Le hameçonnage (phishing en anglais) est une technique frauduleuse utilisée par des individus malveillants pour obtenir des informations confidentielles. Elle consiste à présenter un leurre à un utilisateur (le terme de hameçonnage prend tout son sens) qui communiquera volontairement des données personnelles à des tiers non identifiés :

• Mots de passe
• Coordonnées bancaires
• Justificatifs de domicile
• Justificatifs d’identité
• Etc…

Les supports de communication le plus souvent utilisés sont la messagerie électronique, les sites internet frauduleux, le sms.

Les signes d’alerte

• Réception d’un message non sollicité émanant d’un organisme inconnu.
• Réception d’un message provenant d’un expéditeur inhabituel.
• Réception d’un message dont l’adresse d’envoi est suspecte.
• Réception d’un message dont l’objet est trop pressant, alarmiste ou « trop beau pour être vrai ».
• Réception d’un message ayant une apparence douteuse (visuels douteux).
• Réception d’un message comportant une demande inhabituelle ou bien inappropriée.
• Réception d’un message réclamant des informations confidentielles.

Les mesures préventives

• Garder à l’esprit qu’aucun organisme de l’administration ou société commerciale sérieuse ne demandera des informations confidentielles via ce canal de communication. Par conséquent, ne jamais communiquer de coordonnées sensibles.
• Si le message reçu presse de cliquer sur un lien internet ou bien une pièce jointe :
  • Dans le cas du lien internet : passer la souris sur le lien, sans cliquer dessus et lire l’url qui s’affiche dans une infobulle ; cela permet de s’affranchir de la vraisemblance du lien proposé.
• Si le message reçu comporte un fichier joint : s’assurer que le fichier joint et attendu et au besoin confirmer auprès de l’expéditeur : Il faut donc soit vérifier directement auprès de son interlocuteur connu qu’il en est bien l’émetteur ou déterminer la légitimité de l’expéditeur et de son envoi.
• Ne pas céder à la pression sur un message électronique (notamment ceux qui se présente comme un ultimatum) et vérifier scrupuleusement l’orthographe, l’adresse de l’expéditeur, parfois cela se joue à une lettre près.
• Utiliser des mots de passe complexes et différents pour chaque site ou application.
• Dans la mesure du possible, utiliser la méthode d’authentification à double facteur(MFA).

Voir aussi :

Les bonnes pratiques : Utilisation de mots de passe suffisamment complexes.

Les mesures curatives

• Dans le doute, prendre contact avec l’organisme concerné, dans les plus brefs délais.
• Dans le cas où des coordonnées bancaires ont été transmises, faire opposition au plus vite auprès de son organisme bancaire.
• Si des mots de passe ont été communiqués, les changer immédiatement.
• En cas de préjudices avérés (débits frauduleux, usurpation d’identité, menaces, chantage, …) déposer plainte au commissariat de police ou bien à la gendarmerie de son lieu de résidence.
• Conserver des preuves tangibles du message de hameçonnage reçu.

Les adresses utiles

• phishing-initiative.eu : plate-forme de signalement de sites frauduleux.
• signal-spam.fr : plate-forme de signalement de spams.
• www.cybermalveillance.gouv.fr : plate-forme d’assistance et prévention en sécurité numérique.
• info escroqueries : plate-forme d’information, conseil et orientation des personnes victimes d’escroquerie (0 805 805 817, appel gratuit).