Accueil > Archives > Fiches pratiques et articles (archives) > Sécurité informatique > Le phishing
Le phishing

Qu’est-ce qu’un phishing ?

Le phishing est une technique permettant à des personnes malveillantes de récupérer des informations personnelles et/ou confidentielles d’un internaute en lui faisant croire qu’il se trouve sur un site de confiance. La victime, croyant être sur le site officiel, dévoile en toute confiance des informations confidentielles telles que son numéro de carte de crédit ou son mot de passe.

Le point d’entrée de ce type d’attaque est généralement la messagerie.

La traduction française de ce type d’attaque est hameçonnage.

 

Comment repérer un phishing ?

Contrairement au hoax (canular), le phishing est plus subtile à déceler. Comme évoqué ci-dessus, le point d’entrée d’un phishing est généralement la messagerie. En effet, la victime reçoit un e-mail dont le contenu est semblable en tout point à un e-mail officiel. En suivant les liens qui sont indiqués dans le message, la victime se retrouve sur un site frauduleux.

Un utilisateur non vigilant peut rapidement se faire avoir car les messages et sites utilisés par les fraudeurs semblent officiels.

Généralement, lors d’une tentative de phishing, la victime reçoit un message l’incitant à valider certaines informations à son sujet en prétextant un blocage ou une suppression de compte si cette validation n’est pas effectuée.

 

Comment éviter de se faire piéger ?

Bien que l’attaque soit parfois très subtile et difficile à repérer, il est tout à fait possible de ne pas tomber dans le piège. Voici comment faire :

  • Lorsque vous voulez vous rendre sur un site nécessitant la saisie d’informations personnelles et/ou confidentielles, saisissez vous même l’adresse dans votre navigateur. Ne suivez jamais un lien se trouvant dans votre messagerie.
  • Mettez vos sites en favoris et utilisez-les pour vous y rendre.
  • Supprimez systématiquement tout message vous demandant de confirmer un mot de passe. Aucun site de confiance ne vous demandera de confirmer un mot de passe par messagerie.
  • Si vous recevez une demande de confirmation et que vous n’êtes pas à l’origine de cette demande, supprimez-la.
  • En cas de doute sur la réception d’un message, contactez le site officiel pour obtenir des informations.

 

Que faire lorsque l’on s’est fait piéger ?

Changer immédiatement les mots de passes et contacter le site officiel pour résoudre le problème.

 

Un exemple de phishing :

En apparence, le mail ci-dessous semble venir de Google. Ce mail demande de valider certaines informations bancaires relatives à votre compte Adwords en vous rendant sur une page internet.

Aperçu du mail :
Aperçu du mail

En regardant le code source du mail, on peut voir que le lien ne pointe pas vers le site de Google comme il voudrait le faire croire, mais vers un site dont le nom de domaine laisse penser qu’il est en Chine.

Aperçu :
Analyse de la source

Enfin, quand on regarde l’en-tête du mail, on voit qu’il n’a pas été envoyé par Google.

Aperçu :
Entête du message