Comprendre l’hameçonnage : définition et aperçu des méthodes
L’hameçonnage est considéré comme l’une des plus anciennes escroqueries depuis le lancement d’Internet. Les cybercriminels tentent d’intercepter les mots de passe sensibles, les données bancaires et de paiement par le biais de l’ingénierie sociale, des emails de phishing ou des programmes malveillants. Alors que l’hameçonnage classique utilisait des liens et des pièces jointes avec des redirections malveillantes ou des téléchargements de programmes malveillants, les méthodes modernes d’hameçonnage ne s’appuient plus nécessairement sur la publication involontaire de données importantes.
L’hameçonnage, c’est quoi ?
Pensez au petit chaperon rouge et au grand méchant loup : le grand méchant loup demande au petit chaperon rouge où elle vit, quel est le nom de sa grand-mère et ce qu’elle transporte dans son panier. Grande naïve, le petit chaperon rouge partage des informations importantes avec ce loup courtois. Il ne faut pas longtemps au loup pour se retrouver dans la maison et prétendre être la grand-mère du petit chaperon rouge. Imaginez maintenant ce loup diabolique comme étant un email de phishing.
Le mot « phishing » dérive du mot anglais « fishing », désignant la pêche en français, car les victimes de l’hameçonnage sont attirées comme les poissons. Les faux emails des banques, des services d’abonnement et de paiement, ou de soi-disant amis ou collègues, agissent comme des vers à l’hameçon. Les personnes visées remarquent bien trop tard qu’elles sont déjà harponnées au dangereux crochet de phishing.
Même avant l’arrivée d’Internet, le vol de données employant la ruse faisait partie du catalogue d’activités des criminels. Il s’agissait ici du shoulder surfing la plupart du temps, où des données importantes telles que des codes PIN, des adresses, des données bancaires ou des numéros de téléphone étaient espionnées au-dessus de l’épaule. L’hameçonnage se présente comme la dernière évolution du vol de données pour la génération Internet. Vous avez probablement déjà vu des emails passer dans votre boîte de réception, où votre banque supposée expose un problème urgent, Amazon souhaite livrer un paquet que vous n’avez jamais commandé, ou un oncle inconnu vous a légué un héritage de millions de dollars. La liste des méthodes de phishing est longue et s’allonge chaque année.
Quel objectif est poursuivi lors du phishing ?
L’objectif de l’hameçonnage a pour point de mire vos données : données bancaires, informations sur les cartes de crédit, mots de passe pour les services bancaires en ligne, les boutiques en ligne, les comptes de messagerie ou les backends de sites Web. Plus les données sont personnelles et sensibles, plus elles sont convoitées. Le vol de données est commis par des fraudeurs de phishing qui redirigent des victimes vers des sites falsifiés pour les y faire saisir des informations personnelles. Avec les données volées, les fraudeurs usant de l’hameçonnage peuvent vous nuire financièrement, voler votre identité, multiplier les attaques d’hameçonnage auprès de vos contacts, ou corrompre les données de l’entreprise.
L’hameçonnage sert également souvent de marchepied à d’autres attaques par logiciels malveillants, ransomwares, spywares et scarewares. Les pièces jointes aux courriers électroniques de phishing contenant des macros ou du code malveillant sont également utilisées pour installer des logiciels malveillants sur les ordinateurs.
Les types d’hameçonnage en action
À l’image de la technologie et des compétences numériques, les pratiques et les méthodes des fraudeurs de phishing connaissent une évolution perpétuelle. L’hameçonnage classique nécessitait encore un « coup de main » involontaire de la part des victimes de phishing en saisissant des données personnelles ou en cliquant sur des liens et des pièces jointes. Les nouvelles méthodes d’hameçonnage en revanche ne nécessitent plus de telles actions.
Les types caractéristiques d’hameçonnage sont les suivants :
- Phishing par email : faux emails, qui contiennent généralement des liens vers des sites Web malveillants, des téléchargements ou des logiciels malveillants dans des pièces jointes
- Phishing par site Web : sites Web factices qui incitent les utilisateurs à saisir des données importantes ou qui installent des logiciels malveillants, méthode également connue sous le nom de spoofing
- Vishing : la méthode appelée vishing emploie des appels frauduleux pour pratiquer de l’hameçonnage téléphonique ou vocal.
- Smishing : le smishing recourt à de faux SMS ou messages de messagerie. Ils sont conçus pour inciter les utilisateurs à cliquer sur des liens, à télécharger des logiciels malveillants ou à divulguer des données.
- Phishing sur les réseaux sociaux : au sein des réseaux sociaux, l’hameçonnage prend notamment la forme du détournement de comptes de réseaux sociaux ou de la création de copies de profils trompeuses. Ceux-ci peuvent être utilisés pour dérober des données sensibles à des victimes et à leurs contacts.
Les deux stratégies d’hameçonnage les plus courantes
Les pratiques d’hameçonnage courantes peuvent être distinguées entre les méthodes ciblées de spear phishing épaulées par une ingénierie sociale intensive et l’hameçonnage de masse.
Spear phishing
Dans le cas du spear phishing ou « hameçonnage ciblé » en français, les cybercriminels espionnent un petit groupe cible ou une seule victime. Des informations publiques telles que les adresses de messagerie, les listes d’amis, les parcours et les titres professionnels sont collectées à cet effet à l’aide de l’ingénierie sociale. Les criminels génèrent ensuite des emails qui semblent authentiques à s’y tromper et provenant de contacts, sociétés, banques ou connaissances. Il s’agit notamment d’un lien vers un site Web professionnel falsifié qui vous invite à saisir vos mots de passe, vos informations bancaires ou d’autres informations. Le faux email peut aussi vous inciter à cliquer sur des pièces jointes malveillantes. L’hameçonnage ciblé peut préparer des attaques à grande échelle contre des entreprises ou le vol d’actifs de l’entreprise en espionnant les données des PDG.
Hameçonnage de masse
Tandis que l’hameçonnage ciblé sophistiqué se concentre sur la qualité de la contrefaçon, les campagnes de phishing de grande envergure sont focalisées sur la quantité de victimes. Souvent, vous reconnaissez le phishing de masse à des adresses email manifestement incorrectes, des redirections vers des sites Web et des URL http suspects et non chiffrés, ou à une grammaire qui laisse à désirer. Il peut également s’agir d’emails provenant de services d’expédition ou de commande, même si vous n’avez rien commandé, ou de messages d’Amazon et de PayPal, même si vous n’avez pas de compte du tout. Un tel acte d’hameçonnage vise à subtiliser autant de données sensibles que possible à travers le plus grand nombre possible de victimes potentielles.
Autres tactiques d’hameçonnage
Les techniques de phishing actuelles ne reposent plus sur l’interaction avec la victime. L’acte de cliquer sur des liens dangereux ou de saisir des données ne fait pas nécessairement partie intégrante de l’hameçonnage dans les nouvelles tactiques mises en œuvre. Il suffit d’ouvrir un site Web ou un email infecté de code malveillant pour déclencher une attaque Man in the Middle. Cela permet à des cybercriminels de s’intercaler entre votre ordinateur et l’Internet pour capturer votre communication Internet avec vos données sensibles. L’aspect particulièrement perfide : dans une attaque de type Man in the Middle, il est souvent difficile de détecter la présence d’attaquants silencieux entre vous et des serveurs ciblés sur le World Wide Web.
Reconnaitre rapidement l’hameçonnage : 5 caractéristiques
Vous devriez porter attention à ces manifestations typiques afin de détecter les tactiques d’hameçonnage et de déceler les tentatives de phishing par mail :
- Emails ou sites Web qui sont manifestement formulés dans une grammaire ou une langue douteuse ;
- Emails ou sites Web émanant de banques ou d’autres prestataires vous intimant de saisir des données personnelles ou de vérifier votre compte et des données de paiement ;
- Adresses email d’expéditeurs prétendument officiels qui ne correspondent pas au nom de la société ou au nom de l’expéditeur en question ;
- Redirections vers des sites Web http ou vers des URL suspects, et utilisation de liens raccourcis par des réducteurs d’URL comme bit.ly ;
- Emails provenant d’adresses suspectes ou invitant à une action rapide, qui contiennent des fichiers joints suspects portant des extensions .exe, .docx, .xlsx ou des archives ZIP et RAR.
- Protection contre les attaques par ransomware
- Analyses antivirus régulières
- Sauvegardes automatiques et restaurations faciles
Exemples connus d’attaques de phishing
Certains cas d’hameçonnage à grande échelle ont été particulièrement médiatisés en raison de leur portée :
Élections présidentielles américaines en 2016
La fuite de nombreux emails du Parti démocrate américain en 2016 est l’un des cas d’hameçonnage les plus illustres et les plus riches de conséquences. Les groupes de hackers Fancy Bear et Cozy Bear ont envoyé aux députés démocrates des messages d’hameçonnage les exhortant à modifier certains mots de passe. Le lien contenu a permis aux attaquants d’intercepter des données de connexion et d’accéder à divers comptes de messagerie de politiciens de haut rang. La publication de données sur Wikileaks a eu un impact significatif sur la victoire du futur président Donald Trump.
Attaque d’hameçonnage sur le Bundestag allemand en 2015
L’une des plus grandes attaques de hackers dirigées par la Russie contre le gouvernement allemand a probablement eu lieu de la fin 2014 à mai 2015. Elle a commencé par l’envoi d’emails de phishing aux députés qui ont placé des chevaux de Troie dans le système informatique interne et volé des mots de passe d’administrateur. En avril 2015, plusieurs députés du Bundestag ont reçu des mails provenant prétendument des Nations Unies, qui installaient d’autres logiciels malveillants dans l’infrastructure informatique de l’assemblée parlementaire.
Escroquerie par hameçonnage sur Google et Facebook en 2017
En 2017, les fraudeurs ont réussi à voler un butin d’environ 100 millions de dollars américains par le biais d’emails de phishing et d’une fausse identité d’entreprise. L’arnaque a réussi, car l’entreprise ainsi imitée ne pouvait à peine se distinguer d’un véritable partenaire commercial de Google et de Facebook. Le personnel de la grande entreprise touchée a versé sans le savoir d’énormes sommes d’argent sur les comptes des hackers situés dans des paradis fiscaux.
Même si les attaques de phishing visent essentiellement les grandes entreprises et les gouvernements, chaque utilisateur n’est pas épargné par le risque de tomber dans un piège d’hameçonnage en ligne. Des associations de consommateurs comme Que Choisir ainsi que la Direction générale de la concurrence, de la consommation et de la répression des fraudes publient ainsi régulièrement des exemples et des explications sur les méthodes d’attaque actuelles mises en place par les fraudeurs de phishing.