Qu’est-ce que le phishing, quels risques et quelles protections ?

Toutes les infos à connaître sur le phishing

Phishing : c'est quoi et comment se protéger ?

Le phishing est un terme utilisé pour désigner un ensemble de techniques visant à subtiliser des données sur Internet. L’arnaque la plus courante consiste à envoyer un mail à un internaute en se faisant passer pour sa banque ou un organisme d’autorité. L’idée est de le tromper afin de l’inciter à dévoiler des informations personnelles ou le conduire à donner de l’argent.

Pour se protéger contre les arnaques phishing :

  • Ne jamais communiquer ses identifiants à personne.
  • Ne pas cliquer sur un lien sans l’avoir préalablement identifié.
  • Activer un VPN pour chiffrer ses données personnelles.
Top 3
1
5/5
5/5
3,09€/mois (tarif pour 2 ans)
Voir l'offre
2
5/5
5/5
2,19€/mois (tarif pour 2 ans)
Voir l'offre
3
4,5/5
4,5/5
1,99€/mois (tarif pour 2 ans)
Voir l'offre
Sommaire
Le contenu de cette page a été vérifié par un expert de la rédaction en date du 22/12/2022

Le phishing, ou hameçonnage, définit plusieurs systèmes d’arnaque en ligne. L’objectif de cette technique s’avère avant tout de mettre la main sur des données sensibles. Le pirate qui pratique le phishing peut ensuite utiliser ces données dans divers buts. Ces données peuvent servir par exemple à faire chanter une personne, lui substituer ses moyens de paiement, nuire à son entreprise, etc. Dans certains cas, le phishing peut également avoir comme but la revente de données à des tiers. Qu’est-ce que le phishing ? Comment s’en protéger efficacement ? Voici quelques éléments de réponse.

Définition phishing : les techniques les plus courantes sur le Net

Phishing vient de l’anglais et son équivalent francophone est « hameçonnage ». Ce nom illustre assez bien les méthodes employées, puisqu’il s’agit de tendre un piège à une personne sr Internet. Ensuite, il ne reste plus qu’à attendre qu’elle « morde à l’hameçon ». C’est donc une fraude, qui se base bien souvent sur une usurpation d’identité. L’arnaqueur se fait passer pour une personne de confiance, une figure d’autorité (policier), ou encore un organisme officiel tel qu’une administration ou une banque. Plusieurs méthodes de phishing existent, qu’il s’agisse de cibler une personne bien précise ou d’établir un piège à grande échelle et « à l’aveugle ».

Définition du phishing dans le secteur de la sécurité informatique

Le phishing est une tentative d’arnaque de plus en plus présente sur le Web.

Qu’est-ce que le harponnage, l’une des méthodes de phishing actuelles ?

Le phishing par harponnage vise une personne ou un organisme en particulier (bâtiment public, entreprise, etc.). Il faut donc que le pirate lançant une tentative de fraude obtienne des informations sur sa cible. Pour lui, l’avantage est de pouvoir donner des gages de confiance. Par exemple, en évoquant une connaissance commune ou des éléments que seul un groupe restreint est censé connaître.

Dans le cas d’une entreprise ou d’une institution, il est urgent de faire remonter l’information. Il est probable que la tentative de phishing ne vise pas qu’une seule personne. En conséquence, chaque ordinateur et chaque téléphone constitue une porte d’entrée potentielle de plus pour un virus informatique servant au harponnage.

Les particularités d’une attaque par harponnage :

  • elle vise avant tout une entreprise ou une institution en particulier ;
  • la personne malveillante possède déjà des informations sur sa cible ;
  • elle peut se faire passer pour une personne dans le haut de la hiérarchie ou un partenaire ;
  • tous les employés et les dirigeants sont susceptibles d’être visés.
Tout savoir sur le masquage de l'adresse IP
À lire aussi Masquer son adresse IP, c'est possible ?
Lire la suite

Le clonage : lorsqu’un pirate imite un mail ou un SMS officiel

Les attaques par clonage sont beaucoup plus répandues et la plupart des internautes y sont confrontés au moins une fois, quand ce n’est pas régulier ou même quotidien. Cette méthode consiste à imiter des messages pouvant émaner d’entreprises ou de l’administration publique. En cliquant sur le lien reçu, la victime risque entre autres de voir sa boîte mail piratée.

Souvent, la personne visée par ce phishing est invitée à entrer ses coordonnées bancaires ou des identifiants. Le tout sous couvert d’une mise à jour, d’un risque de poursuite judiciaire, d’un besoin d’informations ou même pour recevoir un cadeau. Parfois les messages sont des copies conformes de ce que peut réellement envoyer l’émetteur original.

Les principales arnaques utilisant le clonage sur Internet

Sur Internet, certaines arnaques sont de plus en plus courantes.

Quelques exemples d’arnaques au clonage les plus courantes :

  • les arnaques liées à la banque (incitation à réguler/débloquer son compte ou surveiller son activité) ;
  • le compte formation ou CPF en France, les messages prétendent que l’argent présent sur le compte arrive à échéance ou doit être converti ;
  • du phishing sous couvert d’un renouvellement de carte d’identité, carte vitale, etc. ;
  • la promesse d’un lot, d’une somme gagnée par tirage au sort, d’un héritage à réclamer.

Les arnaques bancaires sont plus fréquentes

Généralement, les mails de phishing par clonage prétendent provenir d’une banque, c’est même le cas le plus fréquent. Dès lors que le mail demande à l’internaute d’entrer des coordonnées bancaires, aucun doute n’est possible sur la provenance frauduleuse du mail. Aucun établissement bancaire ne demande jamais une telle confirmation à ses clients.

Le phishing passe aussi par le téléphone : c’est le vishing

Le terme de phishing est de plus en plus connu. Pourtant lorsqu’il est mentionné, il est rare qu’il fasse allusion aux arnaques passant par un appel vocal. Elles rentrent tout de même dans la définition, puisque ces attaques reposent sur les mêmes méthodes, toujours avec le même but : dérober de précieuses informations. Il s’agit ici de vishing, ou phishing vocal.

Pour le vishing, l’arnaqueur qui lance l’attaque se fait souvent passer pour une personne d’autorité publique au téléphone. Il peut prétendre être un policier en pleine enquête, un officier de répression des fraudes ou encore un agent de recouvrement. Ainsi, il utilise cette position pour faire pression. De façon générale, soit cette personne demande le règlement d’une amende, soit elle veut obtenir des informations précises.

Le pirate incite aussi la victime à ne parler à personne de la discussion en cours, sous couvert d’une investigation en cours qui doit rester secrète par exemple. Cela peut aller jusqu’à demander la transmission d’informations sensibles, notamment sur l’entreprise dans laquelle travaille la personne appelée.

Les précautions à prendre en cas de soupçon de phishing vocal :

  1. surtout ne rien donner au pirate, que ce soit des informations ou des fichiers qu’il réclame ;
  2. donner l’alerte auprès de la police nationale ;
  3. prévenir son entreprise si elle est concernée ;
  4. ne pas répondre aux sollicitations de l’auteur du vishing ;
  5. ne pas tenir compte des délais qui visent à jouer sur la peur.
Moteurs de recherche respectant la vie privée
À lire aussi Respect de la vie privée : les meilleurs moteurs de recherche
Lire la suite

Comment éviter de s’exposer à une attaque par phishing sur Internet ?

Pour ne pas être confronté aux questions des parties ci-dessus, rien ne vaut la prudence. Le phishing peut être évité assez facilement dans certains cas. D’abord, avec des mesures simples, comme le fait d’ignorer les spams, ces mails qui se basent souvent sur le phishing. En complément, le VPN va apporter des sécurités supplémentaires pour les données personnelles et protéger les moyens de paiement sur Internet.

Les bonnes habitudes pour se protéger du phishing en ligne

Le phishing emploie plusieurs méthodes, mais s’appuie toujours sur la crédulité de la personne ciblée. Il suffit donc d’ignorer ces attaques pour les neutraliser dans bien des cas. Encore faut-il savoir distinguer les spams et autres arnaques des véritables demandes de la part des administrations.

Les banques, services d’abonnements et administration le précisent toujours : jamais ils ne demandent de leur communiquer directement des identifiants et mots de passe. C’est un premier principe qu’il faut appliquer avec la plus grande rigueur.

Certaines attaques par hameçonnage incitent à cliquer sur un lien. En passant la souris dessus sans cliquer, le navigateur affiche l’adresse vers laquelle mène le lien. Si l’URL ne ressemble pas au site officiel de l’expéditeur du message, il ne faut pas cliquer. Sur téléphone, il faut appuyer de façon prolongée sur le lien pour voir apparaître son adresse cible.

Les autres précautions à prendre contre le phishing :

  • dans le cas d’un mail, vérifier que l’adresse correspond à l’expéditeur ;

  • pour les appels et SMS, utiliser un annuaire inversé ou chercher le numéro sur un moteur de recherche ;

  • contacter l’organisme pour confirmer sa demande si elle paraît suspecte ;

  • utiliser des mots de passes différents, mêlant chiffres, lettres, symboles, majuscules et minuscules ;

  • changer régulièrement les différents mots de passe ;

  • activer la double authentification dès que possible.

Conseils de MonPetitVPN

La double authentification, ou authentification à double facteur, est une méthode d’identification à la sécurité renforcée. Dès qu’elle est proposée par un organisme, il est préférable de s’en servir. Elle consiste à faire appel à deux confirmations simultanées : un identifiant et un numéro de carte bancaire, ou un code temporaire envoyé par SMS par exemple. Une personne qui obtient un identifiant suite à une attaque de phishing reste bloquée puisqu’elle n’a pas accès à l’autre élément d’authentification.

Le VPN protège les données personnelles des internautes

Le VPN constitue l’étape supérieure dans la protection des données sensibles. Dès qu’un internaute se connecte à un réseau privé virtuel, les informations sont chiffrées. En conséquence, seul ce que communique l’utilisateur peut faire l’objet d’une récupération. De son côté, il garde la main sur ce que communique son ordinateur ou son téléphone.

Top 3 des VPN pour se protéger correctement des tentatives de phishing : 

  1. NordVPN.
  2. Cyberghost.
  3. Surfshark.

NordVPN : éviter le phishing et conserver des débits rapides

NordVPN

L’abonnement proposé par NordVPN est d’une efficacité redoutable contre les failles de sécurité telles que le phishing. Ce logiciel applique en effet systématiquement le cryptage AES 256. Ce protocole de chiffrement des données apporte le niveau le plus élevé possible. Un bon chiffrement allié à un protocole VPN efficace protège les données qui transitent par les appareils de l’utilisateur.

Phishing NordVPN
NordVPN
à partir de 3,09€
Voir cette offre

NordVPN propose plusieurs protocoles VPN parmi lesquels Nordlynx, qu’il édite lui-même. Le protocole permet d’encapsuler les données, les chiffrer puis enfin les transmettre. Les pirates ne possèdent pas la clé de chiffrement, très complexe, et ne peuvent donc pas connaître les contenus transmis par un appareil et un site internet, dans les deux sens.

Les atouts de NordVPN pour éviter le phishing :

  • chiffrement AES 256-bits ;

  • protection contre les virus, malwares et autres logiciels malveillants ;

  • l’adresse IP réelle devient invisible.

Dangers des malwares sur le net
À lire aussi Comment se protéger contre les malwares ?
Lire la suite

Cyberghost, le VPN le plus efficace contre le phishing ?

CyberGhost

Malheureusement, il existe aussi des arnaques avec les VPN, la vigilance reste de mise même dans ce domaine. Utiliser un intermédiaire renommé comme Cyberghost permet aussi de se mettre à l’abri d’attaques et de pièges liés aux réseaux privés. Cet outil reste surtout un VPN contre le phishing fonctionnel et très simple à mettre en œuvre. En quelques clics, les internautes peuvent masquer leur identité et mettre les données personnelles à l’abri.

Phishing Cyberghost
CyberGhost
à partir de 2,19€
Voir cette offre

Cyberghost applique lui aussi un cryptage AES 256 bits qui vient s’ajouter aux différents protocoles disponibles. Les tiers ne sont plus en mesure de retracer l’origine des activités pour les clients du réseau privé. À moins de communiquer directement un mot de passe ou un identifiant à un pirate, impossible de s’approprier un compte pour ce dernier.

Contre le phishing, Cyberghost est bien placé :

  • il est compatible avec les ordinateurs, smartphones et bien d’autres appareils ;

  • un seul abonnement donne droit à 7 appareils protégés en même temps ;

  • configuration du VPN en quelques clics ;

  • fonctionnalité Kill Switch pour empêcher les fuites de données.

Le KillSwitch pourquoi faire ?

Tant qu’un VPN est actif, il protège contre le phishing et tout autre risque de fuite de données. Pour autant, parfois, les connexions internet sont instables et interrompent la liaison entre l’internaute et son réseau privé. Le Kill Switch s’active immédiatement dans ce cas de figure. Son but est d’empêcher toute fuite de donnée à ce moment précis. Dans l’idéal cette fonctionnalité ne s’active jamais, mais sa présence reste une bonne assurance contre ce cas de figure.

Blocage du phishing et des traqueurs grâce à Surfshark

Surfshark

Les internautes choisissant Surfshark pour lutter contre le phishing sont tout aussi bien équipés qu’avec les deux VPN ci-dessus. À la différence que ce réseau privé virtuel apporte un avantage de taille : l’installation illimitée avec un seul compte. Les personnes ayant beaucoup d’appareils connectés peuvent totalement se protéger contre les arnaques de phishing. C’est donc, entre autres, un bon équipement pour les entreprises.

Phishing Surfshark
Surfshark
à partir de 2,29€
Voir cette offre

La force des réseaux privés est leur protection en toutes circonstances. Ainsi, Surfshark est un excellent VPN pour le WiFi public, qui expose encore plus au risque de phishing. De la même manière, il fonctionne tout autour du monde grâce à son réseau de serveurs VPN implanté dans 65 pays différents.

Surfshark propose lui aussi plusieurs points de sécurité contre les arnaques :

  • effacement total de l’identité de l’utilisateur

  • la fonction Whitelisting pour n’autoriser la connexion qu’à certains sites ;

  • un bloqueur de pubs et traceurs intégré ;

  • le service client est disponible 7j/7 et 24h/24.

Comment disparaître d'Internet ?
À lire aussi Comment disparaître d'Internet ?
Lire la suite

Quels sont les comportements à risque avec le phishing ?

Pour se protéger efficacement du phishing, rien ne vaut un minimum de prudence. Sans être excessivement méfiant, il est important de garder en tête que les arnaques sont monnaie courante sur le Web. Tout ce qui touche aux paiements en ligne mérite une attention particulière. Installer un navigateur web sécurisé est un premier pas, mais peut ne pas suffire.

Précautions pour limiter le phishing sur Internet

Les précautions à prendre pour se protéger correctement du phishing.

Le plus simple pour ne pas s’exposer aux attaques de pirates concerne les mots de passe. N’utiliser qu’une seule combinaison pour tous ses comptes utilisateurs les expose au même risque. Avec un code différent pour chaque site et chaque application, la moindre fuite de donnée reste très restreinte.

Il est tout aussi important de prendre un petit temps pour analyser les nombreux mails et messages qui peuvent affluer au quotidien. Certaines arnaques sont repérables d’un rapide coup d’œil (logo flou, nombreuses fautes, par exemple).

Quelques précautions à prendre contre le phishing :

  • utiliser des mots de passe différents et les modifier régulièrement ;
  • ne pas cliquer sur les liens reçus par mail sans certitude qu’ils sont sûrs ;
  • éviter d’enregistrer ses moyens de paiement.
Conseils de MonPetitVPN

Avec de nombreux mots de passe, il devient facile de se perdre et d’en oublier une grande partie. Noter tous ses mots de passe n’est pas une bonne idée pour autant. Sur un ordinateur ou un téléphone, un pirate peut accéder au bloc-notes et mettre la main sur tous les identifiants d’un seul coup. La meilleure solution reste les gestionnaires de mots de passe chiffrés. Certains fournisseurs de VPN en proposent, comme NordVPN avec la solution NordPass.

Que faire face à une attaque par phishing ?

Bien souvent, il est déjà trop tard lorsqu’une personne comprend qu’elle est victime d’une arnaque. Cela dit, il reste primordial d’agir vite, même si de l’argent est déjà perdu. Le premier réflexe est évidemment de faire opposition. La plupart des banques proposent de le faire par téléphone, ou bien via l’espace personnel sur application ou sur le site internet.

Quand l’attaque cible un compte utilisateur en particulier, il faut entrer en contact avec l’organisme qui gère le site internet. Un changement de mot de passe est aussi nécessaire, si c’est encore possible.

Afin d’éviter que le pirate ne sévisse plus longtemps, porter plainte est parfois nécessaire dès que des biens ou de l’argent sont dérobés. Il faut aussi faire remonter l’information aux services compétents, que la tentative de phishing ait réussie ou échouée. C’est la plateforme PHAROS qui recueille les signalements sur les contenus illicites en ligne.

Les bons réflexes face à une tentative de phishing :

  • faire opposition si cela concerne un moyen de paiement ;

  • contacter le ou les sites internet sur lesquels les comptes sont piratés ;

  • porter plainte si besoin ;

  • signaler à la plateforme PHAROS toute tentative.

Meilleures applications de messagerie instantanée pour la sécurité
À lire aussi Les applications de messagerie les plus sécurisées
Lire la suite
Signaler une erreur dans le texte
Google Actualités
Google Actualités

Cet article vous a-t-il été utile ?

Oui
Non

Les bons plans du moment

Les applications d'un VPN pour la sécurité

Protéger une connexion publique

Comment se protéger des dangers des réseaux Wi-Fi publics ?

Les VPN avec IP dédiée

Comparaison des différents VPN avec option IP dédiée