Skip to main content
Surveillance
Self-Defense

< Guides sur les outils

Guide pratique : éviter les attaques par hameçonnage

Dernière révision : November 26, 2018

This page was translated from English. The English version may be more up-to-date.

Sur la voie de l’amélioration de votre sécurité numérique, vous pourriez rencontrer des personnes malveillantes qui tentent de saper vos objectifs de sécurité. Nous appelons ces personnes malveillantes des adversaires ou des assaillants. Quand un assaillant envoie un courriel ou un lien qui semble anodin, mais qui est en fait malveillant, on appelle cela de l’hameçonnage.

Une attaque par hameçonnage se présente habituellement sous la forme d’un message dont l’objectif est de vous convaincre de :

  • cliquer sur un lien ;
  • ouvrir un document ;
  • installer un logiciel sur votre appareil ; ou de
  • saisir votre nom d’utilisateur et votre mot de passe dans un site Web qui est conçu pour paraître identique à l’originale.

Les attaques par hameçonnage peuvent vous inciter par la ruse à donner vos mots de passe ou à installer des programmes malveillants sur votre appareil. Les assaillants peuvent utiliser un programme malveillant pour contrôler votre appareil à distance, voler des renseignements ou vous espionner.

Ce guide vous aidera à reconnaître des attaques par hameçonnage quand vous y serez exposé et à définir quelques moyens pratiques pour vous en prémunir.

Types d’attaques par hameçonnage anchor link

L'hameçonnage de mots de passe (aussi appelé moissonnage d’identifiants) anchor link

L'hameçonneur peut vous inciter par la ruse à donner vos mots de passe en vous envoyant un lien trompeur. Les adresses Web d’un message peuvent sembler avoir une destination, mais mener vers une autre. Sur votre ordinateur, vous pouvez habituellement voir l’URL de destination en plaçant votre curseur sur le lien. Mais les liens peuvent être déguisés avec des lettres qui se ressemblent ou en utilisant des noms de domaine dans lesquels une seule lettre diffère du nom de domaine original, liens qui peuvent vous acheminer vers une page Web qui semble être celle d’un service que vous utilisez comme Gmail ou Dropbox. Ces faux écrans de connexion ressemblent souvent tellement aux originaux qu’il est tentant de taper votre nom d’utilisateur et votre mot de passe. Si vous le faites, vous enverrez vos authentifiants de connexion aux assaillants.

Donc, avant de taper un mot de passe, regardez la barre d’adresse de votre navigateur Web . Elle affichera le vrai nom de domaine de la page. Si elle ne correspond pas au site auquel vous pensez vous connecter, ne poursuivez pas ! Rappelez-vous que voir un logo d’entreprise sur une page ne suffit pas à confirmer qu’il s’agit de la vraie page. N’importe qui peut copier un logo ou modifier sa propre page pour essayer de vous leurrer.

Certains hameçonneurs utilisent des sites qui ressemblent à des adresses Web populaires pour vous berner : https://wwwpaypal.com/ est différent de https://www.paypal.com/. De la même façon, https://www.paypaI.com/ (avec un « i » majuscule au lieu d’un « L » minuscule) est différent de https://www.paypal.com/. Nombreuses sont les personnes qui utilisent des raccourcisseurs d’URL pour rendre les longues URL faciles à lire ou à taper, mais elles peuvent être utilisées pour dissimuler des destinations malveillantes. Si vous recevez une URL raccourcie comme un lien t.co de Twitter, tentez de la coller dans https://www.checkshorturl.com/ (site en anglais) pour voir où elle mène vraiment.

Souvenez-vous qu’il est facile de falsifier des courriels afin qu’ils affichent une fausse adresse de retour. Cela signifie qu’il ne suffit pas de vérifier l’adresse courriel apparente de l’expéditeur pour confirmer qu’un courriel a bien été envoyé par la personne qui semble l’avoir fait.

Le harponnage anchor link

La plupart des attaques par hameçonnage ratissent large. Un assaillant peut envoyer des courriels à des centaines ou des milliers de personnes en prétendant avoir une vidéo impressionnante, un document important ou un litige de facturation.

Mais parfois, les attaques par hameçonnage sont ciblées d’après quelque chose que l’assaillant connaît déjà au sujet de la personne. C'est ce qu'on appelle « le harponnage ». Imaginez que vous recevez un courriel de votre oncle Paul qui dit qu’il contient des photos de ses enfants. Comme Paul a vraiment des enfants et que le courriel semble provenir de son adresse, vous l’ouvrez. Quand vous ouvrez le courriel, un document PDF y est joint. Quand vous ouvrez le PDF, il peut même afficher des photos des enfants de Paul, mais il installe aussi en silence un programme malveillant sur votre appareil qui peut être utilisé pour vous espionner. L’oncle Paul n’a pas envoyé ce courriel, mais quelqu’un qui sait que vous avez un oncle Paul (et qu’il a des enfants) l’a fait. Le document PDF sur lequel vous avez cliqué a lancé votre visualiseur de fichiers PDF, mais a profité d’un bogue dans ce programme pour exécuter son propre code. En plus de vous montrer un PDF, il a aussi téléchargé un programme malveillant sur votre ordinateur. Ces programmes malveillants pourraient récupérer vos contacts et enregistrer ce que la caméra de votre appareil voit et ce que votre microphone entend.

Le meilleur moyen de vous protéger contre les attaques par hameçonnage et de ne jamais cliquer sur un lien ni d’ouvrir un fichier joint. Mais ce conseil est irréaliste pour la plupart des gens. Vous trouverez ci-dessous quelques façons pratiques de vous défendre contre l’hameçonnage.

Comment aider à se défendre contre une attaque par hameçonnage anchor link

Garder vos logiciels à jour anchor link

Les attaques par hameçonnage qui utilisent des programmes malveillants s’appuient souvent sur des bogues de logiciel afin d’introduire le programme malveillant dans votre machine. Habituellement, une fois qu’un bogue est connu, le fabricant du logiciel fera paraître une mise à jour pour le corriger. Cela signifie que les logiciels plus anciens ont plus de bogues connus publiquement et qui pourraient être utilisés pour aider à installer des programmes malveillants. En gardant vos logiciels à jour, vous réduisez les risques d’exposition aux programmes malveillants.

Utiliser un gestionnaire de mots de passe avec saisie automatique anchor link

Les gestionnaires de mots de passe qui saisissent les mots de passe automatiquement savent à quels sites ces mots de passe appartiennent. Alors qu’il est facile de tromper un être humain avec de fausses pages de connexion, un gestionnaire de mots de passe ne peut pas être trompé de la sorte. Si vous utilisez un gestionnaire de mots de passe (dont le gestionnaire de mots de passe intégré à votre navigateur) et qu’il refuse de saisir un mot de passe automatiquement, vous devriez hésiter et vérifier sur quel site vous vous trouvez. Mieux encore, utilisez des mots de passe générés au hasard afin d’être forcé de compter sur la saisie automatique et d’être moins susceptible de taper votre mot de passe sur une fausse page de connexion.

Vérifier les courriels auprès des expéditeurs anchor link

Une façon de déterminer si un courriel est une attaque par hameçonnage est d’effectuer une vérification par un autre moyen de communication auprès de la personne qui est censée vous l’avoir envoyé. Si le courriel a prétendument été envoyé par votre banque, ne cliquez pas sur les liens dans le courriel. Appelez plutôt votre banque ou ouvrez votre navigateur et saisissez l’URL du site Web de votre banque. De la même façon, si votre oncle Paul vous envoie un fichier joint à un courriel, avant de l’ouvrir, téléphonez-lui et demandez-lui s’il vous a bien envoyé des photos de ses enfants.

Ouvrir des documents suspects sur le Disque Google anchor link

Certaines personnes s’attendent à recevoir des fichiers joints de personnes inconnues. Par exemple, les journalistes ont l’habitude de recevoir des documents provenant de sources. Mais il peut être difficile de vérifier si un document Word, une feuille de calcul Excel ou un fichier PDF n’est pas malveillant.

Dans ces cas, ne double-cliquez pas sur le fichier téléchargé. Téléversez-le plutôt vers votre Disque Google ou un autre visualiseur de documents en ligne. Cela transformera le document en image ou HTML et l’empêchera à peu près certainement d’installer un programme malveillant sur votre appareil. Si vous êtes prêt à apprendre à utiliser de nouveaux programmes et à passer du temps à mettre en place un nouvel environnement pour lire les courriels ou les documents étrangers, il existe des systèmes d’exploitation dédiés conçus pour limiter les effets des programmes malveillants. TAILS est un système d’exploitation fondé sur Linux qui se supprime une fois que vous l’avez utilisé. Qubes (site en anglais) est un autre système d’exploitation fondé sur Linux qui sépare très soigneusement les applications afin qu’elles ne puissent pas interférer avec les autres applications, limitant l’effet des programmes malveillants. Ils sont tous deux conçus pour fonctionner sur des ordinateurs portables ou des ordinateurs de bureau.

Vous pouvez aussi envoyer des liens et des fichiers non fiables à VirusTotal, un service en ligne (en anglais) qui vérifie les fichiers et les liens avec plusieurs moteurs antivirus différents et communique les résultats. Ce n’est pas infaillible, les antivirus ne détectent souvent pas les nouveaux programmes malveillants ou les attaques ciblées, mais c’est mieux que rien.

Tout fichier ou lien que vous téléversez sur un site Web public tel que VirusTotal or Disque Google peut être vu par les personnes qui travaillent pour cette compagnie et peut-être même par les personnes qui accèdent à ce site. Si les renseignements contenus dans le fichier sont de nature délicate ou des communications privilégiées, vous pourriez envisager une autre solution.

Utiliser une clé à 2d Facteur Universel (U2F) lors de la connexion anchor link

Certains sites vous permettent d’utiliser un jeton matériel spécial, aux aptitudes sophistiquées, pour déjouer les tentatives d’hameçonnage. Ces jetons (ou « clés ») communiquent avec votre navigateur pour établir des identifiants de connexion propres à chaque site. C’est ce qu’on appelle 2d Facteur Universel ou « U2F », car c’est une façon normalisée d’exiger une seconde méthode d’authentification lors de la connexion, en plus de votre phrase de passe. Vous vous connectez juste normalement, connectez la clé (quand on vous y invite) à votre ordinateur ou à votre téléphone intelligent et appuyez sur un bouton pour vous connecter au site. Si vous vous trouvez sur un site d’hameçonnage, le navigateur saura qu’il ne doit pas vous connecter avec les identifiants établis sur le site authentique. Cela signifie que même si un hameçonneur vous bernait et volait votre phrase de passe , il ne compromettrait pas votre compte. Yubico (un des fabricants de telles clés) nous donne plus de renseignements sur l’U2F (page en anglais).

Il ne faut pas confondre cela avec l’authentification à deux facteurs en général, méthode qui peut ou non offrir une protection contre l’hameçonnage.

Se méfier des instructions transmises par courriel anchor link

Certains courriels d’hameçonnage prétendent provenir d’un service de soutien informatique ou d’une entreprise de technologie, et vous demandent d’envoyer vos mots de passe ou d’autoriser un réparateur en informatique à accéder à votre ordinateur à distance, ou encore de désactiver certaines fonctions de sécurité de votre appareil. Le courriel donnera peut-être une explication des raisons pour lesquelles cela est nécessaire en prétendant, par exemple, que votre boîte de réception de courriel est pleine ou que votre ordinateur a été piraté.

Si vous soupçonnez un tant soit peu un courriel ou un lien que quelqu’un vous a envoyé, ne l’ouvrez pas ou ne cliquez pas dessus tant que vous n’aurez pas atténué la situation en suivant les conseils ci-dessus pour être certain qu’il n’est pas malveillant.