Depuis les débuts de la popularité d'Internet, les escroqueries s'y sont développées. Aujourd'hui les arnaqueurs se font passer souvent pour votre banque, pour une administration ou une grande entreprise: c'est ce qu'on appelle l'hameçonnage, ou le phishing en anglais.
Imaginez que vous receviez une lettre par la poste qui vous dit: "Bonjour [personne abonnée aux impôts], nous devons vous rembourser 800€, mais nous avons besoin pour cela que vous nous donniez votre numéro de carte bancaire et les trois chiffres situés au dos de la carte. Comme c'est très pressé envoyez-les nous dans les 48h sinon vos 800e seront perdus." Vous enverriez vos numéros?
La pub ci-dessous peut faire rire, mais c'est plus ou moins ce qui se passe sur Internet lorsque quelqu'un donne ses informations à quelqu'un juste parce qu'il a envoyé un mail avec le logo d'une entreprise ou d'une administration.
Tous les jours des millions de mails et de SMS sont envoyés par ces arnaqueurs qui ne vous ciblent pas spécifiquement: ils pêchent au gros. Ils envoient énormément d'hameçons, et espèrent que quelqu'un mordra.
Beaucoup de ces mails et SMS sont bloqués par les filtres anti-spams qui protègent toutes les boîtes mails. Beaucoup sont simplement supprimés ou ignorés par les internautes eux-mêmes qui ne se laissent pas prendre au piège. Hélas, il suffit que quelques personnes se fassent avoir pour que l'arnaque soit rentable.
On va vous montrer comment ne pas être le poisson qui mord à l'hameçon.
Comment se passe le phishing?
Vous recevez un mail qui semble provenir d'un site familier ou d'organisme officiel (banque, impôt, CAF, Ameli, opérateur téléphonique, commissariat).
Voici cependant les identités les plus susceptibles d’être empruntées :
Les banques
Les opérateurs télécoms
Les fournisseurs d’énergie
Les systèmes de paiement en ligne
Les réseaux sociaux
Les sites de commerce en ligne
Les administrations comme le Trésor public (les impôts), la Sécurité sociale (ameli), la Caisse d’assistance familiale (Caf), etc.
Les services de messagerie et stockage en ligne (Cloud)
Les sociétés de livraison
Le mail cherche volontairement à vous faire peur, à vous presser. Il peut s'agir par exemple d'un compte bientôt expiré, d'un colis reçu, d'un cadeau gagné ou d'un remboursement que vous devez recevoir.
Vous êtes ensuite invité à cliquer sur une page pour renseigner vos données personnelles. Ces données seront ensuite récupérées par l'auteur du phishing (ou hameçonnage) qui les utilisera pour effectuer des achats ou des opérations bancaires.
L'hameçonnage se passe donc ainsi:
Vous recevez un message électronique frauduleux envoyé par un cybercriminel qui se fait passer pour un tiers de confiance (banque, administration, opérateur de téléphonie, commerce en ligne…)
Le corps du message, aux couleurs d’un message officiel, vous encourage à cliquer sur un lien pour réaliser une action donnée: annuler une commande, mettre à jour des données, recevoir un cadeau, obtenir un remboursement etc.
Lorsque vous cliquez sur le lien, vous êtes redirigé(e) vers un site Internet frauduleux reprenant les codes visuels du site Internet officiel.
Sur le site, il vous est demandé de renseigner des informations personnelles, professionnelles et/ou bancaires.
Une fois les données communiquées, elles sont récupérées par des cybercriminels pour être utilisées aux dépens des victimes.
Comment identifier l'arnaque?
Voici quelques exemples de messages électroniques qui doivent vous alerter :
Demande de mise à jour ou de confirmation de données personnelles suivantes : identifiants, mots de passe, coordonnées bancaires… par un prétendu organisme public ou commercial de confiance.
Demande d’informations inattendue pour un remboursement, une annulation de commande, une livraison etc.
Demande d’informations contre l’envoi d’un cadeau
Demande d’informations pour participer à un jeu-concours avec un gain attrayant.
Appel aux dons frauduleux.
Demande de règlement pour éviter la fermeture d’un accès, la perte d’un nom de domaine ou une prétendue mise en conformité avec une loi récente.
Aucune administration ou société ne demande vos données bancaires ou votre mot de passe par mail. Et aucune ne vous laissera aussi peu de temps qu'un hameçonneur pour effectuer vos démarches.
Souvent, ces mails contiennent des fautes d'orthographe ou des images de mauvaise qualité. Mais cela est de moins en moins vrai, car même les arnaqueurs peuvent utiliser un correcteur orthographique!
La première chose à vérifier est l'expéditeur. Lorsqu'on reçoit un mail frauduleux, on a l'impression que c'est vrai car l'expéditeur affiché est, par exemple, la CAF. Mais cet identifiant est en fait celui du profil de la boîte mail, pour lequel on peut mettre ce qu'on veut. Vous aussi vous pouvez changer le vôtre pour mettre une photo et un pseudo. Eux ont mis un logo et le nom d'une entreprise existante.
Mais vous pouvez vérifier la véritable adresse mail de l'expéditeur pour vous assurer de la provenance du mail. Avec le phishing vous n'aurez pas caf.fr ou impots.gouv.fr, mais une adresse le plus souvent étrangère et/ou composée de chiffres. Parfois, mais c'est de plus en plus rare, les adresses diffèrent seulement d'un seul caractère de l'adresse officielle, pour berner les gens qui ne sont pas assez attentifs.
Remarquez que le mail dit bonjour non pas au destinataire, mais à l'adresse mail du destinataire. En effet, les arnaqueurs n'ont que ça comme données sur les gens à qui ils envoient leurs mails, alors que votre banque ou une administration vous appellera par votre nom de famille, tout en rappelant vos coordonnées, votre numéro fiscal ou d'allocataire etc.
Enfin, tous les sites web des administrations et des grandes entreprises type banques, assurances, fournisseurs d'accès internet et téléphone sont sécurisés. Si vous avez cliqué sur le lien contenu dans le mail vérifiez l'adresse url du site dans la barre d'adresse en haut de votre page. Si elle commence par "https" ou s'il y a un cadenas affiché par votre navigateur, c'est qu'il s'agit d'un site sécurisé où vos données sont protégées. Les sites des arnaqueurs n'ont bien sûr pas ce genre de sécurité.
ATTENTION: il n'est pas recommandé de cliquer sur les liens contenus dans des mails de phishing, car vous pouvez arriver sur un site qui infectera votre matériel avec un virus!
Que faire quand on reçoit un mail d'hameçonnage?
Si vous identifiez un mail de phishing, il ne faut pas répondre, ni cliquer sur le lien contenu dans le message, ni ouvrir les pièces-jointes.
Vous pouvez signaler le mail comme étant du phishing (par exemple dans Gmail: il faut cliquer sur l'icône composée de trois points à côté de la flèche "répondre" et dans le bandeau qui s'affiche sélectionner "signaler comme phishing"). Le mail sera alors supprimé de votre boîte de réception, et au bout d'un certain nombre de signalements l'adresse sera fichée par votre hébergeur de mails.
Vous pouvez aussi les signaler sur la plate-forme Pharos, à l'adresse https://www.internet-signalement.gouv.fr/ afin que les autorités soient au courant de cette arnaque, surtout si vous pensez que l'auteur est en France.
Que faire en cas d'hameçonnage par SMS/MMS sur mon téléphone portable?
Vous pouvez transférer le SMS abusif au numéro 33700. Il s'agit d'un dispositif d'alerte par SMS créé par les opérateurs télécoms, les éditeurs de services et les hébergeurs, en concertation avec le Secrétariat d'Etat chargé de l'Industrie et de la Consommation.
Après ce transfert, vous recevrez un message vous demandant d'envoyer au 33700 le numéro depuis lequel vous avez reçu le SMS abusif. Ces informations sont transmises aux opérateurs, y compris le vôtre, qui pourront agir rapidement auprès des organismes à l'origine de ces sms.
L'envoi d'un SMS au 33700 est gratuit pour les clients Bouygues Telecom, Orange et SFR. Pour les autres opérateurs, l'envoi d'un SMS au 33700 peut s'effectuer au prix d'un SMS normal (gratuit si vous avez les sms illimités). Pour plus d'informations, vous pouvez vous connecter sur www.33700-spam-sms.fr
J'ai envoyé mes informations, que faire?
Il arrive que, malgré les précautions, l’on réponde à une demande par courriel qui semblait légitime. Dans ce cas, voici les premiers réflexes à adopter :
si vous avez envoyé un mot de passe, changez-le immédiatement sur le site copié.
si ce mot de passe est aussi celui de votre boîte mail, changez-le immédiatement ainsi que tous les mots de passe des comptes connectés à l’adresse mail concernée.
si vous avez transmis des informations bancaires prévenez votre banque, et faites opposition à votre carte avant de constater que votre compte est prélevé. Si c'est le cas déposez une plainte au commissariat ou à la gendarmerie la plus proche.
Si vous avez repéré l’arnaque avant d’envoyer vos données personnelles, et que vous n'avez pas cliqué sur un lien, celles-ci ne sont a priori pas en danger. Au pire, les hameçonneurs ont votre adresse et vous continuerez de recevoir des mails pour tenter de vous avoir.
Pourquoi recevez-vous des mails de phishing?
Il existe des listes d'adresses mails qui se vendent et se revendent frauduleusement. Lorsque vous voyez dans la presse que telle ou telle entreprise a été piratée, généralement ce n'est pas grave car les données bancaires n'ont pas été volées.
Mais souvent les pirates ont volés la liste des adresses mails des clients, qui est une donnée moins sécurisée, car les entreprises les utilisent pour envoyer des newsletters, des infos et des promotions à leurs clients, et ce parfois par le biais d'entreprises sous-traitantes qui doivent pouvoir accéder à ces données, ce qui fragilise leur accès.
Quelques exemples:
en 2011, Sony a été piraté et les informations de 77 millions d'utilisateurs ont été volées
en 2013, c'était Adobe Systems (qui développe le lecteur Flash et Acrobat Reader pour les PDF): les infos de 130 millions d'utilisateurs ont été volées
en 2016 Yahoo a subi un piratage: les identifiants d'au moins un milliard de comptes ont été volés (jusqu'à trois milliards possible)
en 2021, un cadre de CDiscount est arrêté pour avoir voulu revendre les données de 33 millions d'utilisateurs pour 20.000$ (noms, sexes, adresses, email et téléphone personnels, ainsi que le détail des achats des deux dernières années)
Ces listes peuvent aussi se constituer avec... des arnaques au fishing. Elles permettent de récupérer des données fournies par les gens eux-mêmes, correspondant aux adresses mail.
Cela peut sembler inquiétant, mais il ne faut pas s'alarmer. Les données servent le plus souvent à trouver des clients potentiels à cibler pour des pubs ou des élections, ou... pour envoyer d'autres arnaques en masse.
C'est pour cela que si vous recevez des attaques de phishing fréquemment, cela ne s'arrêtera pas, car votre adresse est dans une base de donnée (comme un annuaire utilisé par les arnaqueurs). Vous pouvez créer une nouvelle adresse mail, mais de toute façon il faudra continuer à faire preuve de méfiance à chaque mail que vous recevez, en vérifiant toujours l'expéditeur.
Une bonne solution...
...c'est de vous créer plusieurs adresses mails spécialisées:
une "sérieuse" (type nom.prénom@hébergeur.fr) pour postuler à un emploi et pour vos comptes sur les sites de l'administration, la banque etc., si vous ne la diffusez pas plus elle restera "propre",
une pour les amis, la famille et vos sites web types marchands, réseaux sociaux, jeux vidéos que vous utilisez régulièrement,
et une dernière pour toutes vos inscriptions sur des sites que vous ne connaissez pas, ou que vous ne comptez pas utiliser longtemps (pour vous inscrire à un jeu-concours ou signer une pétition par exemple...).
Si vous avez un mot de passe différent sur chaque adresse vous serez déjà bien mieux protégés (revenez sur ok-caps.fr, vous aurez bientôt un tuto pour créer des mots de passe efficaces et faciles à retenir).
Si en plus vous activez la double vérification sur les sites importants (administration, banque, achats...) vous blindez un peu plus votre sécurité. Si en plus vous changez de mot de passe de temps en temps, vous serez inattaquables! ;-)
