Le phishing consiste à se faire passer pour quelqu’un en qui vous avez confiance (organisme officiel, supérieur hiérarchique, un proche…) afin de récupérer vos données ou de s’introduire dans votre système informatique, sans que vous en ayez conscience.
Faux SMS de l’assurance maladie, liens piégés sur Telegram, publicités Facebook frauduleuses, entourloupes reproduisant les sites de Total et Engie… Les tentatives de phishing, ou d’hameçonnage, peuvent venir d’à peu près n’importe où, ce qui ne les rend pas toujours simples à repérer. Reprenons donc les bases, pour éviter de tomber dans le panneau.
Les phishings n’ont de limite que l’imagination des fraudeurs. Dans l’actualité récente, des campagnes d’hameçonnage ont ainsi pu prendre la forme de mails de vérification de compte imitant la communication de l’éditeur de cartes tickets restaurants Swile, d’annonces alléchantes pour un faux jeu concours Lidl ou un vélo électrique soi-disant gagné auprès de Décathlon.
Certaines arnaques se font passer pour le site des impôts, pour la Police nationale ou pour l’application TousAntiCovid… Mails officiels, publicité sur les réseaux sociaux, messages envoyés par SMS ou n’importe quelle application de messagerie : à peu près tous les éléments que nous utilisons quotidiennement en ligne et sur nos téléphones peuvent être utilisés pour tenter de piéger les internautes — même les commentaires de documents partagés !
« Le grand public manque de sens critique envers ce qu’il se passe en ligne, c’est assez étrange, s’étonne Gérôme Billois, Partner cybersécurité et confiance digitale chez Wavestone. Dans la rue, si vous voyez des gens louches, vous changez de trottoir. Beaucoup de gens suspendent cette approche dans l’univers numérique, alors que tout ce qui y est dit n’est pas nécessairement vrai. »
Le premier conseil que l’on puisse donner pour éviter de tomber dans le panneau d’un hameçonnage, c’est donc de rester en alerte : si c’est trop beau pour être vrai, il vaut mieux vérifier avant de cliquer. S’il y a une notion très forte d’urgence, il faut redoubler d’attention : suggérer le besoin d’une action immédiate (« votre ordinateur est infecté, il faut le nettoyer ! », « j’ai besoin de quelques centaines d’euros dans la demi-heure pour me sortir d’une mauvaise passe ! ») est un mécanisme fréquemment utilisé dans les arnaques.
Un cran au-dessus, il y a quelques réflexes utiles à prendre : vérifiez les URL vers lesquelles renvoient les sites ou les textos que vous recevez, par exemple. Semblent-elles correctes, ou y a-t-il une petite erreur, un i à la place d’un l, un 0 à la place d’un o, un mot étrange ? Même chose dans des mails d’apparence officielle : s’il y a des fautes d’orthographe ou de grammaire, ça peut être louche. Si tout parait indiquer une correspondance de l’administration française, mais que dans le pied de page, l’adresse indiquée est située à l’autre bout du monde, c’est probablement anormal. S’il y a des pièces jointes, méfiance, encore une fois : elles sont un vecteur courant d’installation de logiciels malveillants.
Cela varie avec l’objectif final des personnes qui lancent la campagne de phishing : se faire de l’argent, voler des informations sensibles, déstabiliser une entité… Pour les particuliers, les campagnes visent le plus souvent à récupérer des données personnelles, des informations bancaires ou directement de l’argent. Le but est soit de vous faire cliquer sur un lien qui installera ensuite un logiciel frauduleux, soit de vous convaincre de payer, de toute bonne foi (on parle alors d’ingénierie sociale : en manipulant l’individu, on arrive à lui faire céder de l’argent ou des informations).
Pour les entreprises, explique Gérôme Billois, les attaques sont quelquefois beaucoup plus poussées : un criminel peut lancer un spear phishing, en produisant un mail ou une communication parfaitement calibrée pour essayer de tromper une personne précise : le patron, le responsable de la recherche et développement ou le directeur financier, par exemple. Le but est alors, dans certains cas, de réaliser une arnaque au président (se faire passer pour le fondateur pour détourner des fonds), dans d’autres d’espionner, ou de voler des données stratégiques.
Souvent, le phishing n’est aussi que la première étape d’opérations plus complexes : cliquez sur le lien malveillant intégré à l’attaque et vous lancerez en sous-main le téléchargement d’un cheval de Troie ou d’un rançongiciel, ou céderez sans vous en douter l’accès aux systèmes de votre entreprise. « Assez rapidement, on arrive sur des problématiques d’espionnage industriel », indique l’expert.
Considéré comme un système ultime de protection d’un compte en ligne, l’authentification à double-facteur a pourtant été contournée par un groupe de hackers. Voici leur méthode.
Censé être robuste et imparable face aux tentatives de piratage, le système de double-authentification des comptes Google a pourtant été contourné par des hackers. Rappelons que la double-authentification, autrement appelée authentification à deux facteurs, ou encore validation en deux étapes chez Google, repose sur la classique saisie d’un identifiant et d’un mot de passe associée à un code à usage unique reçu le plus souvent par SMS pour accéder au compte. Un blindage supplémentaire qui semble impossible à contourner puisque seul l’utilisateur peut recevoir le code temporaire. Et pourtant, Amnesty International a relevé que plus d’un millier de comptes Gmail et Yahoo, protégés de cette façon ont été piratés.
Pour pouvoir accéder aux comptes protégés par ce système, la technique employée par les hackers ne requiert pas de connaissances en informatique pointues ou l’exploitation de vicieux malwares. Il s’agit d’une méthode phishing très élaborée dans laquelle un millier d’utilisateurs sont tombés. L’idée consiste à récupérer le code de double-authentification à usage unique et de l’utiliser avant son délai d’expiration.
Une méthode de phishing élaborée
Le groupe de pirates a donc convaincu ses cibles en envoyant un e-mail, suffisamment bien conçu pour que les victimes cliquent sur un lien renvoyant vers une fausse page d’identification. À partir de ce moment, l’utilisateur devait saisir ses identifiants et taper également son code. C’est alors que le hacker pouvait faire une demande de récupération de mot de passe et utiliser le code reçu pour accéder au compte et se l'accaparer. Il faut noter que ce phishing élaboré a été réalisé de façon très ciblée en visant précisément des journalistes ou des activistes au Moyen-Orient ou en Afrique du Nord. On peut supposer que le groupe de pirates est lié à un État. Dans le cas de Google, par exemple, rappelons qu’il existe deux autres procédés d’identifications que le code à chiffre reçu par SMS. Il est possible d’opter pour un système de validation par notification, ou encore en enregistrant l’ordinateur ou le mobile comme appareil autorisé.