Sécurité numérique, l’affaire de tous !

Le phishing (hameçonnage)

Les bons réflexes

Les campagnes d’attaques de phishing déployées par les cybercriminels sont de plus en plus sophistiquées, rendant leur caractère frauduleux plus difficile à déceler.

Académie National Sécurité numérique

Mis à jour le mardi 16 mai 2023

Les fraudeurs utilisent souvent des courriels comportant un message semblant provenir de sources légitimes, telles que des institutions financières, des entreprises, des services étatiques (impôt, police, rectorat...).

L’utilisation généralisée de l’IA (Intelligence Artificielle) permet aux "hackeurs" de créer du contenu de messages de mieux en mieux construit tant d’un point de vue grammatical que de l’orthographe, même si leur langue natale n’est pas celle de leurs cibles.

L’hameçonnage - cybermalveillance.gouv.fr

Vol de données : Vous recevez un message ou un appel inattendu, voire alarmant, d’une organisation connue et d’apparence officielle qui vous demande des informations personnelles ou bancaires ? Vous êtes peut-être victime d’une attaque par hameçonnage (phishing en anglais) ! But : Voler des informations personnelles ou professionnelles (identité, adresses, comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux. Technique : Leurre envoyé via un faux message, SMS ou appel téléphonique d’administrations, de banques, d’opérateurs, de réseaux sociaux, de sites d’e-commerce…

Victime : Comment réagir ? - cybermalveillance.gouv.fr

Comment réagir : • Ne communiquez jamais d’information sensible suite à un message ou un appel téléphonique • Au moindre doute, contactez directement l’organisme concerné pour confirmer • Faites opposition immédiatement (en cas d’arnaque bancaire) • Changez vos mots de passe divulgués/compromis • Déposez plainte • Signalez-le sur les sites spécialisés

Voici quelques bons réflexes à avoir afin de se prémunir contre le phishing :

Cadeaux à gagner, colis à votre intention arrivé à la Poste, facture impayée, paiement de contravention, vignette Critair, mise à jour de votre carte Vitale, suspension de vos droits à la CAF, rectification de votre avis d’imposition, réinitialisation du mot de passe d’un de vos comptes en ligne, problème lié à votre carte bancaire : les fausses raisons urgentes invoquées par les "hackeurs" sont multiples et se renouvellent constamment.

La première étape pour se prémunir contre le phishing est d’être vigilant vis à vis de l’expéditeur du courriel :

  • Vérifiez toujours l’adresse e-mail de l’expéditeur avant de cliquer sur quoi que ce soit. Les cybercriminels utilisent souvent des adresses e-mail qui ressemblent à celles de grandes entreprises ou de services gouvernementaux légitimes.
  • Ils peuvent également utiliser une adresse de courriel d’un compte piraté appartenant à vos contacts. Dans ce cas, soyez attentif à l’éventuelle nature inhabituelle d’un message envoyé par l’un de vos contacts : cela devrait vous alerter d’une usurpation d’identité.

Lorsque vous recevez un e-mail ou un message de texte contenant un lien, ne cliquez pas dessus immédiatement. Les liens de phishing sont souvent déguisés en URL légitimes, mais vous pouvez vérifier la véritable adresse en survolant le lien avec votre souris. Si l’URL semble suspecte ou inconnue, ne cliquez pas dessus.

Le but des "hackeurs" est de vous envoyer sur une page web piégée imitant celle des entités légitimes afin de vous amener à communiquer des informations devant rester secrètes (RIB, numéro de carte d’identité ou de sécurité sociale, identifiants de connexion à des sites bancaires ou commerciaux ...) en vue de commettre leurs forfaits.

N’ouvrez pas les pièces jointes d’e-mails provenant de sources inconnues car elles peuvent contenir des virus ou des "malwares" pouvant infecter votre machine (ordinateur, tablette, smartphone). Il est fortement recommandé d’avoir sur chacune d’entre elles un antivirus à jour afin de limiter drastiquement les risques d’infection.

Remarque : depuis un smartphone, il n’est pas possible d’utiliser la fonctionnalité de survol permettant de révéler la nature d’un lien suspect. Il faut donc redoubler de vigilance en différent si possible la consultation afin de la réaliser depuis un ordinateur.

Soyez prudent lorsque vous partagez des informations sensibles en ligne : les entreprises ou services légitimes ne demanderont jamais vos identifiants de connexion à un site web ou vos informations bancaires par e-mail. Si vous êtes invité à fournir ces informations, il est préférable de contacter l’entreprise ou le service directement auprès d’un contact humain connu de vous, pour confirmer que la demande est bien légitime.

Les outils de sécurité tels que les logiciels antivirus et les pare-feu peuvent vous aider à vous protéger contre les attaques de phishing. Assurez-vous que vos logiciels de sécurité sont à jour et qu’ils sont configurés pour détecter les menaces de phishing.

L’antivirus de TREND MICRO n’est plus disponible gratuitement pour les enseignants et personnels de l’Éducation Nationale : le marché ministériel a pris fin en juillet 2024 et ne sera pas renouvelé. Les établissements doivent se tourner vers leur collectivité de rattachement.

Enfin, il est important de rester informé afin de connaître les dernières techniques de phishing. Les fraudeurs sont constamment à la recherche de nouvelles façons de tromper les utilisateurs : en effectuant une veille sur les dernières tendances en matière de phishing, vous serez en mesure de mieux vous protéger.

Chaque signalement compte

Si vous avez reçu un mail suspect :

  • Dans un cadre privé : vous pouvez le signaler sur la plateforme Signal Spam. Composé d’experts en cybersécurité et associé à la CNIL, cet organisme identifie les principaux émetteurs de spams et agit contre les cybercriminels au niveau national, en collaboration avec les autorités publiques et les opérateurs des services de messagerie.
  • Sur votre boite académique : vous pouvez le transférer avec l’option "en pièce jointe" à l’adresse spam-hameconnage@ac-versailles.fr (Spam et phishing pour les utilisateur académie de Versailles)

Si vous êtes victime d’un autre incident de sécurité dans le cadre professionnel, saisissez la chaîne d’alerte en déclarant un incident de sécurité depuis le portail CARIINA accessible via la rubrique "Support et assistance" de ARENA ou envoyez directement un courriel à alerte-ssi@ac-versailles.fr.

Pour aller plus loin

Portfolio

Micro Trend

Documents joints

Dans la même rubrique

Article rédigé par David Latouche