La division Jigsaw de Google a publié le 22 janvier 2019 un petit site web interactif extrêmement bien fait pour apprendre aux internautes à identifier des techniques de phishing répandues. Ce qu’on appelle hameçonnage en français est la forme la plus répandue de cyberattaque : elle consiste à faire croire à un utilisateur qu’un mail est légitime alors qu’il a pour but une action malveillante (vol de mot de passe, téléchargement d’un virus ou d’un malware etc.).
Le phishing est arrivé à un niveau de raffinement si élevé qu’il trompe aujourd’hui jusque dans les multinationales où l’on aurait imaginé un niveau de sécurité maximal. Au fond, son efficacité tient à la cible de son attaque qui peut être un maillon faible dans un système : l’humain. Pour lutter contre cela, il n’y a guère que la formation qui fonctionne et c’est précisément ce que Google réussit à faire avec brio par son quiz.
Ce qu’il faut vérifier sur un mail
On regrettera seulement de ne pas le voir traduit en français, dans la mesure où le phishing est loin d’être réservé au web anglophone. On peut résumer ses enseignements en quelques points à vérifier quand on reçoit un email qui demande de faire une action :
- Vérifier l’expéditeur : si l’expéditeur ne correspond pas au nom de domaine du site qu’il prétend représenter, c’est probablement un piège (et les différences peuvent être subtiles, comme une simple lettre changée)
- Vérifier tous les liens avant de cliquer : quand vous passez votre pointeur de souris sur un lien, il va s’afficher en bas de votre navigateur. Il existe bien des moyens de faire un sous-domaine frauduleux qui ressemble à un vrai domaine : par exemple, on pourrait créer facilement le nom de domaine google.numerama.com et vous renvoyer dessus. Cela ne serait clairement pas un nom de domaine de Google.
- Faire attention aux URL raccourcies : si vous avez un doute sur un mail officiel et qu’il passe en plus par un lien raccourci (bit.ly, goo.gl, tinyurl…) pour vous diriger vers les actions à faire, ne cliquez pas.
- N’ouvrez pas les pièces jointes avant d’être sûr de votre correspondant : cliquer sur une pièce jointe frauduleuse, qui cache par exemple du code malicieux dans un faux document .pdf est très vite arrivé. Vérifiez avant votre expéditeur et sa légitimité. Vous pouvez également enregistrer une pièce jointe douteuse sur un service en ligne (Google Drive, Dropbox…) pour l’ouvrir (ou tenter de l’ouvrir) sans la télécharger.
Découvrez les bonus
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Il y a une bonne raison de ne pas s'abonner à
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
