Qu’est-ce que le Phishing ?

Si vous vous intéressez un minimum à la cybersécurité, vous avez forcément entendu parler de phishing. Ce vecteur d’attaque est à l’origine de 80% des failles de sécurité des entreprises. Dans cet article, on vous explique tout ce qu’il y a savoir dessus.

Qu’est-ce que le phishing ?

Le phishing est une forme d’ingénierie sociale. L’ingénierie sociale rassemble tous les attaques qui font appel à la manipulation pour tromper les individus. Le principe du phishing est simple : appâter un utilisateur pour lui soutirer des informations. Vous comprenez pourquoi, en français, on parle d’hameçonnage.

Les objectifs d’une attaque par phishing sont multiples et diffèrent d’une attaque à l’autre : récupérer des données personnelles, des données professionnelles, installer un malware, extorquer des fonds, …

Lorsqu’on parle de phishing, on parle souvent de e-mail mais il existe ce n’est pas le seul support utiliser : sms (smishing), appel téléphoniques (vishing), QR code (Qshing).

Caractéristiques d’un mail de phishing ?

Les mails de phishing prennent toutes les formes possible : texte simple, images, etc. Pourtant un mail de phishing est reconnaissable grâce à des caractéristiques qui reviennent de façon récurrente :

• L’interlocuteur qui vous contacte se fait passer pour un tiers de confiance : une solution reconnue, une marque, une institution publique, …
• Le contenu du mail vous incite à réaliser une action spécifique : modifier vos identifiants, mettre à jour vos données bancaires, activer votre compte.
• Pour réaliser cette action, on vous présente un lien. La forme de ce lien n’est pas conventionnelle et ne ressemble pas à ceux que vous voyez habituellement.
• Les mails de phishing font appel à la peur de rater quelque chose et à l’urgence. Vous devez cliquer sur ce lien sinon vous raterez quelque chose.

Cette liste des caractéristiques n’est pas exhaustive.

Comment repérer un mail de phishing ?

Pour repérer un mail de phishing, il faut être vigilant et attentif à ce que vous recevez. L’urgence et la charge de travail peuvent nous faire perdre en attention, et il est facile de tomber dans les pièges des hackers.

La première étape, dès que vous recevez un mail, même de la part d'un contact connu :

• L'orthographe et la grammaire du message sont-elles douteuses ?
• La taille ou la couleur de la police sont-elles inhabituelles ?
• Est-ce qu'on vous demande d'ouvrir une pièce jointe ou de télécharger un logiciel ?
• Est-ce qu'on vous demande vos identifiants, ou de changer votre mot de passe alors que vous n'avez rien demandé ?

Deuxième étape, en cas de doute :

• Si le mail contient des liens, vous pouvez passer votre souris sur le lien sans cliquer pour voir l'URL complet et juger de sa "fiabilité". S'il n y a pas écrit "https" au début, il faut se méfier. Et si vous avez un doute, vous pouvez soumettre le lien sur ce site https://phishing-initiative.fr/contrib/
• Si c'est un de vos collègues qui vous envoie le mail et qu’il vous semble louche, il s'est peut-être fait hacker lui-même, donc contactez-le par un autre moyen pour vérifier.
• Si le doute est fondé, vous pouvez partager le mail sur https://www.signal-spam.fr/ et à votre RSSI.

Sensibilisation au phishing

Si vous êtes chef d’entreprise ou responsable sécurité, le meilleur moyen pour protéger votre entreprise du phishing est d’entraîner vos collaborateurs grâce à des simulations de phishing régulière. Le but pour vous est d’obtenir deux choses : une progression de vos collaborateurs pour repérer des mails de phishing et une visibilité sur ce niveau. Cette visibilité est primordiale pour adapter vos plans d’actions et pour justifier des investissements auprès de votre direction.

‍