Le phishing, que l’on confond souvent avec le spam, est certainement la plus ancienne et la plus répandue des techniques utilisées sur le web pour soutirer des informations personnelles aux internautes.
Même si cette technique s’adresse plutôt aux particuliers, les entreprises sont également touchées : l’erreur, la précipitation ou la négligence d’un salarié peut affecter tout le système d’information d’une entreprise. Elle risque alors de perdre des données très sensibles sur elle-même, ses partenaires commerciaux, ses clients. Le phishing est donc bien une menace réelle pour l’entreprise.
En quoi consiste le phishing ?
Le phishing, aussi appelé hameçonnage ou filoutage, consiste à envoyer un mail demandant à la cible d’effectuer une action qui peut sembler légitime : la régularisation urgente d’une facture, obtenir un remboursement pour un trop perçu etc. La source est souvent une organisation de confiance (comme la CAF, la banque, un fournisseur mobile ou d’accès à internet, les impôts, Paypal etc) dont l’identité est usurpé. Le mail contient un lien qui renvoie vers un site miroir ressemblant (plus ou moins) à un site officiel sur lequel un formulaire invite les internautes à fournir des données personnels telles que les coordonnées bancaires, identifiants ou mot de passe !
Comment s’en protéger ?
Pour se protéger contre le phishing, la plupart des entreprises vont faire le choix d’un antispam, d’antivirus ou d’un logiciel de blocage des sites web ce qui est un début mais n’est pas suffisant.
L’ANSSI donne plusieurs recommandations aux internautes :
- Tout d’abord, même si vous êtes très occupé par votre charge de travail, restez vigilants quand vous traitez vos e-mails.
- On ne le répètera jamais assez mais le site internet des impôts, des organismes sociaux, des banques, des mutuelles ne vous demanderont jamais de donner vos identifiants et mot de passe par email. Encore moins, votre numéro de carte bancaire !
- Ne cliquez pas sur les liens contenus dans les mails que vous soupçonnez de frauduleux.
- Si vous avez un doute sur un e-mail, allez par vous-même sur le site de l’organisme en tapant l’url dans la barre de recherche, puis logguez-vous pour consulter votre messagerie. Ou bien appelez directement l’organisme en question.
- Vérifiez bien que le cadenas apparaisse dans le navigateur et que l’adresse commence par HTTPS (et pas HTTP).
- Les mails de phishing ressemblent ont plus ou moins l’apparence des mails originaux. Ils contiennent souvent pas mal de fautes d’orthographe grossières. Néanmoins ça n’est pas toujours le cas.
- Utilisez un logiciel de filtre anti-pourriel. Ils ne sont pas infaillibles mais vous permettront de bloquer une partie des e-mails frauduleux.
- Ne répondez pas à ces mails et ne les transférez pas.
- Signalez les tentatives de phishing à la plateforme de signalement mise en place pour alimenter les principaux navigateurs internet : phishing-initiative.fr
- Pour finir, si vous pensez avoir été victime d’une escroquerie par phishing, il est conseillé de vous signaler sur la plateforme PHAROS mis en place par le gouvernement : www.internet-signalement.gouv.fr
Identifier un e-mail de phising : le cas concret avec OVH
Voici un exemple de mail envoyé par un expéditeur se faisant passer pour OVH (photo de droite). Il permet de se rendre compte des points importants à vérifier lorsque l’on prend connaissance d’un e-mail. La syntaxe, l’orthographe et la mise en page du mail sont également des éléments permettant de détecter un email phishing d’un vrai mail.
Source : OVH.com
On constate une augmentation constante des mails phishing. Ils sont également de mieux en mieux fait, ce qui augmente les risques pour vos employés de se faire avoir… Le plus utile reste encore la prévention, la formation (régulière) des employés et l’utilisation de solutions dédiées à cette menace.
En cas de doute sur un e-mail, n’hésitez pas à contacter votre prestataire informatique. Chez Asgard Informatique, nous insistons auprès de nos clients pour leur dire qu’il est préférable de perdre quelques minutes à demander, plutôt qu’ouvrir un mail qui pourrait avoir de lourdes conséquences.