Hameçonnage (phishing)

Qu’est-ce que l’hameçonnage ?

L’hameçonnage (phishing) désigne le vol de mots de passe en dupant les gens, en utilisant un site web faux qui imite un site légitime. L’hameçonnage se fait souvent par e-mail, l’expéditeur prétendant être une personne ou une entreprise connue. Les messages d’hameçonnage invoquent généralement un sentiment d’urgence ou de panique, et incitent les lecteurs à agir immédiatement.

Comment fonctionne l’hameçonnage ?

Un fraudeur crée un site web qui ressemble à la page d’identification d’un site légitime. Il essaie ensuite de faire venir les gens sur son site, en espérant qu’ils entreront leurs identifiants et mots de passe pour le site « réel » (ou contrefait).

Chaque fois qu’un utilisateur entre un mot de passe sur le site d’hameçonnage, le site l’enregistre, puis redirige l’utilisateur vers le site légitime pour qu’il ne se doute de rien. L’escroc peut ensuite utiliser ou vendre les mots de passe volés.

Notez que ces sites contrefaits peuvent avoir des degrés de qualité variables. Dans certains cas, ils sembleront visuellement très différents de l’original, et seront des contrefaçons évidentes. Dans d’autres cas, la version contrefaite sera presque indiscernable de la vraie.

Comment les fraudeurs attirent-ils les gens sur leurs sites ?

Une méthode courante pour les fraudeurs consiste à envoyer des e-mails ou des SMS qui semblent provenir d’une source légitime. Ces messages incluent un lien vers le site d’hameçonnage et tentent de séduire ou de mettre la pression sur l’utilisateur pour qu’il clique. Ils peuvent utiliser un langage qui implique une certaine urgence, comme en disant « Votre compte sera supprimé à moins que vous ne cliquiez ici pour vous connecter immédiatement ! » Ils peuvent également offrir une récompense, comme : « Vous avez gagné 1000 € ! » Cliquez ici pour réclamer votre prix ! »

Une autre tactique d’hameçonnage est le « typosquatting ». Dans ce cas, un hameçonneur achètera un nom de domaine similaire à l’URL du site légitime qu’il imite, et mettra en place un site de hameçonnage pour piéger les utilisateurs qui tapent incorrectement l’URL du site légitime (URL). Pour éviter cela, de nombreuses grandes entreprises achètent plusieurs noms de domaine similaires au leur (par exemple, Google possède « googel.com »).

Comment me protéger contre l’hameçonnage ?

Il y a quelques mesures que vous pouvez prendre pour vous protéger contre l’hameçonnage :

• Activez la fonctionnalité de navigation sécurisée dans votre navigateur Web. Tous les navigateurs principaux prennent en charge cette fonctionnalité ; elle peut vous avertir si vous êtes sur le point de visiter un site d’hameçonnage connu.
• Chaque fois que vous êtes sur le point de vous connecter à un site web ou de saisir des informations importantes, examinez attentivement l’adresse du site dans l’URL, et assurez-vous qu’elle correspond à ce que vous attendiez.
• Si vous suspectez que votre mot de passe pour un site a été volé, changez votre mot de passe sur ce site immédiatement, ainsi que sur tout autre site où vous utilisez le même mot de passe. De manière idéale, vous devriez utiliser un mot de passe différent pour chaque site ; cela limite les dégâts si l’un d’eux est hameçonné. Utilisez un gestionnaire de mots de passe pour stocker en toute sécurité tous vos mots de passe et pour générer des mots de passe aléatoires et uniques pour chaque compte et site web que vous consultez.
• Il est conseillé d’activer l’authentification à deux facteurs (2FA), ou authentification multifacteur, sur chaque account qui le supporte. Cela ne vous empêchera pas d’être victime d’hameçonnage, mais cela limitera les dégâts si cela se produit : même si un fraudeur parvient à obtenir votre mot de passe, il n’aura pas accès à votre deuxième facteur (généralement un code numérique unique et temporaire qui est également nécessaire avant que vous puissiez accéder à votre compte sur un site ou une application).