Phishing

Terme anglophone, le phishing puise sa source dans deux origines plausibles.

  • La contraction des mots "Phone" et "Fishing", soit "téléphone" et "pêche".
  • La contraction de l'expression anglaise "password harvesting fishing" qui signifie "pêche aux mots de passe".

En français, cette méthode d'escroquerie est baptisée "hameçonnage".

 

Les méthodes employées par les pirates

Pour commencer, il est important de souligner que cette méthode d'escroquerie ne repose pas sur une faille informatique mais sur une faille humaine.

  • Elle consiste en un premier temps à vous adresser un courriel non sollicité (spam) en se faisant passer, soit pour votre établissement bancaire, soit une société au nom et à la réputation largement reconnus généralement issue du commerce électronique.
  • Sous un faux prétexte (exemple : mise à jour de vos données), le mail vous invite à cliquer sur un lien et à vous authentifier à l'aide de vos identifiant et mot de passe.
  • Le lien fourni vous conduit vers un site Internet identique en tout point à votre site habituel mais à l'adresse subtilement modifiée. A titre d'exemple, souvenons-nous qu'un "L" minuscule peut être aisément remplacé et confondu optiquement par "i" majuscule.
    l = L minuscule
    I = i majuscule
  • Il ne reste plus au pirate qu'à enregistrer par le biais de ce faux site vos identifiant et mot de passe au moment de leur saisie.
  • Désormais en possession de vos identifiants, le pirate peut commettre son forfait et se connecter à votre place sur le site de banque à distance.
     

Comment se prémunir du phishing ?

  • Ne cliquez jamais sur un lien fourni dans un mail expédié par un inconnu ou par un établissement bancaire.
  • Accédez uniquement à votre site de banque à distance en saisissant manuellement son adresse dans le champ de saisie de votre navigateur.
  • Employez un navigateur récent équipé d'un filtre anti-phishing (Internet Explorer 10 et plus(1), Firefox 36 et plus(2), Chrome(3) ou Opera 12 et plus(4), Safari(5)).
  • Si le mode d'authentification de votre site a subitement changé sans que vous n'en ayez été averti au préalable, ne saisissez aucune donnée et prenez contact avec l'assistance téléphonique de votre site bancaire.
  • Avant de saisir vos identifiant et mot de passe, assurez-vous que l'adresse de votre site bancaire commence bien par le terme "https://" et vérifiez son authenticité (certificat de sécurité) en cliquant sur le petit cadenas situé en bas à droite ou dans la barre d'adresse de votre navigateur.
  • Ne communiquez jamais vos identifiant et mot de passe, ni vos codes de validation reçu par SMS.

Si vous avez un doute...

  • Ne saisissez aucun code ou mot de passe.
  • Contactez l'assistance technique de votre site de banque à distance par téléphone et/ou par formulaire.
  • Changez votre mot de passe.
  1. (1)

    Microsoft, Internet Explorer, Edge et Windows sont des marques déposées de Microsoft corporation.

  2. (2)

    Mozilla et Firefox sont des marques déposées de Mozilla Foundation.

  3. (3)

    Google, Android et Chrome sont des marques déposées de Google Inc.

  4. (4)

    Opera est une marque déposée de Opera Software.

  5. (5)

    Apple, IOS, MacOS et Safari sont des marques d'Apple inc., enregistrées aux USA et dans les autres pays.