Fraude sur Internet : lutter contre le phishing

J’ai dernièrement vu passer sur mon fil Facebook pas mal de captures d’écran de mails apparemment officiels et de gens qui demandaient “C’est louche non ?”. Dans 95% des cas, c’était effectivement louche puisqu’il s’agissait de tentatives de phishing.

 

Le phishing, c’est quoi ce truc ?

Le phishing, également appelé en français “hameçonnage” ou encore “filoutage” (c’est pas très terrifiant, filoutage, c’est même archi mignon, j’imagine un petit hamster joufflu qui essaie de voler un épi de maïs. Tout va bien dans ma tête, merci), c’est une technique utilisée par des personnes mal intentionnées pour récupérer vos informations personnelles (mots de passe, coordonnées bancaires, etc), généralement en vue de récupérer de l’argent.

Vous recevez un mail d’un site ou institution digne de confiance (les plus courants étant eBay, Paypal, les FAI, les fournisseurs de gaz/électricité, la CAF, les banques, ce genre de trucs) qui vous invite à vous connecter de toute urgence (par exemple pour EDF : il y a un problème avec votre facture, ou vos coordonnées bancaires ne sont plus bonnes) via un lien dans l’email. Vous cliquez et vous atterrissez sur le site, et vous rentrez vos identifiants personnels. Et bim, vous avez été hameçonné.

Parce qu’en fait à aucun moment vous n’avez été en contact avec un site officiel. Le mail est un faux qui vous a trompé en “ayant l’air” officiel, et le site sur lequel vous avez sans réfléchir enregistré vos données était en fait une réplique du vrai site, qui a permis au fraudeur de récupérer vos informations personnelles. Vous venez donc de donner votre numéro de carte bancaire et le code de contrôle à un ami qui ne vous veut visiblement aucun bien.

 

Comment reconnaître le phishing ?

Pour éviter de se faire filouter (ahahahahah, j’adore ce mot), voici une liste de conseils et trucs à vérifier si vous recevez un mail “douteux”. Par mail “douteux”, on va entendre tout mail semblant émaner d’un acteur de confiance et vous invitant à vous connecter à son service pour une raison X ou Y. Ca peut paraître parano, mais ça prend 20 secondes d’être prudent, et nettement plus de faire opposition pour fraude sur sa carte bancaire.

Un bel exemple de phishing

Un bel exemple de tentative de phishing

 

Faire preuve de bon sens

Des fautes d’orthographe ou de syntaxe ? Un mail de la BNP qui vous dit qu’il y a un problème avec votre compte alors que vous n’êtes pas client BNP ? Il s’agit probablement d’une tentative de filoutage (je vous ai dit que j’adorais ce mot ? Ah oui ? Vraiment ? Bon.)

Plus généralement, une demande d’infos personnelles par email, ce n’est pas bon signe. Les sites officiels ne vous demanderont pas vos coordonnées bancaires par email. EDF ne vous enverra pas un avis de coupure par email alors que vous payez régulièrement vos factures. Désolée mais eBay ne vous a pas remboursé un avoir de 100€ dernièrement. Etc.

Un site officiel ne vous envoie pas de menaces (sauf la CAF mais c’est un autre débat :3). Pas de “si vous ne répondez pas à cet email sous 3 jours nous devrons fermer votre compte” chez nous.

Ceci étant, les tentatives de phishing sont de plus en plus sophistiquées, et le bon sens ne suffit pas toujours.

 

Vérifier l’expéditeur

Le mail est envoyé depuis une adresse email (si si, je vous assure). C’est la première chose à regarder. Un mail envoyé par Paypal a une adresse de type “bidule@paypal.com” et non “paypal@bidule.com”. Il peut aussi y avoir une faute dans le nom de domaine : “bidule@payppal.com”, c’est pire que louche. Bien sûr vous ne pouvez pas connaître toutes les adresses mails “valides” d’un expéditeur et ce n’est donc pas un indice infaillible, mais c’est déjà un bon début.

Attention avec les FAI : n’importe qui peut créer une adresse “@orange.fr” ou “@free.fr”, la vérification du nom de domaine de l’expéditeur n’est donc pas pertinente pour ce cas précis.

 

Vérifier l’URL du site

Si vous avez cliqué sur le lien dans l’email (aparté : si vous avez un doute sur un email, ne cliquez pas sur un lien à l’intérieur, c’est la base. Bon, admettons que vous avez cliqué quand même), vérifiez l’URL qui s’affiche et comparez-la avec celle du site “réel”. Vous avez reçu un mail de la BNP ? Qui vous renvoie sur bnp-paribas.net ? Seems legit. Sauf que la vraie url de BNP, c’est bnpparibas.net, sans tiret (pour vérifier, il suffit de taper “BNP” dans google).

D’autre part, on peut présenter un lien de deux façons : associé à un texte : ceci est un lien ou brut : http://espace-numerique.fr. SAUF QUE. Vous pouvez faire semblant d’avoir un lien brut, alors qu’il s’agit d’un lien associé à un texte. Pour mieux comprendre, voilà le code qui a permis de faire le lien “ceci est un lien” ci-avant : <a href=”http://espace-numerique.fr>ceci est un lien</a>. Pour tromper l’utilisateur, j’aurais donc pu mettre : <a href=”http://espace-numerique.fr>http://google.fr</a> (visuellement ça donne : http://google.fr) et lui faire croire qu’il allait aller sur Google, alors que je l’envoyais sur Espace Numérique. HAN. Conclusion : ce qui compte c’est l’URL qui s’affiche dans la barre du navigateur.

Attention aussi, parfois l’URL de redirection contient une arobase (@). On va pas rentrer dans le détail technique, mais c’est pas bon. Ceci dit à part si vous utilisez IE6, les navigateurs vous préviennent quand vous essayez d’accéder à un lien de ce genre, donc normalement vous ne devriez pas vous faire avoir par ça.

 

Ne pas cliquer sur le lien du mail et passer par Google

Honnêtement, c’est la méthode la plus fiable si vous avez un doute. Au lieu de cliquer sur le lien, ouvrez votre moteur de recherche préféré ou saisissez directement l’URL du site qui vous aurait envoyé le mail si vous la connaissez. Vous pourrez alors vous connecter à votre espace client, et vous verrez bien si vous y retrouvez l’alerte qui vous a été envoyée par mail. Si on reprend notre exemple de facture EDF soit disant impayée, on devrait la retrouver aisément en se connectant à l’espace client. Si ce n’est pas le cas, c’était bien un mail de phishing. Sinon, va falloir sortir la carte bleue mais ce n’est plus le sujet de cet article.

 

Trop tard j’ai donné mes informations !

Vous n’avez pas lu cet article à temps et vous avez refilé vos informations à un fraudeur ?

  • J’ai saisi mes identifiants (login et mot de passe) mais rien d’autre : allez sur le vrai site, et changez immédiatement votre mot de passe. Surveillez votre compte dans les jours suivants pour vérifier qu’il ne se passe rien d’anormal.
  • J’ai saisi mes identifiants bancaires :
    • mon numéro de carte bancaire : faites opposition auprès de votre banque
    • mon RIB : contactez votre banque immédiatement, qui vous informera sur la marche à suivre

 

Signaler un site de phishing

Si vous avez reçu une tentative de phishing, signalez le aux autorités compétentes. Cela évitera à d’autres moins bien renseignés que vous de se faire avoir. Voici trois liens pour signaler les tentatives de phishing (gérés ou recommandés par le Ministère de l’Intérieur) :

La plupart des sites habitués à être utilisés par les fraudeurs proposent aussi des adresses email dédiées auxquelles transférer les emails de phishing reçus.