque mois.
En résumé, le cybercriminel va à la « pêche » (fishing en anglais) avec un « appât » séduisant afin de « faire mordre à l’hameçon » ses victimes dans le vaste « océan » qu’est Internet.
Brève historique du Phishing


Certains pensent que le l’origine et même la définition du terme phishing découlerait de pirates, qui dans les années 70, s’adonnait à utiliser des piratages grossiers pour exploiter le système téléphonique. Ces pirates des premiers jours étaient appelés des « phreaks (pirates téléphoniques) », une combinaison des termes « phone » (téléphone) et « freaks » (fous). C’était une pratique répandue pour passer des appels longue distance ou pour trouver des numéros non répertoriés.
Même avant que le terme de phishing ne se répande, une technique d’hameçonnage a été décrite en détails dans un article et une conférence donnée au cours du 1987 International HP Users Group, Interex.
L’utilisation du terme lui-même a été attribué pour la première fois à un spammer et hacker célèbre dans les années 90, Khan C Smith. De plus, selon les archives Internet, la première fois où l’hameçonnage a été utilisé et enregistré date du 2 janvier 1996.
À partir des années 2000, l’hameçonnage s’est tourné vers l’exploitation des systèmes de paiement en ligne. Il est devenu courant pour les hameçonneurs de cibler les clients des services bancaires ou de paiement en ligne.
À partir du milieu des années 2000, des logiciels d’hameçonnage clé en main étaient disponibles sur le marché noir. Au même moment, des groupes de pirates informatiques ont commencé à s’organiser pour orchestrer des campagnes d’hameçonnage sophistiquées.
En 2011, l’hameçonnage a été soutenu par des États lorsqu’une campagne par hameçonnage chinoise a ciblé les comptes Gmail de hauts dirigeants des gouvernements et de l’armée américains et sud-coréens, ainsi que des activistes politiques chinoises.
Encore plus tristement célèbre fut la campagne d’hameçonnage lancée par Fancy Bear (un groupe de cyber-espionnage associé au Service de renseignements militaires russe) contre des adresses e-mail associées au Comité national démocrate au cours du premier trimestre 2016. En particulier, le responsable de campagne d’Hillary Clinton pour l’élection présidentielle de 2016.
En 2017, une énorme escroquerie par hameçonnage a amené les services comptabilité de Google et Facebook à transférer de l’argent, soit un total de plus de 100 millions de dollars, vers des comptes bancaires à l’étranger sous le contrôle d’un hacker.
Tout récemment en 2021, un nouveau kit LogoKit, a été repéré sur plus de 700 domaines. Cet outil permet de créer des pages de phishing en temps réel, en fonction de la cible.
Démasquer les mails d'hameçonnage
Reconnaître une attaque par hameçonnage n’est pas toujours simple, mais quelques conseils, un peu de discipline et du bon sens devraient suffire. Recherchez quelque chose d’étrange ou d’inhabituel.
Demandez-vous si le message « sonne vrai ». Faites confiance à votre intuition, mais ne vous laissez pas tétaniser par la peur. Les attaques d’hameçonnage utilisent souvent la peur pour altérer votre jugement.
Chose essentielle à savoir, jamais une banque, un fournisseur d’accès Internet ou un quelconque site marchand ne vous demandera votre mot de passe, numéro de carte bancaire ou toute autre donnée vous concernant.
Un courrier électronique vous demandant ces informations, aussi alarmiste soit-il, est à coup sûr une tentative de phishing.


Petite astuce: Si vous recevez un courriel que vous soupçonnez être du phishing, placez, sans cliquer, le curseur de votre souris sur le lien présent dans le mail. Son adresse s’affiche alors. Si vous constatez qu’elle débute par un nom de domaine inconnu, c’est un piège!
Sur le même sujet
Mysterious dark data
Cybersécurité et petites entreprises.
Valeur de nos données personnelles
10 Conseils pour protéger vos données
Sécurité : Comment protéger mon site
Technologie Omega2 by Onion
Quelques signes de tentative d'hameçonnage:
- L’e-mail fait une offre qui semble trop belle pour être vraie. Il peut mentionner que vous avez gagné au loto, un prix de valeur ou un article incroyable.
- Vous reconnaissez l’expéditeur mais c’est quelqu’un avec qui vous ne communiquez pas habituellement. Il en va de même si vous êtes en copie d’un e-mail adressé à des personnes que vous ne connaissez même pas, ou peut-être à un groupe de collègues sans lien logique.
- Le message semble délirant. Méfiez-vous si l’e-mail utilise un langage anxiogène ou alarmiste pour créer un sentiment d’urgence, vous exhortant à cliquer et à « agir maintenant » avant que votre compte ne soit clôturé. Gardez en tête que, les organisations responsables ne demandent pas d’informations personnelles sur Internet.
- Le message contient des pièces jointes inattendues ou inhabituelles. Ces pièces jointes peuvent contenir des malwares, des ransomwares ou une autre menace en ligne.
- Le message contient un lien étrange.
Conseils avant la paranoïa :
Même si votre 6e sens ne vous dit rien au sujet de toutes les informations précédentes, ne faites pas aveuglément confiance aux liens intégrés. Au lieu de cela, survolez le lien avec votre curseur pour voir la véritable URL.
Si vous suspectez qu’un e-mail n’est pas légitime, extrayez un nom ou un morceau de texte du message et copiez-le dans un moteur de recherche pour savoir si des attaques par hameçonnage connues existent et utilisent les mêmes méthodes.
Soyez particulièrement attentif aux fautes d’orthographe sur un site qui vous est familier, parce que ces fautes signifient qu’il est faux.
Il est toujours préférable de saisir directement une URL plutôt que de cliquer sur le lien intégré.
Ne répondez jamais à ce genre de courriels.
Que faire d'un e-mail de phishing ?
Si vous avez identifié un e-mail comme étant frauduleux, ou du moins si vous le supposez, vous pouvez le transmettre aux deux services suivants. Et contribuer à réduire le nombre d’e-mails d’hameçonnage qui atterrissent dans les boîtes de réception:
- Votre fournisseur de messagerie: l’adresse correspondante est souvent «abuse@» ou «spam@», complétée par le nom de domaine du fournisseur, par exemple spamreport@bluewin.ch
- Le site antiphishing de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) du Conseil fédéral.
Détruisez systématiquement tout message douteux…. sans oublier de vider votre corbeille


Et si j'ai divulgué des informations ?
- Modifiez immédiatement les mots de passe divulgués et assurez-vous que les nouveaux sont sûrs, par ailleurs nous vous conseillons fortement d’utiliser un gestionnaire de mots de passe.
- Si vous avez divulgué des données confidentielles, contactez immédiatement le prestataire concerné (établissement financier, fournisseur d’accès ou service de messagerie électronique). Expliquez votre situation pour recouvrer le contrôle de vos données.
- Surveillez vos mouvements bancaires et en cas de mouvement frauduleux contestez l’opération auprès de votre banque.
- Comme précédemment avisez-en le MELANI avec ce lien.