ToutSurTout.biz
Le phishing : qu'est-ce que c'est, et comment s'en protéger ?


https://www.world-lolo.com/images/uploads/image.num1450459309.of.world-lolo.com.jpg



On entend régulièrement le mot « phishing » ou, en bon français, « hameçonnage », revenir dans l'actualité. Peut-être en avez-vous vous-même été victime (peut-être même sans le savoir, tout est possible). Quoiqu'il en soit, personne n'est à l'abri d'une telle attaque, et il est donc important de savoir ce que c'est pour, ensuite, apprendre à s'en protéger.

C'est donc ce que nous allons voir dans cet article. Dans un premier temps, nous verrons ce qu'est exactement un phishing. Ensuite, nous verrons comment il est possible de s'en protéger efficacement, et aussi comment font certaines compagnies pour nous aider dans ce sens.

Vous pourrez vous-même constater que ce n'est pas très compliqué, et qu'il est même en réalité plutôt simple de ne pas se faire avoir, en ayant les bons réflexes.

Le phishing sert à récupérer vos données

Basiquement, le phishing est une technique qui peut être utilisée pour récupérer vos données personnelles, sans que vous ne vous méfiiez. C'est une sorte de social engineering : comprenez qu'aucune faille de sécurité dans un quelconque logiciel n'est exploitée, car c'est vous et vous seul qui donnez de votre plein gré ces données.

De votre plein gré, oui, car un fraudeur utilisant le phishing contre vous sait comment vous mettre en confiance. En réalité, vous n'aurez pas l'impression de discuter avec un étranger, mais bien avec une compagnie, un service, ou même une banque que vous connaissez bien.

Le plus souvent, un phishing est en effet effectué par mail. Vous recevez dans votre boîte un message quelconque vous demandant de renseigner certaines données, comme un mot de passe, des informations bancaires, etc.

Répondre à ces messages en divulguant les données réclamées n'est pas un synonyme de stupidité, bien au contraire : si beaucoup tombent facilement dans le panneau, c'est bien parce que ces messages sont bien faits.

Le fraudeur copie les messages officiels

Et tout le problème est là : le message que vous recevez ne semble pas provenir de n'importe qui. Un fraudeur consciencieux n'aura aucun mal à reproduire le style utilisé par les services en lignes dans leurs messages, et pourra même réutiliser leurs propres images. En bref : sans bien regarder, on jurerait avoir sous les yeux un message officiel.

D'ailleurs, certains vont même encore plus loin en allant reproduire des pages web. Il est en effet beaucoup plus facile qu'on ne le pense de recréer à l'identique une page web complète, copiant le style original. Avec des formulaires qui vont droit dans les boîtes mails du fraudeur au lieu de leurs destinations habituelles, bien sûr.

Comment se protéger d'un phishing ?

Si on s'arrête à cette rapide définition, rien ne semble pouvoir nous protéger d'un phishing. Mais il y a des signes qui vous permettent néanmoins de ne pas vous faire piéger.

Premièrement, le message en lui-même. Regardez bien le style, ou les images. Le fraudeur amateur ne prendra pas la peine d'utiliser un logo par exemple, alors que la plupart des organismes susceptibles de vous demander des informations sensibles le feront.

Ça, c'est pour un fraudeur qui ne prend pas la peine de faire attention. D'autres créent des mails réellement semblables aux officiels, et il faut alors chercher un peu plus loin. Dans ce cas-là, on peut toujours regarder du côté du contenu du mail en lui-même.

Eh oui, si le fraudeur veut certaines informations, il ne peut pas uniquement recopier, il faudra qu'il écrive lui-même. Les organismes officiels font rarement des fautes dans leurs messages : voir beaucoup de fautes dans un mail est bon signe du fait que vous avez affaire à un amateur.

Mais alors, que faire si le fraudeur applique les mêmes styles, sans faute, sans aucun signe ne montrant qu'il n'est pas l'organisme qu'il prétend être ? Il reste toujours le dernier recours : vérifier l'adresse de l'expéditeur. Si cette adresse utilise un nom de domaine un peu étrange, fuyez !

L'avantage de ce dernier recours, c'est qu'il fonctionne également pour les phishing utilisant de faux sites web. Une reproduction ne pourra pas utiliser le même nom de domaine, et c'est donc de ce côté-là qu'il faudra regarder (soyez vigilants sur les URLs proches, comme face-book.com ou twiitter.com par exemple).

Vous n'êtes pas seul

Cela paraît un peu naïf dit comme ça, mais sachez que vous n'êtes pas tout seul. Un fraudeur ne vous en veut pas personnellement et envoie des vagues de mails. Généralement, cela finit par se savoir et les organismes visés publient ces informations pour prévenir leurs utilisateurs.

À partir de là, vous savez si un message doit absolument être évité.

Par ailleurs, les organismes à qui vous confiez vos données ne sont généralement pas des incompétents, et savent très bien que de telles attaques existent. C'est pour cela que tous suivent la même règle : ne jamais demander d'informations sensibles par e-mail (c'est d'ailleurs indiqué dans leurs vrais mails pour certains).

Autrement dit, si PayPal vous envoie un mail vous réclamant votre mot de passe en réponse, ce n'est pas PayPal, et vous pouvez tranquillement supprimer le message.

Connaissez-vous vraiment une situation dans laquelle votre banque vous demanderait des informations sensibles ? Moi non plus. Et si jamais c'était réellement le cas, un conseiller vous appellerait, ou ce genre de choses.

Quoiqu'il arrive, si on vous demande des informations personnelles, rien ne presse, et surtout rien ne passe par e-mail. C'est la règle d'or.

Dans le cas où l'information est réellement requise, donc, un formulaire sera présent sur le site web de l'organisme, vous permettant de l'entrer. Bien sûr, vous aurez bien pris soin de ne pas cliquer sur un quelconque lien du mail : pour accéder à un tel formulaire, s'il existe, mieux vaut entrer soi-même l'adresse du site web en question (toute l'utilité d'un historique ou, mieux, des marque-pages est là).

Du spam comme un autre

Le phishing n'est rien d'autre qu'un bon vieux spam. Et certains clients mails parviennent d'ailleurs à les détecter comme tels. Par exemple, Gmail vous prévient lorsqu'il soupçonne qu'un e-mail n'est pas envoyé par l'expéditeur qu'il prétend posséder.

En suivant ces quelques consignes de base, vous ne devriez donc jamais tomber dans le piège du phishing. Si vous ne deviez vous souvenir que d'une seule règle finalement, ce serait la dernière : en cas de doute, rendez-vous sur le site web dont vous savez qu'il est le vrai, et voyez si on vous demande l'information en question !