Comment se protéger contre l'hameçonnage? Être plus malin que les cybercriminels

L’hameçonnage : qu’est-ce que c’est?

L’hameçonnage, aussi connu sous le nom de phishing ou de filoutage, est une sorte de fraude utilisée par les cybercriminels pour accéder aux ordinateurs de leurs victimes, voler des informations confidentielles, soutirer de l’argent, et bien plus. Parmi leurs techniques les plus fréquentes : se faire passer pour une organisation établie; qu’il s’agisse d’une institution financière, d’un site marchand, d’une administration, d’un service postal, ou de toute entité susceptible de détenir des données privées.

Outre l’usurpation de l’identité de grands organismes, l’hameçonnage consiste plus généralement à manipuler les victimes et abuser de leur confiance. Les individus mal intentionnés peuvent donc aussi vous écrire au nom d’un ami, collègue, partenaire, fournisseur, ou d’une personne inconnue.

Dans 95% des cas recensés, les tentatives d’hameçonnage sont perpétrées par courriel – le reste ayant lieu sur des sites web, par texto, ou même par téléphone. La plupart des personnes ciblées reçoivent donc un message qui peut ressembler de très près à un vrai et sont invitées à ouvrir une pièce jointe, à se rendre sur une page de redirection, ou à cliquer sur un lien, bien évidemment tous frauduleux.

Comment détecter l’hameçonnage?

Les hameçonneurs sont habiles pour leurrer les internautes. Du logo à la signature, les courriels malicieux imitent presque en tous points les marques, services ou contacts avec qui nous échangeons régulièrement. Certains de ces messages sont d’autant plus trompeurs que leur contenu est très contextualisé : on nous parle d’un abonnement spécifique, de nos impôts au mois de mars, ou encore de commandes d’articles en plein temps des fêtes.

Même le texte peut être rédigé dans un langage impeccable. La présence de fautes d’orthographe, qui pouvait autrefois nous mettre la puce à l’oreille, n’est donc plus toujours un indice fiable.

Quels sont les risques de l’hameçonnage?

Lorsqu’on clique sur un lien frauduleux, on est redirigé vers une page ressemblant par exemple à l’interface de notre banque qui nous invite à saisir nos codes ou numéros de carte en prétextant une vérification ou mise à jour. On parle alors d’un vol de données.

Lorsqu’on clique sur un fichier frauduleux, des logiciels malveillants peuvent s’installer sur l’ordinateur sans que rien n’apparaisse à l’écran et donc à l’insu de l’utilisateur. Les victimes sont exposées à différents risques, incluant :

• L’intrusion dans l’ordinateur de logiciels malveillants, notamment capables de voler des données personnelles, de récupérer des informations bancaires, ou d’intercepter des identifiants et mots de passe. Les cybercriminels peuvent vouloir revendre ces données sur le dark web ou les utiliser pour voler de l’argent.
• Le cyber-rançonnage qui utilise des « rançongiciels » pour bloquer l’accès à des fichiers, des ordinateurs, voire à des réseaux et serveurs au complet en les chiffrant. Le but de ce type d’attaque est de faire subir des dommages à la victime ou de lui extorquer de l’argent en échange de la promesse de restaurer ses données.

Oups! J’ai cliqué. Que faire?

Par inattention, par vulnérabilité ou par méconnaissance de ces pratiques malveillantes, tout le monde peut se faire berner, et il n’y a pas de honte à avoir. Même une fois tombé dans le piège, l’hameçonnage est par ailleurs difficile à déceler.

Quoi faire si vous soupçonnez le vol de vos données :

• Changez les mots de passe, codes ou accès que vous pensez corrompus.
• Surveillez l’activité sur vos comptes bancaires et votre boîte courriel.
• Envisagez de souscrire à un service de protection pour restaurer votre identité, obtenir une veille constante sur vos données et être prévenu en cas d’activité suspecte, comme l’ouverture d’un compte à votre nom.
• Portez plainte et suivez les instructions de la Gendarmerie royale du Canada.

Quoi faire si vous êtes victime de rançonnage :

• Débranchez votre ordinateur d’internet et/ou du réseau.
• Ne payez pas la rançon pour ne pas encourager les fraudeurs.
• Restaurez l’ordinateur et les données, avec l’aide d’un professionnel si besoin.
• Portez plainte et suivez les instructions de la Gendarmerie royale du Canada.

Comment bien réagir à un courriel hameçon?

Le principal conseil à suivre face à un message suspect : douter, s’arrêter et réfléchir. Lorsqu’un message nous intrigue, on peut être amené à cliquer pour en savoir plus et, dans la précipitation, oublier de se méfier. Savoir être sceptique est pourtant une technique de « survie » indispensable sur le web. Les courriels hameçons ont beau être de plus en plus soignés, vous y trouverez la plupart du temps quelque chose de louche.

Lisez vos courriels avec attention et au moindre doute, prenez quelques instants pour analyser le contexte et vous poser des questions :

> Je reçois un numéro de suivi alors que je n’ai rien commandé?

> On me presse de réagir urgemment?

> Je dois mettre à jour des informations confidentielles?

> On menace de fermer mon compte?

Ces quelques exemples sont courants mais loin d’être exhaustifs! Les cybercriminels rusent de toutes sortes de stratagèmes qui paraissent cela dit majoritairement inhabituels, injustifiés, insistants ou alarmistes. Faites-vous confiance. Si une demande vous semble surprenante, c’est probablement mauvais signe.

Si vous pensez avoir identifié une tentative d’hameçonnage :

• Ne cliquez surtout pas! Vous éviterez ainsi tout risque de contaminer votre ordinateur avec un logiciel malveillant. Vous pouvez survoler le lien suspect avec votre souris (sans cliquer) pour vérifier l’adresse web où il renvoie. Si vous ne reconnaissez pas l’URL, utilisez plutôt votre navigateur pour accéder à votre compte.
• Vérifiez la source par vous-même. Que ce soit une entreprise ou une personne, contacter directement le prétendu émetteur du message devrait lever le doute. Veillez à utiliser un numéro de téléphone officiel, et non celui contenu dans le message. Ne communiquez jamais d’informations personnelles si vous n’êtes pas à l’origine de l’appel ou de la prise de contact.
• Signalez la tentative de fraude. Plusieurs autorités peuvent être compétentes en fonction du message reçu. Vous pourriez dénoncer le pourriel à votre fournisseur de messagerie, alerter la compagnie concernée, ou joindre le Centre antifraude du Canada.
• Supprimez le message. Il n’y a pas grand risque à effacer un courriel. Dans la plupart des cas, un organisme de bonne foi vous contactera plusieurs fois si une action de votre part est requise. Ne plus avoir ce message dans votre boîte vous assure que personne ne cliquera dessus par inadvertance.

Et en tout temps, des mesures préventives s’imposent :

• Protégez vos ordinateurs et appareils mobiles. Si ce n’est déjà fait, installez un bon antivirus pour pouvoir inspecter votre ordinateur régulièrement. Prenez aussi l’habitude de mettre à jour vos logiciels, applications et systèmes d’exploitation avec les dernières versions disponibles, car des failles de sécurité pourraient y avoir été corrigées.

La grande difficulté de l’hameçonnage réside dans les multiples aspects qu’il peut prendre. Se méfier d’un message annonçant un gros gain à une obscure loterie est facile, mais détecter un faux courriel d’un site que l’on a utilisé quelque temps auparavant est moins évident. Si l’on ajoute à cela des logiciels malveillants qui peuvent opérer en silence pendant des mois, il est clair que la meilleure des tactiques est de tout simplement ne pas se laisser piéger. La prévention passe par la vigilance de chacun et des propriétaires de plateformes numériques. Partagez ces bonnes pratiques autour de vous et complétez votre lecture en apprenant comment protéger vos mots de passe et vos cartes de crédit.

Plusieurs mesures existent pour vous protéger de la fraude.