Guide: Hameçonnage
 

Qu’est-ce que l’hameçonnage?
Comment s’en protéger?

Vers le guide Business

Clic! E-mail envoyé. Clic! Virement effectué. Clic! À vous la nouvelle paire de chaussures. Aucun doute: Internet nous a grandement simplifié la vie. Mais également celle des fraudeurs, malheureusement, qui peuvent profiter de nos e-mails, sites Web, communications par Internet, téléphone et messagerie pour faire beaucoup de dégâts. Cette technique est nommée hameçonnage, et elle ne concerne pas seulement les particuliers. L’hameçonnage est également devenu un risque majeur pour les entreprises. 

Seulement: qu’est-ce que l’hameçonnage? Comment s’en protéger? La clé, c’est l’information. Alors voici:

Le terme hameçonnage désigne la collecte illégitime de données personnelles via des sites Internet, e-mails ou notifications falsifiés en vue de dévaliser le compte de la victime ou de lui causer du tort. «Hameçonnage» est la traduction du terme anglais «phishing», construit à partir de l’expression «password harvesting» (récolte de mots de passe) et du mot «fishing» (pêche). Il consiste à collecter des mots de passe au moyen d’appâts.
Les escrocs se font passer pour une institution de confiance (banque, fournisseur de messagerie électronique ou site de commerce en ligne) en reproduisant à l’identique l’une de ses pages Internet. Sur ces pages frauduleuses, l’utilisateur est invité à se connecter ou à communiquer ses données d’e-banking au moyen de techniques d’hameçonnage. Ces données sont ensuite exploitées: elles sont collectées et utilisées frauduleusement afin de détourner votre compte utilisateur. L’hameçonnage est une forme d’ingénierie sociale où l’auteur tire profit de la crédulité de sa victime. Souvent, les e-mails d’hameçonnage sont envoyés depuis des adresses falsifiées.
Ils se présentent comme des communications tout ce qu’il y a de plus légitimes: les e-mails d’hameçonnage prétendent que les données d’accès ou les informations de compte du destinataire ont expiré ou ne sont plus sûres, et demandent à ce dernier de modifier immédiatement ses données en cliquant sur un lien joint à l’e-mail. Ce lien d’hameçonnage redirige l’utilisateur vers un site Web frauduleux se présentant exactement comme celui d’un prestataire de service. C’est là que les informations sont collectées et communiquées par l’utilisateur aux escrocs.

Une fois que le cybercriminel a récupéré des coordonnées bancaires via son site Web d’hameçonnage, il peut vider le compte de l’utilisateur, utiliser sa carte de crédit ou acheter des biens en ligne comme il l’entend. 

S’il obtient les données d’accès aux comptes de messagerie électronique de sa victime, il peut consulter des informations personnelles à son sujet ou envoyer des messages frauduleux à ses contacts, par exemple pour leur demander de l’argent ou des services. 

En cliquant sur un lien d’hameçonnage, l’utilisateur risque également de télécharger sur son ordinateur un logiciel malveillant qui espionnera ses activités, rendra l’appareil inutilisable ou, dans le pire des cas, le verrouillera. Des «rançongiciels» ou «chevaux de Troie» sont utilisés pour verrouiller et rendre illisibles l’ensemble des fichiers présents sur l’ordinateur visé, ainsi que tous les autres disques durs connectés au même réseau. Pour les entreprises, la nuisance est même double, car en plus de bloquer toute activité commerciale pendant une durée illimitée, le cybercriminel réclame une somme élevée pour la restitution des données confisquées. Les coûts peuvent alors être considérables.

Les attaques par hameçonnage peuvent prendre différentes formes, mais il est possible de les identifier grâce à ces dix traits caractéristiques des e-mails d’hameçonnage:
  1. Vous ne connaissez pas l’expéditeur;
  2. L’expéditeur ne s’adresse pas à vous personnellement («Cher client, ...»);
  3. L’e-mail vous invite à agir dans l’urgence («Connectez-vous dans un délai de deux jours»);
  4. L’e-mail contient des menaces («... dans le cas contraire, votre compte sera bloqué»);
  5. Le texte est écrit dans un mauvais français ou contient des erreurs;
  6. Certains signes typographiques sont manquants ou corrompus (par exemple, «etes» au lieu de «êtes»);
  7. L’expéditeur vous demande de fournir des données confidentielles;
  8. L’URL ne commence pas par https://;
  9. L’URL contient des éléments suspects (69z-allianz.ch ou az-suisse.clients.ch);
  10. Le site Internet auquel vous renvoie l’e-mail n’a pas de certificat de sécurité SSL (Secure Socket Layer).
Les astuces des cybercriminels sont certes sophistiquées, mais vous pouvez les déjouer si vous suivez ces huit règles fondamentales de prévention contre l’hameçonnage:
  1. Méfiez-vous des e-mails envoyés d’une adresse que vous ne connaissez pas. Les escrocs détournent plus volontiers les adresses de sociétés de confiance;
  2. Faites preuve de vigilance lorsque vous recevez des e-mails qui vous invitent à accomplir une action ou vous menacent de lourdes conséquences (perte d’argent, procédure pénale, blocage de compte ou de carte, etc.); 
  3. Examinez les avis de paiements que vous recevez par e-mail;
  4. Quand vous ouvrez un e-mail suspect, ne cliquez pas sur les pièces jointes ou liens qu’il pourrait contenir;
  5. N’ouvrez pas les pièces jointes ayant des extensions étranges (p. ex. image.bmp.vbs);
  6. Consultez uniquement des sites Web dignes de confiance;
  7. Contrôlez régulièrement vos relevés de carte de crédit et vos relevés bancaires;
  8. Protégez votre ordinateur à l’aide de logiciels antivirus que vous mettrez systématiquement à jour.
Les prestataires sérieux ne demandent jamais à leurs clients de leur transmettre des mots de passe et des données de carte bancaire par e-mail ou notification.
Vous aurez beau suivre à la lettre les règles de protection contre l’hameçonnage, une erreur est toujours possible, qu’elle vienne de vous ou d’une autre personne de votre entreprise. Et les conséquences peuvent être lourdes. C’est pourquoi nous proposons une assurance contre les cyberrisques, conçue pour répondre spécifiquement aux besoins des entreprises. Elle comprend les éléments suivants: l’assurance pour la responsabilité civile à l’égard de tiers, les propres dommages, l’interruption d’exploitation, ainsi qu’une protection juridique. Désormais, elle comprend aussi une couverture complémentaire Cybercriminalité et Ingénierie sociale, qui prend en charge les sinistres liés aux escroqueries par consigne ou facture falsifiée.
L’assurance optimale pour vous?
Nous la trouverons ensemble lors d’un entretien personnel.
Demander un conseil
CELA POURRAIT AUSSI VOUS INTÉRESSER
Bien qu’un tiers des entreprises aient déjà été la cible de virus, les PME suisses semblent sous-estimer les cyberrisques.
Les petites entreprises sont également victimes des chevaux de Troie. L’important est de garder la tête froide et d’avoir la bonne réaction. 
Les chevaux de Troie chiffrant les données constituent l’un des principaux risques pour les sociétés. Voici comment les petites et moyennes entreprises peuvent se protéger.
Suivez-nous