( Tous droits réservés )
Faut-il communiquer ses données confidentielles à des tiers ?
L’escroquerie par phishing / hameçonnage.
Le hameçonnage, plus connu sous l’appellation « phishing » ou encore « filoutage », est une technique qui consiste à se faire passer, sur Internet, pour une banque ou une structure de confiance bien connue de la victime, dans le but de récupérer ses données confidentielles et détourner de l’argent. Le Doc du mois va essayer de décrypter le mécanisme de cette escroquerie.
Qu’est-ce que le phishing ?
Le phishing consiste à récupérer, sur Internet, les données confidentielles d’internautes par usurpation d’identité ( l’escroc se fait passer pour une personne qu’il n’est pas en réalité ).
Généralement l’escroquerie consiste à envoyer un mail à des usagers en se faisant passer pour une structure connue ( une banque, la CAF… ) afin, d’abord, de gagner leur confiance pour, ensuite, les inviter à communiquer leurs données confidentielles (leur identifiant et mot de passe et/ou coordonnées bancaires ) dans le but de leur voler de l’argent ( = détournement de fonds ).
Par exemple : un escroc pourra se faire passer pour une banque et envoyer un mail à un de ses clients pour récupérer ses coordonnées bancaires. Dans le mail, l’escroc précisera que la banque a impérativement besoin de ses coordonnées pour réaliser une opération. Si le client tombe dans le piège, il donnera alors ses coordonnées permettant ainsi à l’escroc de voler de l’argent déposé sur le compte bancaire de la victime.
Pour gagner la confiance des personnes visées par le phishing, les mails envoyés sont souvent alarmants ( par exemple : « URGENT ! La banque a besoin de vos coordonnées bancaires pour procéder aux opérations sur votre compte » ) ou prétendent qu’un remboursement en faveur de l’internaute est en attente de la communication de ses coordonnées bancaires ( par exemple : « La CAF a reçu un trop perçu de votre part, veuillez nous communiquer vos coordonnées bancaires afin de procéder au remboursement de ce dernier » ).
En plus d’être alarmants, les mails envoyés par l’escroc prévoient souvent un formulaire où les données personnelles de la victime pourront être enregistrées et lui être directement communiquées. Comme à la pêche à la ligne, le phisher ( l’escroc ) n’a ensuite plus qu’à les récupérer et à s’en servir pour détourner de l’argent. On voit donc bien la proximité entre les termes « phishing » et « fishing » ( pêcher en Anglais ).
Comment se protéger du phishing ?
- En ce qui concerne les impôts, les banques ou encore les organismes sociaux tels que la CAF ou Pôle emploi : ils ne demandent jamais par courrier électronique de leur communiquer des informations confidentielles. Un mail provenant de ces structures qui réclame ce type d’information est donc probablement une tentative de phishing. Il ne faut donc pas envoyer ces informations.En cas de problème ou de doute, il est toujours plus utile de les contacter directement pour éviter de faire une erreur.
- De façon générale, lorsqu’un usager souhaite communiquer des informations confidentielles par Internet, il doit bien vérifier qu’il le fait sur un site internet sécurisé. Pour savoir si un site est sécurisé, un petit cadenas apparaît en principe au niveau du navigateur et l’adresse du site commence par « https » au lieu de « http ».Par exemple : Si l’adresse est la suivante : « https://initiadroit.com », cela signifie que le site internet est sécurisé et que les informations peuvent être communiquées en toute sécurité, en principe.Si l’adresse est en revanche : « https://initiadroit.com », alors le site internet n’est pas sécurisé et il peut être dangereux de communiquer des informations personnelles car des « pirates » ( hackers ) peuvent les subtiliser.
- Globalement, il faut être méfiant à l’égard des liens internet contenus dans les mails. En effet, ils peuvent parfois diriger l’usager vers des sites frauduleux. En cas de doute, il vaut mieux rédiger soi-même l’adresse internet directement dans le navigateur.Certains éléments peuvent laisser penser qu’un mail est malveillant. Par exemple, si le mail reçu est mal rédigé, comporte des fautes et est un peu « pressant » ( il insiste pour que l’on clique sur le lien internet transmis ), il faut être alors vigilant et ne pas suivre ses instructions.Lorsque l’on reçoit ce type de mail, il faut donc éviter d’y répondre et de les transférer à d’autres personnes. Il faut faire preuve de bon sens et ne pas croire que tout ce qui vient du Web est forcément vrai.
- La plupart des navigateurs internet ( Internet explorer, Mozilla… ) offrent une fonctionnalité qui permet d’éviter le hameçonnage. Ils fonctionnent de différentes manières ( listes noire / blanche, mot-clé… ) et permettent d’avertir l’usager en cas de soupçon de tentative de phishing. Il faut tout de même rester très vigilant car cette fonctionnalité n’est pas infaillible et peut ne pas avertir l’usager en cas de tentative de phishing.
- En plus de cette fonctionnalité offerte par les navigateurs internet, il existe des logiciels dédiés au filtrage des mails qui tentent de « hameçonner » les utilisateurs. Cependant, ils ne permettent pas toujours, eux aussi, de filtrer tous les mails malveillants.
- Pour que l’accès aux sites frauduleux puisse être bloqué par les navigateurs internet, il est possible de signaler les tentatives de phishing directement à l’adresse suivante : www.phishing-initiative.com.
- Si un usager n’a été suffisamment vigilant et estime avoir été victime d’une escroquerie par hameçonnage, il peut la signaler directement sur la plateforme PHAROS à l’adresse suivante : www.internet-signalement.gouv.fr. Le signalement est ensuite traité par un service de police spécialisé sur ces questions, appelé l’Office central de lutte contre la criminalité et de la communication.