Comment éviter les arnaques sur Internet

Depuis les débuts de la popularité d'Internet, les escroqueries s'y sont développées. Aujourd'hui les arnaqueurs se font passer souvent pour votre banque, pour une administration ou une grande entreprise: c'est ce qu'on appelle l'hameçonnage, ou le phishing en anglais.


Imaginez que vous receviez une lettre par la poste qui vous dit: "Bonjour [personne abonnée aux impôts], nous devons vous rembourser 800€, mais nous avons besoin pour cela que vous nous donniez votre numéro de carte bancaire et les trois chiffres situés au dos de la carte. Comme c'est très pressé envoyez-les nous dans les 48h sinon vos 800e seront perdus." Vous enverriez vos numéros?


La pub ci-dessous peut faire rire, mais c'est plus ou moins ce qui se passe sur Internet lorsque quelqu'un donne ses informations à quelqu'un juste parce qu'il a envoyé un mail avec le logo d'une entreprise ou d'une administration.


Tous les jours des millions de mails et de SMS sont envoyés par ces arnaqueurs qui ne vous ciblent pas spécifiquement: ils pêchent au gros. Ils envoient énormément d'hameçons, et espèrent que quelqu'un mordra.


Beaucoup de ces mails et SMS sont bloqués par les filtres anti-spams qui protègent toutes les boîtes mails. Beaucoup sont simplement supprimés ou ignorés par les internautes eux-mêmes qui ne se laissent pas prendre au piège. Hélas, il suffit que quelques personnes se fassent avoir pour que l'arnaque soit rentable.

On va vous montrer comment ne pas être le poisson qui mord à l'hameçon.

Comment se passe le phishing?


Vous recevez un mail qui semble provenir d'un site familier ou d'organisme officiel (banque, impôt, CAF, Ameli, opérateur téléphonique, commissariat).


Voici cependant les identités les plus susceptibles d’être empruntées :

  • Les banques

  • Les opérateurs télécoms

  • Les fournisseurs d’énergie

  • Les systèmes de paiement en ligne

  • Les réseaux sociaux

  • Les sites de commerce en ligne

  • Les administrations comme le Trésor public (les impôts), la Sécurité sociale (ameli), la Caisse d’assistance familiale (Caf), etc.

  • Les services de messagerie et stockage en ligne (Cloud)

  • Les sociétés de livraison

Le mail est alors volontairement alarmiste. Il peut s'agir par exemple d'un compte bientôt expiré, d'un colis reçu, d'un cadeau gagné ou d'un remboursement que vous devez recevoir.


Vous êtes ensuite invité à cliquer sur une page pour renseigner vos données personnelles. Ces données seront ensuite récupérées par l'auteur du phishing (ou hameçonnage) qui les utilisera pour effectuer des achats ou des opérations bancaires.


L'hameçonnage se passe donc ainsi:

  1. Vous recevez un message électronique frauduleux envoyé par un cybercriminel qui se fait passer pour un tiers de confiance (banque, administration, opérateur de téléphonie, commerce en ligne…)

  2. Le corps du message, aux couleurs d’un message officiel, vous encourage à cliquer sur un lien pour réaliser une action donnée: annuler une commande, mettre à jour des données, recevoir un cadeau, obtenir un remboursement etc.

  3. Lorsque vous cliquez sur le lien, vous êtes redirigé(e) vers un site Internet frauduleux reprenant les codes visuels du site Internet officiel.

  4. Sur le site, il vous est demandé de renseigner des informations personnelles, professionnelles et/ou bancaires.

  5. Une fois les données communiquées, elles sont récupérées par des cybercriminels pour être utilisées aux dépens des victimes.


Comment identifier l'arnaque?

Voici quelques exemples de messages électroniques qui doivent vous alerter :

  • Demande de mise à jour ou de confirmation de données personnelles suivantes : identifiants, mots de passe, coordonnées bancaires… par un prétendu organisme public ou commercial de confiance.

  • Demande d’informations inattendue pour un remboursement, une annulation de commande, une livraison etc.

  • Demande d’informations contre l’envoi d’un cadeau

  • Demande d’informations pour participer à un jeu-concours avec un gain attrayant.

  • Appel aux dons frauduleux.

  • Demande de règlement pour éviter la fermeture d’un accès, la perte d’un nom de domaine ou une prétendue mise en conformité avec une loi récente.

Aucune administration ou société ne demande vos données bancaires ou votre mot de passe par mail. Et aucune ne vous laissera aussi peu de temps qu'un hameçonneur pour effectuer vos démarches.

Souvent, ces mails contiennent des fautes d'orthographe ou des images de mauvaise qualité. Mais cela est de moins en moins vrai, car même les arnaqueurs peuvent utiliser un correcteur orthographique!


La première chose à vérifier est l'expéditeur. Lorsqu'on reçoit un mail frauduleux, on a l'impression que c'est vrai car l'expéditeur affiché est, par exemple, la CAF. Mais cet identifiant est en fait celui du profil de la boîte mail, pour lequel on peut mettre ce qu'on veut. Vous aussi vous pouvez changer le vôtre pour mettre une photo et un pseudo. Eux ont mis un logo et le nom d'une entreprise existante.


Mais vous pouvez vérifier la véritable adresse mail de l'expéditeur pour vous assurer de la provenance du mail. Avec le phishing vous n'aurez pas caf.fr ou impots.gouv.fr, mais une adresse le plus souvent étrangère et/ou composée de chiffres. Parfois, mais c'est de plus en plus rare, les adresses diffèrent seulement d'un seul caractère de l'adresse officielle, pour berner les gens plus méfiants qui ne sont pas assez attentifs.


Remarquez que le mail dit bonjour non pas au destinataire, mais à l'adresse mail du destinataire. En effet, les arnaqueurs n'ont que ça comme données sur les gens à qui ils envoient leurs mails, alors que votre banque ou une administration vous appellera par votre nom de famille, tout en rappelant vos coordonnées, votre numéro fiscal ou d'allocataire etc.


Enfin, tous les sites web des administrations et des grandes entreprises type banques, assurances, fournisseurs d'accès internet et téléphone sont sécurisés. Si vous avez cliqué sur le lien contenu dans le mail vérifiez l'adresse url du site dans la barre d'adresse en haut de votre page. Si elle commence par "https" ou s'il y a un cadenas affiché par votre navigateur, c'est qu'il s'agit d'un site sécurisé où vos données sont protégées. Les sites des arnaqueurs n'ont bien sûr pas ce genre de sécurité.


Remarquez le cadenas devant l'adresse du site: celui-ci indique que c'est un site sécurisé
ATTENTION: il n'est pas recommandé de cliquer sur les liens contenus dans des mails de phishing, car vous pouvez arriver sur un site qui infectera votre matériel avec un virus!

Que faire quand on reçoit un mail d'hameçonnage?


Si vous identifiez un mail de phishing, il ne faut pas répondre, ni cliquer sur le lien contenu dans le message, ni ouvrir les pièces-jointes.


Vous pouvez signaler le mail comme étant du phishing (par exemple dans Gmail: il faut cliquer sur l'icône composée de trois points à côté de la flèche "répondre" et dans le bandeau qui s'affiche sélectionner "signaler comme phishing"). Le mail sera alors supprimé de votre boîte de réception, et au bout d'un certain nombre de signalements l'adresse sera fichée par votre hébergeur de mails.


Vous pouvez aussi les signaler sur la plate-forme Pharos, à l'adresse https://www.internet-signalement.gouv.fr/ afin que les autorités soient au courant de cette arnaque, surtout si vous pensez que l'auteur est en France.



Que faire en cas d'hameçonnage par SMS/MMS sur mon téléphone portable?


Vous pouvez transférer le SMS abusif au numéro 33700. Il s'agit d'un dispositif d'alerte par SMS créé par les opérateurs télécoms, les éditeurs de services et les hébergeurs, en concertation avec le Secrétariat d'Etat chargé de l'Industrie et de la Consommation.


Après ce transfert, vous recevrez un message vous demandant d'envoyer au 33700 le numéro depuis lequel vous avez reçu le SMS abusif. Ces informations sont transmises aux opérateurs, y compris le vôtre, qui pourront agir rapidement auprès des organismes à l'origine de ces sms.


L'envoi d'un SMS au 33700 est gratuit pour les clients Bouygues Telecom, Orange et SFR. Pour les autres opérateurs, l'envoi d'un SMS au 33700 peut s'effectuer au prix d'un SMS normal (gratuit si vous avez les sms illimités). Pour plus d'informations, vous pouvez vous connecter sur www.33700-spam-sms.fr



J'ai envoyé mes informations, que faire?

Il arrive que, malgré les précautions, l’on réponde à une demande par courriel qui semblait légitime. Dans ce cas, voici les premiers réflexes à adopter :

  • si vous avez envoyé un mot de passe, changez-le immédiatement sur le site copié.

  • si ce mot de passe est aussi celui de votre boîte mail, changez-le immédiatement ainsi que tous les mots de passe des comptes connectés à l’adresse mail concernée.

  • si vous avez transmis des informations bancaires prévenez votre banque, et faites opposition à votre carte avant de constater que votre compte est prélevé. Si c'est le cas déposez une plainte au commissariat ou à la gendarmerie la plus proche.

Si vous avez repéré l’arnaque avant d’envoyer vos données personnelles, et que vous n'avez pas cliqué sur un lien, celles-ci ne sont a priori pas en danger. Au pire, les hameçonneurs ont votre adresse et vous continuerez de recevoir des mails pour tenter de vous avoir.



Pourquoi recevez-vous des mails de phishing?


Il existe des listes d'adresses mails qui se vendent et se revendent frauduleusement. Lorsque vous voyez dans la presse que telle ou telle entreprise a été piratée, généralement ce n'est pas grave car les données bancaires n'ont pas été volées.


Mais souvent les pirates ont volés la liste des adresses mails des clients, qui est une donnée moins sécurisée, car les entreprises les utilisent pour envoyer des newsletters, des infos et des promotions à leurs clients, et ce parfois par le biais d'entreprises sous-traitantes qui doivent pouvoir accéder à ces données, ce qui fragilise leur accès.


Quelques exemples:

  • en 2011, Sony a été piraté et les informations de 77 millions d'utilisateurs ont été volées

  • en 2013, c'était Adobe Systems (qui développe le lecteur Flash et Acrobat Reader pour les PDF): les infos de 130 millions d'utilisateurs ont été volées

  • en 2016 Yahoo a subi un piratage: les identifiants d'au moins un milliard de comptes ont été volés (jusqu'à trois milliards possible)

  • en 2021, un cadre de CDiscount est arrêté pour avoir voulu revendre les données de 33 millions d'utilisateurs pour 20.000$ (noms, sexes, adresses, email et téléphone personnels, ainsi que le détail des achats des deux dernières années)

Ces listes peuvent aussi se constituer avec... des arnaques au fishing. Elles permettent de récupérer des données fournies par les gens eux-mêmes, correspondant aux adresses mail.


Cela peut sembler inquiétant, mais il ne faut pas s'alarmer. Les données servent le plus souvent à trouver des clients potentiels à cibler pour des pubs ou des élections, ou... pour envoyer d'autres arnaques en masse.


C'est pour cela que si vous recevez des attaques de phishing fréquemment, cela ne s'arrêtera pas, car votre adresse est dans une base de donnée (comme un annuaire utilisé par les arnaqueurs). Vous pouvez créer une nouvelle adresse mail, mais de toute façon il faudra continuer à faire preuve de méfiance à chaque mail que vous recevez, en vérifiant toujours l'expéditeur.



Une bonne solution...


...c'est de vous créer plusieurs adresses mails spécialisées:

  • une "sérieuse" (type nom.prénom@hébergeur.fr) pour postuler à un emploi et pour vos comptes sur les sites de l'administration, la banque etc., si vous ne la diffusez pas plus elle restera "propre",

  • une pour les amis, la famille et vos sites web types marchands, réseaux sociaux, jeux vidéos que vous utilisez régulièrement,

  • et une dernière pour toutes vos inscriptions sur des sites que vous ne connaissez pas, ou que vous ne comptez pas utiliser longtemps (pour vous inscrire à un jeu-concours ou signer une pétition par exemple...).

Si vous avez un mot de passe différent sur chaque adresse vous serez déjà bien mieux protégés (revenez sur ok-caps.fr, vous aurez bientôt un tuto pour créer des mots de passe efficaces et faciles à retenir).


Si en plus vous activez la double vérification sur les sites importants (administration, banque, achats...) vous blindez un peu plus votre sécurité. Si en plus vous changez de mot de passe de temps en temps, vous serez inattaquables! ;-)


Posts récents

Voir tout

Foire aux questions

ÉDUCATION - Quelles orientations pour mon enfant après le CM2 ?


Après l’école primaire, l’élève doit aller au collège : en 6è type « normal » en 6è SEGPA (Enseignements généraux et professionnels adaptés dans le second degré) Une classe SEGPA accueille les jeunes de la 6è à la 3è présentant des difficultés scolaires importantes qui n'ont pas pu être résolues par des actions d'aide scolaire et de soutien. Intégrée dans un collège, la classe regroupe un petit groupe d'élèves (16 au plus) pour individualiser le parcours de chacun. La Segpa a pour ambition de mener les élèves à une qualification diplômante et à la poursuite de leurs études. Cliquez ici pour en savoir plus sur les enseignements généraux et professionnels adaptés dans le second degré > en ULIS (Unités localisées pour l'inclusion scolaire) pour les élèves relevant de la MDPH (Maison départementale des personnes handicapées) Les élèves scolarisés au titre des ULIS présentent des troubles des fonctions cognitives ou mentales, des troubles spécifiques du langage et des apprentissages, des troubles envahissants du développement (dont l'autisme), des troubles des fonctions motrices, des troubles de la fonction auditive, des troubles de la fonction visuelle ou des troubles multiples associés (pluri-handicap ou maladies invalidantes).
Cliquez ici pour en savoir plus sur les unités localisées pour l'inclusion scolaire >




IMPÔTS - Comment s'inscrire, effectuer les démarches et payer ses impôts en ligne ?


Il faut vous rendre dans un premier temps sur le site officiel des impôts à savoir : impôts.gouv.fr Une fois sur le site, il faudra cliquer sur l'icône en haut à droite " Votre espace particulier". Il faudra vous munir de votre numéro fiscal ( qui se situe en haut de la première page de votre dernière déclaration de revenus reçue aisin que sur votre dernière avis d'impôt.), ainsi que votre numéro de déclarant en ligne ( il figure en haut à droite de la première page de votre dernière déclaration de revenus). Un fois votre espace personel crée vous pourrez cliquer sur " Déclarer : mes revenus "




DROITS ET LOGEMENT - Comment faire une demande pour obtenir un logement social en ligne ?


Il faut vous rendre sur le site officiel des demandes de logement à savoir : demande-logement-social.gouv.fr Cliquer sur " Créer une demande ". Pensez à vous munir de vos documents personnels (pièce d'identité en cours de validité).




AIDES SOCIALES - Les simulateurs de droit à l'accès pour bénéficier des aides. De quelles aides puis-je bénéficier ?


Pour savoir à quelles aides puis-je prétendre bénéficier en ligne, vous pouvez dans un premier temps vous rapprocher des simulateurs de l'accès aux droits des différents sites officiel. Il faudra vous munir de vos documents personnels (par exemple votre pièce d'identité, votre avis d'impsitions, votre carte vitale...)




AIDES SOCIALES - Comment faire une demande de prestation CAF ?


Pour faire une demande de prestation CAF (RSA, APL, PRIMES D'ACTIVITES, PRETS, BAFA etc), il faudra dans un premier temps vous rendre sur le site officiel de la CAF à savoir " Caf.fr". Il faudra vous munir de votre numéro d'allocataire et de votre mot de passe (si vous n'avez pas de numéro d'allocataire, vous en receverez un lorsque vous ferez votre première demande). Une fois connecté sur le site de la CAF vous devrez vous rendre sur l'onglet " Mes services en ligne " et puis sur " Faire une demande de prestation " ainsi vous pourrez choisir quel type de demande vous voulez faire.




RETRAITE - Comment calculer ma retraite et effectuer les démarches pour en bénéficier ?


La retraite n'est pas versée automatiquement, vous devez la demander 6 à 4 mois avant votre départ. C'est à vous de déterminer votre date de départ en retraite, pour cela plusieurs éléments sont à prendre en compte : - L'âge légal de la retraite soit, 62 ans sauf si vous bénéficier d'un dispositif de retraite anticipée ( longue carrière,assurés handicapés,pénibilités du travail). - Votre nombre de trimestres (soit 165 trimestres validés). - Vos droits dans le régime de retraite. Vous pouvez vous créer un espace personnel sur "Assuranceretraite.fr" et ainsi effectuer vos démarches en ligne (demander la retraite, faire une estimation globale, suivre votre demande, prendre rendez-vous en ligne etc).




AIDES SOCIALES - Qu'est-ce que le chèque énergie ?


Le chèque énergie est une aide envoyé chaque année en fonction de vos revenus et de la composition de votre foyer. Elle se base les informations transmises par les services fiscaux (selon le revenu fiscal de référence par part et par an). Son montant peut varier entre 48 € et 277 €.





© 2018 par ALTRACOM, pour CAPS

  • Black Facebook Icon
  • Black Twitter Icon
  • Black Instagram Icon