Guide pratique : éviter les attaques de phishing ou hameçonnage

Sur la voie de l’amélioration de votre sécurité numérique, vous pourriez rencontrer des acteurs malveillants qui tentent de porter atteinte à vos objectifs de sécurité. Nous appelons ces mauvais acteurs des adversaires. Lorsqu'un adversaire envoie un e-mail (ou un message texte ou un message dans une application) ou un lien qui semble innocent, mais qui est en réalité malveillant, on parle de « hameçonnage » ou « phishing » en anglais.

Une attaque par hameçonnage se présente généralement sous la forme d'un message destiné à vous convaincre de:

• cliquer sur un lien
• ouvrir un document
• installer un logiciel sur votre appareil
• saisir votre nom d'utilisateur et votre mot de passe sur un site Web conçu pour paraître légitime

Les attaques d’ sont généralement conçues pour vous inciter à divulguer vos mots de passe ou à installer des logiciels malveillants sur votre appareil. Les attaquants peuvent ensuite utiliser des logiciels malveillants pour contrôler votre appareil à distance, voler des informations ou vous espionner.

Ce guide vous aidera à identifier les attaques de phishing lorsque vous les voyez et vous présentera quelques moyens pratiques de vous défendre contre elles.

Bien que nous parlions principalement du phishing par courrier électronique dans ce guide, ces techniques ne se limitent pas au courrier électronique ; ils peuvent travailler par téléphone, par SMS ou dans des applications dotées de fonctions de chat.

Types d'attaques par hameçonnage anchor link

Phishing pour les mots de passe (aka Credential Harvesting) anchor link

Les phishers ou hameçonneurs tentent de vous inciter à divulguer vos mots de passe en vous envoyant un lien trompeur. Les adresses Web contenues dans un message peuvent sembler avoir une destination, mais mener à une autre. Sur votre ordinateur, vous pouvez généralement voir l'URL de destination en survolant le lien. Mais les liens

peuvent être davantage masqués par des « lettres similaires » ou en utilisant des noms de domaine qui diffèrent d’une lettre des noms de domaine légitimes et peuvent vous diriger vers une page Web qui semble renvoyer à un service que vous utilisez, tel que Gmail ou Dropbox. Ces fausses répliques d’écrans de connexion semblent souvent si légitimes qu’il est tentant de saisir votre nom d’utilisateur et votre mot de passe. Si vous le faites, vous enverrez vos informations de connexion aux attaquants.

Certains phishers utilisent des sites qui ressemblent à des adresses Web populaires pour vous tromper : https://wwwpaypal.com/ est différent de https://www.paypal.com/. De même, https://www.paypaI.com/ (avec une lettre majuscule « i » au lieu d'un « L » minuscule) est différent de https://www.paypal.com/. De nombreuses personnes utilisent des raccourcisseurs d'URL pour rendre les URL longues plus faciles à lire ou à saisir, mais ceux-ci peuvent être utilisés pour masquer des destinations malveillantes. Si vous recevez une URL raccourcie comme un lien t.co de Twitter, essayez de la mettre dans https://www.checkshorturl.com/ pour voir où elle va réellement.

Ne faites pas non plus confiance à l’expéditeur de l’e-mail. Il est facile de falsifier des e-mails afin qu'ils affichent une fausse adresse de retour. Cela signifie que vérifier l’adresse e-mail apparente de l’expéditeur ne suffit pas pour confirmer qu’un e-mail a bien été envoyé par la personne dont il semble provenir.

Spearphishing (phishing vocal ou hameçonnage vocal, phishing SMS, etc.) anchor link

La plupart des attaques de phishing ratissent large. Un attaquant peut envoyer des e-mails à des centaines, voire des milliers de personnes, prétendant détenir une vidéo passionnante, un document important, une notification d'expédition ou un litige de facturation.

Mais il arrive parfois que les attaques de phishing soient ciblées sur la base de ce que l’attaquant sait déjà à propos d’un individu. C’est ce qu’on appelle le « spearphishing ». Imaginez que vous recevez un e-mail de votre oncle Boris indiquant qu'il contient des photos de ses enfants. Puisque Boris a des enfants et que cela semble provenir de son adresse, vous l'ouvrez. Lorsque vous ouvrez l’e-mail, un document PDF y est joint. Lorsque vous ouvrez le PDF, il peut même afficher des photos des enfants de Boris, mais il installe également discrètement des logiciels malveillants sur votre appareil qui peuvent être utilisés pour vous espionner. Oncle Boris n'a pas envoyé cet e-mail, mais quelqu'un qui sait que vous avez un oncle Boris (et qu'il a des enfants) l'a fait. Le document PDF sur lequel vous avez cliqué a démarré votre lecteur PDF, mais a profité d'un bug de ce logiciel pour exécuter son propre code. En plus de vous montrer un PDF, il a également téléchargé des logiciels malveillants sur votre ordinateur. Ce malware pourrait récupérer vos contacts et enregistrer ce que la caméra et le microphone de votre appareil voient et entendent.

Une autre forme de spearphishing est le phishing vocal, dans lequel un attaquant usurpe l'identité d'une cible spécifique, allant peut-être même jusqu'à créer un clone IA de sa voix. Si la voix est sourde ou vous demande des choses inhabituelles comme de l'argent, demandez-leur de vérifier leur identité d'une autre manière (par exemple en vous disant quelque chose que vous seuls connaissez ou en envoyant un message depuis un autre compte).

La meilleure façon de vous protéger contre les attaques de phishing est de ne jamais cliquer sur des liens ni ouvrir de pièces jointes. Mais ce conseil est irréaliste pour la plupart des gens. Vous trouverez ci-dessous quelques moyens pratiques de vous défendre contre le phishing.

Comment vous défendre contre une attaque de phishing anchor link

Gardez votre logiciel à jour anchor link

Les attaques de phishing qui utilisent des logiciels malveillants s'appuient souvent sur des bogues logiciels pour introduire les logiciels malveillants sur votre ordinateur. Habituellement, une fois qu'un bug est connu, un fabricant de logiciels publie une mise à jour pour le corriger. Cela signifie que les logiciels plus anciens comportent davantage de bogues connus du public qui pourraient être utilisés pour faciliter l’installation de logiciels malveillants. Garder votre logiciel à jour réduit les risques de logiciels malveillants.

Utilisez un gestionnaire de mots de passe avec remplissage automatique anchor link

Les gestionnaires de mots de passe qui remplissent automatiquement les mots de passe gardent une trace des sites auxquels appartiennent ces mots de passe. S’il est facile pour un humain de se laisser tromper par de fausses pages de connexion, les gestionnaires de mots de passe ne le sont pas de la même manière. Si vous utilisez un gestionnaire de mots de passe (y compris le gestionnaire de mots de passe intégré à votre navigateur) et qu'il refuse de saisir automatiquement un mot de passe, vous devriez hésiter et vérifier le site sur lequel vous vous trouvez. Mieux encore, utilisez des mots de passe générés aléatoirement afin d'être obligé de vous fier au remplissage automatique et d'être moins susceptible de saisir votre mot de passe sur une fausse page de connexion. Cependant, notez que les sites Web peuvent modifier (et modifient) leurs pages de connexion, et cela peut parfois interférer avec le bon fonctionnement du remplissage automatique, même sur des sites Web légitimes. En cas de doute, accédez directement à la page de connexion d'un site Web depuis votre navigateur, et non en cliquant sur un lien dans un message.

Vérifier les e-mails et les messages texte avec les expéditeurs anchor link

Une façon de déterminer si un e-mail ou un SMS constitue une attaque de phishing consiste à vérifier via un autre canal auprès de la personne qui est censée l'avoir envoyé. Si l’e-mail ou le SMS a été prétendument envoyé depuis votre banque, ne cliquez pas sur les liens. Appelez plutôt votre banque ou ouvrez votre navigateur et saisissez l'URL du site Web de votre banque. De même, si votre oncle Boris vous envoie une pièce jointe étrange, envoyez-lui un SMS et demandez-lui s'il vous a envoyé des photos de ses enfants avant de l'ouvrir.

Ouvrir des documents suspects dans Google Drive anchor link

Certaines personnes s'attendent à recevoir des pièces jointes de personnes inconnues. Par exemple, les journalistes reçoivent généralement des documents desources. Mais il peut être difficile de vérifier qu'un document Word, une feuille de calcul Excel ou un fichier PDF n'est pas malveillant.

Dans ces cas, ne double-cliquez pas sur le fichier téléchargé. Téléchargez-le plutôt sur Google Drive ou un autre lecteur de documents en ligne. Cela transformera le document en image ou HTML, ce qui l'empêchera presque certainement d'installer des logiciels malveillants sur votre appareil.

Si vous êtes à l'aise avec l'apprentissage de nouveaux logiciels, que vous êtes prêt à passer du temps à configurer un nouvel environnement pour lire le courrier ou les documents étrangers et que vous recevez suffisamment de ce type de courrier électronique pour justifier le temps supplémentaire requis, envisagez d'utiliser un système d'exploitation dédié conçu pour limiter l'effet des logiciels malveillants. Tails est un système d'exploitation basé sur Linux qui se supprime après son utilisation. Qubes est un autre système basé sur Linux qui sépare soigneusement les applications afin qu'elles ne puissent pas interférer les unes avec les autres, limitant ainsi l'effet de tout logiciel malveillant . Les deux sont conçus pour fonctionner sur des ordinateurs portables ou de bureau.

Vous pouvez également soumettre des liens et des fichiers non fiables à VirusTotal, un service en ligne qui vérifie les fichiers et les liens par rapport à plusieurs moteurs antivirus différents et rapporte les résultats. Ce n’est pas infaillible – les antivirus ne parviennent souvent pas à détecter les nouveaux logiciels malveillants ou les attaques ciblées – mais c’est mieux que rien. Cependant, notez que tout fichier ou lien que vous téléchargez sur un site Web public, tel que VirusTotal ou Google Drive, peut être consulté par toute personne travaillant pour cette entreprise, ou éventuellement par toute personne ayant accès à ce site Web, comme dans le cas de VirusTotal. Si les informations contenues dans le fichier sont des communications sensibles ou privilégiées, vous souhaiterez peut-être envisager une alternative.

Utilisez une clé universelle de 2e facteur (U2F) lors de la connexion anchor link

Certains sites vous permettent d'utiliser un jeton matériel spécial doté de fonctionnalités avancées pour éviter les tentatives de phishing. Ces jetons (ou « clés ») communiquent avec votre navigateur pour établir des informations d'identification par site pour la connexion. C'est ce qu'on appelle Universal 2nd Factor ou « U2F », car il s'agit d'un moyen standard d'exiger une deuxième méthode d'authentification, en plus de votre phrase secrète : lors de la connexion. Il vous suffit de vous connecter normalement et (lorsque vous y êtes invité) de connecter la clé à votre ordinateur ou smartphone et d'appuyer sur un bouton pour vous connecter. Si vous êtes sur un site de phishing, le navigateur saura ne pas vous connecter avec les informations d'identification établies sur le site légitime. site. Cela signifie que même si un phisher vous trompe et vole votre phrase secrète, il ne compromettra pas votre compte. Yubico (un fabricant de ces clés) fournit plus d'informations sur U2F.

Cela ne doit pas être confondu avec l’authentification à deux facteurs en général, qui peut ou non fournir une protection contre le phishing. Les clés d'accès sont une option de connexion plus récente qui peut fournir une protection contre le phishing, et vous devriez envisager de l'utiliser lorsqu'elle est proposée. Avec les mots de passe, votre navigateur sait exactement quel site est associé à quel mot de passe et n’est pas trompé par de faux sites Web.

Faites attention aux instructions envoyées par courrier électronique anchor link

Certains e-mails de phishing prétendent provenir d'un service d'assistance informatique ou d'une entreprise technologique et vous demandent de répondre avec vos mots de passe, d'autoriser un « réparateur informatique » à accéder à distance à votre ordinateur ou de désactiver certaines fonctionnalités de sécurité sur votre appareil. Ces e-mails ont souvent un ton insistant et tentent d’utiliser la peur pour vous tromper.

Par exemple, un courriel peut donner une prétendue explication de la raison pour laquelle cela est nécessaire en prétendant que votre boîte e-mail est pleine ou que votre ordinateur a été piraté. Malheureusement, obéir à ces instructions frauduleuses peut nuire à votre sécurité. Soyez particulièrement prudent avant de donner à quiconque des données techniques ou de suivre des instructions techniques, à moins que vous ne puissiez être absolument certain que la source de la demande est authentique. La plupart des entreprises ne vous contacteront pas pour résoudre les problèmes. Tout au plus, ils peuvent vous envoyer une notification concernant un changement à venir ou un excédent de données accompagné d'un lien vers une documentation publique.

Si quelqu’un vous envoie un e-mail ou un lien suspect, n’ouvrez pas ou ne cliquez pas dessus tant que vous n’avez pas atténué la situation avec les conseils ci-dessus et que vous pouvez être sûr qu’il n’est pas malveillant.

Désactivez les images externes dans votre logiciel de messagerie anchor link

Les images contenues dans un e-mail peuvent être utilisées pour savoir qui a ouvert un e-mail et quand. Vous en avez probablement rencontré beaucoup dans des e-mails marketing, mais ils peuvent également être utiles en cas de phishing. Ainsi, au lieu de permettre à chaque image de se charger à tout moment dans chaque e-mail, il est préférable de configurer votre client de messagerie, qu'il s'agisse d'une application comme Outlook ou d'un service comme Gmail, sur « Demander avant d'afficher des images externes ». Avec cette option définie, vous devrez cliquer sur une option dans chaque e-mail pour charger les images. Certaines applications de messagerie peuvent également proposer d'autres mesures de confidentialité, comme l'application Mail d'Apple, qui charge toutes les images à distance par défaut.