Le phishing, ou hameçonnage, consiste à voler l’identité, ou les informations confidentielles d’une victime, telles que des codes d’accès, des coordonnées bancaires, par un subterfuge. L’attaquant simule un système d’authentification afin de convaincre l’utilisateur de communiquer ses informations confidentielles en pensant avoir à faire au système légitime. Les victimes sont souvent invitées à visiter le site frauduleux par des courriers électroniques.

Cet hameçonnage peut être ciblé : dans ce cas, il repose sur l’usurpation de l’identité de l’expéditeur et lie l’objet du mail ainsi que le corps du message à l’activité de la victime ciblée.

L’hameçonnage est la première menace pour les particuliers et de la seconde pour les entreprises et associations (selon le rapport d’activité de 2023 de cybermalveillance).

Comment se protéger contre de telles attaques ?

• Ne jamais communiquer d’informations sensibles par messagerie ou téléphone
• Ne pas cliquer sur des liens douteux : il est possible de faire apparaitre l’URL du lien en positionnant la souris sur ce lien sans cliquer pour vérifier la vraisemblance du lien avec le site vis. Le plus sur est encore d’aller directement sur le site de l’organisme par un lien créé directement par vous
• Vérifier l’adresse du site qui s’affiche dans le navigateur : attention parfois un seul caractère change
• Contacter directement l’organisme concerné pour confirmer le message reçu
• Utiliser des mots de passe différents et complexes pour chaque site / application pour éviter qu’un vol de mot de passe ne permette de compromettre plusieurs comptes. Il est également possible d’utiliser des coffres forts numériques permettant de stocker de façon sécurisée les mots de passe
• Vérifier la date et heure de la dernière connexion sur votre compte dès que possible afin de s’assurer de l’absence d’accès illégitime
• Activer la double authentification à chaque fois que cela est proposé

Une bonne pratique consiste à faire des simulations au sein de l’organisme. Le service informatique peut simuler de fausses campagnes de phishing dans le but de sensibiliser l’ensemble des collaborateurs. Cela peut ensuite donner lieu à des campagnes de rappels des bonnes pratiques.

Comment réagir face à ce type d’attaque ?

En cas de suspicion ou d’attaque par hameçonnage, contactez directement l’organisme concerné pour confirmer, ou non, les messages reçus. Il faut également faire opposition en cas de fraude concernant des éléments liés aux moyens de paiement, et changer les mots de passe des sites qui auraient pu être concernés.

Par ailleurs, il existe différents lieux où signaler les sites frauduleux : Signal spam, dont la CNIL est membre, permet de signaler les messages et sites douteux. Il est également possible de signaler par SMS au 33 700 (service gratuit), dispositif de signalement des messages et appels non sollicités mis en place par l’Association Française pour le développement des services et usages Multimédias Multi-opérateurs (af2m). Enfin, il est possible de signaler auprès de Phishing Initiative, service porté par Orange Cyberdéfense.

Pour rappel, les attaques par hameçonnage peuvent impliquer des violations de données à caractère personnel. C’est d’ailleurs ce que la CNIL rappelle dans son bilan concernant les violations de données : plus de la moitié des violations de données trouvaient leur source dans du piratage, avec au deuxième rang l’hameçonnage touchant davantage les organismes du secteur public. Ainsi, dès lors que ce type d’attaque intervient il faut vérifier si elles ont engendré une violation de données personnelles et, le cas échéant, les notifier à l’autorité de contrôle, et aux personnes concernées.

• Définition phishing et phishing ciblé – Cyberdico ANSSI
• Que faire en cas de phishing ou hameçonnage ?– Cybermalveillance
• L’hameçonnage (phishing) : la menace prédominante pour tous les publics – Cybermalveillance
• Violations de données personnelles : bilan de 5 années de RGPD – CNIL

24 octobre 2024