Phishing : il faut se débarrasser de ces 3 préjugés encore trop communs
Sur Cyberguerre, nous essayons d'alerter nos lecteurs sur les principales campagnes de phishing françaises. Ces envois de messages, par email ou par SMS, visent à extorquer vos données personnelles, vos informations bancaires, ou vos identifiants de connexion à différents comptes. Les plus vicieux d'entre eux poussent les victimes à télécharger des malwares, capables de causer encore plus de dégâts.
Le terme phishing couvre par ailleurs une grande variété de menaces. Les campagnes les plus basiques sont sans queue ni tête, écrites dans un français approximatif, et des dizaines de détails, parfois grossiers, permettent d'en révéler le caractère frauduleux. À l'inverse, les phishings les plus pointus s'avèrent extrêmement difficiles à déceler : ils se nourrissent d'informations collectées dans les fuites de données, et sont particulièrement bien renseignés sur les discussions des victimes. Entre ces deux extrêmes, il existe un large spectre de phishings bien faits, mais repérables par les cibles attentives.
À la lecture de nombreux témoignages et après de nombreuses discussions, Cyberguerre a identifié des préjugés récurrents chez les cibles de phishing. Les voici.
L'entreprise utilisée pour le phishing n'a pas été piratée
C'est le préjugé le plus courant. Imaginons qu'une personne a reçu un faux message de la Fnac ou de Darty, par exemple. Dans le phishing se trouvent son nom, sa date de naissance, et son adresse, des informations qu'elle a utilisés un peu plus tôt pour commander sur le site concerné. La conclusion coule de source : l'entreprise a eu un problème de sécurité, les données ont fuité, et des malfaiteurs s'en sont servi pour faire ce phishing.
Dans la grande majorité des cas, ce constat est faux. Les malfaiteurs auront récupéré vos informations sur des bases de données issues d'autres fuites de données plus ou moins connues. Les bases de données les plus communes sont accessibles gratuitement à qui sait chercher, sans même passer par Tor pour aller sur le « dark web ». D'autres fuites de données sont connues que d'une poignée d'acteurs malveillants de haut niveau, et s'échangent à prix d'or. Elles servent à armer des phishings particulièrement ciblés contre des personnes à des postes clés des entreprises, ou détenant des informations confidentielles. L'individu moyen ne sera donc pas concerné.
Bien sûr ce constat général à ces contre-exemples, et les malfaiteurs jouent parfois sur l'ambiguïté. C'est le cas d'un phishing de Ledger, une entreprise qui a rendu publique une fuite de données cette année, suivie par plusieurs vagues de phishing visant ses clients. Mais ces cas ne représentent qu'une petite partie du lot gigantesque de phishing en circulation.
Signaler le phishing à l'entreprise, via son adresse dédiée si elle en a une, lui permettra de prendre des mesures contre la campagne et de prévenir ses clients.
Vérifier l'adresse de l'émetteur du message ne suffit pas
Vous avez déjà entendu ce conseil : si vous avez un doute sur le contenu d'un message, il suffit de vérifier l'adresse de l'expéditeur. Et si elle ne correspond pas au nom de domaine (entreprise1.com, entreprise2.fr, entreprise3.net...) du site officiel de l'entreprise, alors c'est sûrement un phishing. C'est un bon conseil : si vous faites cette vérification rapide, vous détecterez déjà une bonne partie des phishings.
En revanche, cette garantie est loin d'être suffisante, et pour cause : il est facile pour n'importe qui de changer l'affichage de son nom d'expéditeur en quelques clics. Rien n'empêche d'écrire un message sous le nom [email protected], par exemple. Mais cette méthode n'est pas systématiquement utilisée, car elle a une importante limite : la plupart des services d'emails vont identifier le décalage entre l'adresse d'envoi réelle et celle affichée. Sauf que les services les moins performants ne vont pas écarter ces messages en spam, ce qui peut inciter les cibles qui vont les recevoir en erreur. Pour déceler l'affichage frauduleux, il faut aller dans l'en-tête de l'email, ce qui requiert quelques connaissances techniques supplémentaires que n'ont pas la majorité des personnes.
Conclusion : même si l'adresse de l'émetteur parait correcte, si le message parait suspect, trouvez un autre moyen de vérification, et privilégiez toujours un passage par le site ou l'app officiels de l'entreprise citée quand c'est possible.
Par SMS, le travail d'usurpation d'identité des cybercriminels est encore plus facile : ils peuvent afficher le nom de leur choix sans aucune vérification, et les utilisateurs n'auront aucun moyen de vérifier. C'était le cas de cette fausse campagne de publicité pour TousAntiCovid qui se faisait passer pour le gouvernement, afin de diffuser un dangereux malware.
Cliquer sur un lien ne suffit pas à vous pirater
Nous recevons régulièrement des messages de lecteurs et lectrices inquiets : ils ont cliqué sur un lien de phishing. S'ils ont vite fermé la fenêtre, ils s'inquiètent tout de même d'avoir été piratés.
Dans l'écrasante majorité des phishings, cliquer sur un lien vers un site web frauduleux ne causera aucun dégât sur l’appareil du visiteur. Seuls des hameçonnages extrêmement pointus pourraient le faire, et ils ne seraient pas diffusés à large échelle. Attention tout de même à l'arnaque au support informatique, qui exploite des options d'affichage pour faire croire à un piratage. Mais il suffit le plus souvent de redémarrer son ordinateur pour s'en débarrasser.
Tant que vous n'avez pas rempli de formulaire ni téléchargé un fichier, vous ne risquez très probablement rien. Mais mieux vaut être trop prudent que pas assez : changer le mot de passe du compte que vous pensez compromis est toujours une bonne idée.
Si vous tombez sur un phishing élaboré, n'hésitez pas à contacter la rédaction de Cyberguerre à [email protected]