Le Phishing

Le phishing (également appelé hameçonnage) est une technique visant à exploiter aussi bien des failles informatiques que humaines. Cela consiste la plupart du temps en une escroquerie bancaire.

Des personnes malveillantes utilisent cette technique pour se faire passer pour de grandes sociétés ou des organismes financiers qui vous sont familiers en vous envoyant des emails frauduleux et récupèrent ainsi des mots de passe de comptes bancaires ou numéros de cartes de crédit pour détourner des fonds.

Nous prendrons donc l’exemple d’une banque mais il peut également s’agir d’un opérateur téléphonique ou d’un réseau social de type Facebook ou Twitter.

Son principe est simple : un pirate crée un site web en tout point identique à celui de la société visée et envoie un email aux internautes.

Dans le cas d’une banque par exemple, les clients cliquent sur le lien renvoyant sur le faux site et entrent leurs coordonnées pour s’identifier.

Le pirate usurpe l’identité de la victime en se connectant à sa place et de ce fait, accède à ses informations bancaires lui ouvrant ainsi une brèche vers de nombreuses arnaques possibles.

Quels sont les moyens de se protéger contre le phishing ?

1. Toujours se connecter en tapant l’adresse de votre banque (ou autre site sensible) dans votre navigateur ou en utilisant un lien gardé dans vos favoris ou vos marque-pages. Méfiez-vous des adresses que vous ne connaissez pas.

2. Éviter de passer par un moteur de recherche pour accéder au site de votre banque car un site de phishing pourrait apparaître dans la liste des résultats.

3. Les centres des impôts n’envoient jamais ce genre de courriel. Ils ne passent jamais par un courrier électronique pour demander à leurs assujettis de saisir leurs informations personnelles.

4. Les banques et organismes sociaux (CAF, mutuelles, etc.) n’envoient jamais ce genre de courriel : Ils ne passent jamais par un courrier électronique pour demander à leurs clients de saisir leurs informations personnelles. Pour se connecter au site de sa banque il vaut mieux entrer manuellement l’adresse réticulaire (URL) du site dans votre navigateur.

5. Préférer saisir des informations personnelles (coordonnées bancaires, identifiants, etc.) sur des sites internet sécurisés : un cadenas apparaît dans le navigateur et l’adresse du site commence par HTTPS au lieu de HTTP.

6. Ne pas cliquer sur les liens contenus dans les courriers électroniques : les liens affichés dans les courriers électroniques peuvent en réalité diriger les internautes vers des sites frauduleux. En cas de doute, il est préférable de saisir manuellement l’adresse dans le navigateur.

7. Être vigilant lorsqu’un courriel demande des actions urgentes.

8. Utiliser le filtre contre le filoutage du navigateur internet : la plupart des navigateurs (Microsoft Internet Explorer 7, Mozilla Firefox, Opéra) proposent une fonctionnalité d’avertissement contre le filoutage. Leurs principes peuvent être différents (liste noire, liste blanche, mot clé, etc.) et sans être parfaites, ces fonctions aident à maintenir la vigilance de l’utilisateur.

9. Utiliser un logiciel de filtre anti-pourriel : la plupart du temps ces tentatives d’escroquerie se diffusent par le biais de courriers électroniques. Même si les logiciels de filtrage ne sont pas parfaits, ils permettent de réduire le nombre de ces courriels.

10. Ne jamais répondre ou transférer ces courriels.

En cas de doute ou de problème, prendre contact rapidement avec son agence bancaire ou l’organisme qui aurait envoyé ce courriel. D’une manière générale, être vigilant et faire preuve de bon sens : ne pas croire que ce qui vient de l’internet est forcément vrai.

Si vous recevez un e-mail sur lequel vous avez un doute, ne faites rien et contactez l’expéditeur officiel du courriel afin de l’identifier et de savoir s’il a véritablement envoyé un e-mail.

Les tentatives de hameçonnage étant de plus en plus nombreuses par e-mail, nous allons donc voir ci-dessous comment détecter un e-mail de phishing.

Comment détecter un e-mail de phishing ?

Très souvent il s’agit d’e-mails où l’on demande au destinataire de se connecter afin de réactiver un compte bancaire ou de réaliser des modifications sur ce compte.

De plus, si votre logiciel de messagerie empêche les images du message de s’afficher, faites lui confiance ! Du contenu actif et malveillant peut être activé par l’affichage de ce type d’images.

Dans le doute, contacter l’expéditeur officiel du message pour déterminer s’il est bien le rédacteur du message et s’il est effectivement nécessaire de réactiver un compte ou de procéder à une modification de données.

Même si l’adresse comprise dans l’e-mail est conforme à l’adresse officielle de votre banque, il est très facile pour un hacker de vous diriger vers un site frauduleux.

Regardez donc bien l’adresse vers laquelle on vous renvoie et vérifier qu’il s’agit, au caractère près, de l’adresse qui était signalée dans le mail.

Pensez également à regarder l’extension du nom de domaine ! labanquepostale.tk par exemple ne fait pas vraiment site officiel français de cette banque !

Quoi qu’il arrive, n’hésitez surtout pas à signaler à votre établissement bancaire tout e-mail suspect et ce, même si ce n’est pas du hameçonnage. Dans ce genre de cas, mieux vaut être prévoyant.

Notre responsabilité d’hébergeur

Le législateur, tant au niveau européen que français, a pris en compte la nature particulière de l’activité des hébergeurs en leur appliquant un régime de responsabilité spécifique.

Ainsi, les hébergeurs ne sont pas responsables des contenus hébergés. En application des dispositions de l’article 6.I.7 de la Loi pour la confiance dans l’économie numérique du 21 juin 2004 (LCEN), ils ne sont pas soumis à une obligation de surveillance générale des contenus hébergés sur leurs serveurs. Cette exonération de principe est l’un des piliers de la liberté d’expression, ou de la neutralité applicable à Internet.

Toutefois, l’exonération de responsabilité des hébergeurs n’est pas totale. La LCEN dispose à l’article 6.I.2 qu’à partir du moment où un contenu illicite est porté à sa connaissance, l’hébergeur doit agir promptement pour retirer ces données ou en rendre l’accès impossible.

Dans ce cadre, si un de nos clients nous signale un contenu de type phishing et que le caractère illicite de ce signalement est manifeste, alors nous appliquons une procédure de désactivation de l’hébergement incriminé ou tout du moins nous faisons en sorte que les données soient supprimées par le fraudeur.

Une page explicative de signalement de contenu illicite est disponible sur notre site en cliquant ici.

Signalez l’abus d’utilisation d’informations personnelles aux autorités compétentes.

Si vous pensez avoir été victime d’une escroquerie par phishing, signalez le immédiatement sur la plateforme « PHAROS » (plateforme d’harmonisation, d’analyse de recoupement et d’orientation des signalements) à l’adresse suivante :

Cette plateforme permet de signaler les sites internet dont le contenu est illicite, mais aussi la réception de phishing.

Votre signalement sera traité par un service de police judiciaire spécialisé dans ces questions, l’office central de lutte contre la criminalité et de la communication (OCLCTIC).

Enfin, vous pouvez également signaler les tentatives de phishing sur le site www.phishing-initiative.com, édité par l’association Phishing Initiative et destiné à alimenter les principaux navigateurs afin que l’accès à ces sites soit bloqué.