
Le phishing est une technique frauduleuse de plus en plus répandue, souvent déployée par emails, qui vise à récupérer vos informations personnelles sensibles comme : numéro de carte bleue, numéro de téléphone portable, identifiants de connexion, carte d'identité numérisée… Même si certains antivirus, comme Bitdefender, luttent désormais contre les attaques de phishing, la meilleure protection… c'est vous ! Découvrez ici les grands principes du phishing et les bons réflexes à avoir pour déjouer une tentative de phishing.
1. Le phishing, comment ça marche ?
Le phishing (hameçonnage en français) est une technique frauduleuse de plus en plus répandue, qui vise à usurper votre identité en tentant de collecter vos données personnelles sensibles : numéro de carte bleue, identifiants et mots de passe, carte d'identité numérisée… Le phishing est une technique qui vient compléter une liste déjà bien lourde de techniques frauduleuses, souvent appliquées par email.
Aucun logiciel de protection n'est en mesure de vous protéger totalement contre cette technique. C'est pourquoi la seule manière de s'en prémunir est notre comportement. Nous sommes souvent le maillon le plus faible entre les hackers et nos données personnelles !
Les techniques de phishing sont larges mais certaines sont devenues « classiques », comme la tentative de récupération de nos données bancaires sur un site contrefait (mais construit à l'identique du vrai site, et oui, c'est là où l'on se fait avoir !) depuis un email également contrefait. Nous allons voir comment détecter ces emails et sites frauduleux.
Généralement, la technique du phishing consiste à vous faire croire, via un email envoyé sur votre boîte de réception, que vous devez mettre à jour vos informations personnelles sur un site internet X (Impôts, sécurité sociale, AMELI, messagerie en ligne…). Vous tomberez alors sur un faux site internet, qui ressemble presque parfaitement au vrai site, qui vous demandera de remplir un formulaire ou de saisir vos identifiants de connexion. Vos données seront alors aux mains des hackers.
2. Phishing : les bonnes pratiques à adopter
Comme nous l'avons vu ci-dessus, en cas de tentative de phishing les fraudeurs vous inviteront à fournir vos données personnelles sur un site contrefait par le bais d'un mail frauduleux. Il s'agit donc de vérifier l'authenticité de ceux-ci.
Mais il y a avant tout une règle de base à adopter.
D'une manière générale, ne donnez jamais vos informations bancaires via un email reçu. Si votre banque ou toute autre entreprise et administration doit le faire, elle vous contactera autrement. Et, de toute façon, à moins qu'elle ai perdu toutes ces données, elle n'a aucune raison de vous les redemander ! Les coordonnées bancaires sont à mettre à jour uniquement sur votre demande, lorsque vous changez de carte bancaire ou de banque. Certains cas existent cependant, par exemple si vous avez effectué un paiement en plusieurs fois, que vous changez de moyen de paiement entre temps sans en avertir le créditeur. On vous contactera alors par téléphone ou par courrier, mais en aucun cas par email. D'une manière générale encore, demandez-vous : « mais pourquoi me demandent-ils mes informations bancaires ? ». C'est ainsi la règle la plus importante à adopter.
Voyons maintenant comment vous pouvez vérifier l'authenticité d'un email et d'un site internet.

Vérifier l'authenticité d'un email
- Vérifiez la syntaxe et l'orthographe du mail. Un mail bourré de fautes ou qui semble avoir été traduit automatiquement est plus que douteux.
- Vérifiez l'url du lien contenu dans le mail. Si vous êtes en présence d'un email lié à une tentative de phishing, les hackers vous inciteront à vous rendre sur un site en vous indiquant par exemple que vous devez y mettre à jour vos informations personnelles (banque, administration…). L'email contient donc un lien. Survolez le lien avec votre souris et lisez l'url du lien correspond qui s'affiche en bas de la fenêtre. Si vous constatez que l'adresse url ne correspond pas au site officiel concernée, alors vous êtes face à un email frauduleux.
- Enfin, si votre email contient une pièce-jointe alors que vous n'attendez aucun document, ne l'ouvrez surtout pas. Il pourrait s'agir d'un logiciel espion, qui va enregistrer tout ce que vous allez taper… Mieux vaut être prévenu.
- Certains emails de phishing sont détectés et placés dans le dossier « spam » de votre messagerie. Soyez donc vigilant au contenu de ce dossier.
Vérifier l'authenticité d'un site
Si malgré les éléments suspects qu'un email frauduleux contient, vous vous retrouvez sur un site douteux, voici le comportement à adopter. Si vous n'avez encore donné aucune information personnelle, il n'est pas encore trop tard !
- Vérifiez que le site présente une connexion sécurisée : présence du cadenas dans la barre d'adresse, de « https » et non de « http ».
- Vérifiez les pages contact et mentions légales : sur un faux site web, elles sont généralement vides ou renvoient vers la page d'accueil. Ces liens sont présents en bas des faux sites.
- Vérifiez l'adresse url du site web concerné. Ouvrez le site officiel que vous avez l'habitude d'utiliser et comparez le nom de domaine (Un email avec un logo de La Poste devrait uniquement vous renvoyer vers laposte.fr, et pas lapostefr.fr). Les sites de phishing sont très bien contrefaits car leur but premier est de vous induire en erreur. Vérifiez le site suspect en saisissant une url officielle. Exemple :
Site officiel : laposte.fr
Cherchez une url officielle du site de La Poste : laposte.fr/particulier/votre-espace/authentification
Exemple de site frauduleux : lapostefr.fr
Testez l'url officielle sur le site qui vous parait suspect, le navigateur affichera alors une page inexistante (ou « erreur 404 ») qui vous confirmera que vous n'êtes pas sur le site officiel : lapostefr.fr/particulier/votre-espace/authentification (= adresse inconnue !)