En 2023, il est impossible de passer à côté des sites de phishing destinés à vous piéger. Savez-vous reconnaître l’original de la copie parmi des services comme Netflix, Amazon ou Chronopost ?

Il suffit de consulter les spams de sa boîte mail pour découvrir que les tentatives d’hameçonnage ne connaissent pas de répit. Colis en attente de réception, amendes à payer au plus vite, carte vitale à renouveler… Les hackers multiplient les tentatives afin de voler vos données personnelles.

Leurs approches sont devenues tellement sophistiquées que même les plus méfiants peuvent se faire piéger. Les sites frauduleux ressemblent traits pour traits à ceux de l’État ou de grands services du web. Avez-vous l’œil assez aguerri pour les repérer ? Testez en direct votre capacité à les identifier.

L’hameçonnage : c’est quoi ?

Aussi appelé « phishing », l’hameçonnage est l’une des méthodes les plus utilisées par les pirates informatiques pour collecter abusivement vos données personnelles (coordonnées, RIB, numéro de carte bancaire, mots de passe…).

Les objectifs derrière ces pratiques peuvent être variées : usurper votre identité, vider votre compte bancaire, ou encore revendre vos informations sur le dark web, car celles-ci ont une grande valeur marchande.  

Exemples de SMS de phishing // Source : captures d'écrans
Exemples de SMS de phishing. // Source : Captures d’écrans

Pour parvenir à leurs fins, les hackers ciblent large et envoient leurs tentatives de fraude au plus grand nombre. Au départ, tout commence par un e-mail ou un SMS. Si autrefois ces messages étaient grossiers et truffés de fautes, ils sont désormais parfaitement crédibles.

Ils peuvent aussi bien se faire passer pour Netflix, Chronopost, ou encore le service des impôts. L’objectif étant de vous amener à cliquer sur des liens depuis des messages vraisemblables. Comme celui vous invitant à régler des frais de douane avant de récupérer un colis.

Sur ce point, les hackers ne lésinent pas sur les moyens et copient le moindre détail des sites qu’ils dupliquent. Au premier regard, tout y est, du logo, aux boutons, en passant par les mentions en bas de page. Confiant, vous saisissez vos données et c’est là que le piège se referme sur vous. 

Test : selon vous, quels sont les sites web originaux et les copies malveillantes ?

Pour vous montrer à quel point la technique des spécialistes de l’hameçonnage est élaborée, nous avons sélectionné pour vous quelques exemples. Parviendrez-vous à reconnaître le vrai site de la copie ?

Les impôts

Site de gauche Site de droite

Difficile, n’est-ce pas ? Visuellement, il est purement impossible de distinguer le faux (à gauche), du vrai (à droite). Une fois sur la page, dont nous ne communiquons pas l’URL pour des questions de sécurité, certains boutons du site frauduleux ne sont pas cliquables. Tout se joue alors sur l’URL, qui n’a ici rien en commun avec l’originale.

Netflix

Site de gauche Site de droite

Les hackers mettent vraiment le paquet pour gagner la confiance des internautes. Dans ce cas précis, hormis les films et séries présentés en fond, une orthographe différente du mot « e-mail » et une identification possible via Facebook sur le site frauduleux (à droite), tout est semblable, y compris la typographie.

La vignette Crit’Air

Site de gauche Site de droite

Cet exemple est légèrement différent des deux premiers. Ici, les deux versions ne sont pas identiques, mais chacune d’elle est crédible. Et, même si la page de droite dédiée au règlement de la vignette Crit’Air semble imparfaite, avec un design rappelant un ancien site web, c’est bien celle-ci l’officielle.

Apple 

icloud fake

Vrai ou faux ? Là encore, aucune faute d’orthographe, un logo conforme à celui d’iCloud d’Apple. Et pourtant, il s’agit bien d’un cas de phishing.

Chronopost

chronopost fake

Ce dernier exemple est plus grossier, mais il suffit d’être pressé et peu attentionné pour tomber dans le piège. Ici, le logo de Chronopost est bien repris, mais le nom du service est coupé. Au-delà, c’est surtout la demande de règlement par carte bancaire qui doit vous alerter. Dans la plupart des cas, c’est ce que les hackers essaient d’obtenir.

Quelques astuces pour les repérer facilement

Heureusement, il existe quelques méthodes simples et pratiques pour repérer ces faux sites web. Voici les principaux points à contrôler avant de saisir la moindre information sensible sur un site web.

La provenance du lien

Avant même de vérifier si l’URL transmise par e-mail est fiable ou non, prenez un instant pour analyser la source du courriel. Si l’adresse e-mail de l’expéditeur semble totalement décorrélée de l’organisme pour lequel il se fait passer, n’ouvrez aucun des liens fournis. 

Les organismes officiels et les marques utilisent systématiquement leur nom pour communiquer. Ainsi, toute la partie après le @ est importante et doit correspondre au nom de domaine de l’entreprise concernée. Hormis chez les indépendants, les adresses Gmail, Hotmail, ou de tout autre service de messagerie sont rares chez les professionnels. 

L’URL

Les URL commencent toujours par le nom de domaine du site concerné. Par exemple : www.amazon.fr, www.netflix.com, www.laposte.fr. Seuls les éléments situés après le nom de domaine varient en fonction des pages sur lesquelles vous vous trouvez. Une URL ne débutant pas ainsi doit donc immédiatement vous alerter. 

Pour les sites de l’État, c’est un peu différent. Ils ne débutent pas tous de la même manière, mais finissent obligatoirement par « .gouv.fr ». Tout dans ce suffixe a son importance, y compris la ponctuation. En effet, certains sites frauduleux imitent l’URL des services publics en remplaçant par exemple le point par un tiret. 

Une page simplifiée

Si certains hackers imitent à la perfection les sites officiels, d’autres optent pour une version allégée et ne reprennent que le logo ainsi que quelques éléments de la page.

Voici une autre page frauduleuse copiant Netflix. Non seulement elle est simpliste, mais en plus l'URL débutait par multiportslip.com // Source : capture d'écran
Voici une autre page frauduleuse copiant Netflix. Non seulement elle est simpliste, mais en plus l’URL débutait par multiportslip.com. // Source : capture d’écran

Si celle-ci vous semble bien trop épurée et que les mentions légales sont absentes, la probabilité que vous soyez sur un site frauduleux est élevée. 

Des alertes sur le navigateur 

Les sites frauduleux ne passent pas toujours au travers des outils de sécurité embarqués dans votre navigateur. Si ces derniers vous indiquent que la page web présente un risque, ne forcez surtout pas l’accès. 

Dans tous les cas, si vous avez le moindre doute sur la source d’un SMS ou d’un e-mail, ou bien sur la fiabilité d’une page web, arrêtez tout et recherchez le site officiel concerné sur Google. Ensuite, connectez-vous à votre espace personnel. Vous devriez y retrouver les mêmes informations que sur l’e-mail ou le SMS reçu. Ces précautions vous permettront d’éviter de tomber dans de nombreux pièges. Mais, comme le risque zéro n’existe pas, certaines solutions, comme celles de Bitdefender, vous permettent de vous prémunir facilement contre les risques d’hameçonnage.

Bitdefender : une solution pour se prémunir contre le phishing

Ne pas tomber dans le piège de l’hameçonnage requiert de l’attention et peut s’avérer chronophage. Pour ne plus avoir à se poser des questions à chaque e-mail et SMS reçu, ce spécialiste de la cybersécurité a élaboré une solution pratique et abordable : Bitdefender Premium Security Plus. 

En plus de protéger jusqu’à 10 appareils contre les virus, les malwares et les ransomwares, l’outil détecte et bloque automatiquement les sites frauduleux. Vous pouvez alors naviguer sur internet en toute sécurité.

En complément, Bitdefender vérifie quotidiennement l’état de vos données personnelles et vous indique quels sites internet disposent d’informations sur vous. La solution se charge alors de vous alerter dès lors que vos données sont exposées, y compris sur le dark web. Pour aller encore plus loin, Bitdefender vous propose des actions correctives pour reprendre la main sur chacune d’elles et lutter contre les risques d’usurpation d’identité. 

Simple à installer, ainsi qu’à utiliser, cette solution de cybersécurité est aussi l’une des plus complètes du marché. En ce moment, Bitdefender Premium Security Plus profite d’une belle remise et voit le prix de son abonnement annuel tomber de 179,99 à seulement 69,98 euros.

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+