Hameçonnage : Comment l’éviter ? 0

Écrit et publié par : Éric St-Gelais.
Sources : Éric St -Gelais Web Design & Intégration Multimédia,https://ssd.eff.org
Image à la Une : courtoisie de https://www.rxtechnologie.ca

Sur la voie de l’amélioration de votre sécurité numérique, vous pourriez rencontrer des personnes malveillantes qui tentent de saper vos objectifs de sécurité. Nous appelons ces personnes malveillantes des adversaires ou des assaillants. Quand un assaillant envoie un courriel ou un lien qui semble anodin, mais qui est en fait malveillant, on appelle cela de l’hameçonnage.


Les formes de hameçonnage

Les attaques par hameçonnage se présentent souvent sous la forme de message dont le but ultime est de vous convaincre de :

  1. Cliquer sur un lien précis 
  2. Ouvrir un document qui vous semble important 
  3. Installer un logiciel espion sur votre système 
  4. Demande de saisir votre nom d’usager et votre mot de passe dans un site. Un site minutieusement copié qui est spécialement créé afin de ressembler à l’originale afin de duper sa victime.

Ces formes d’attaques par hameçonnage vous incitent par la tricherie, la ruse, la supercherie à révéler vos mots de passe ou à installer des programmes malveillants dans votre système. Les pirates peuvent utiliser des  programmes malveillants afin de contrôler votre système à distance, subtiliser vos renseignements ou tout simplement vous espionner.

Cet article vous mènera à  mieux repérer les attaques par hameçonnage quand vous en serez la cible et y serez exposé. Il vous aidera aussi à mieux définir quelques astuces pratiques pour vous en préserver.


L’hameçonnage de vos mots de passe (aussi nommé moissonnage d’identifiants)

Le pirate peut vous amener par la ruse et la tromperie à donner vos mots de passe en vous envoyant un lien trompeur. Les adresses Internet d’un message peuvent sembler avoir une destination facilement reconnaissable par le pigeon. Mais cependant envoyer vers une tout autre destination. Sur votre ordinateur, vous pouvez normalement voir l’URL de destination en posant votre curseur sur le lien. Mais les liens peuvent être déguisés avec des caractères qui se ressemblent ou en utilisant des domaines dans lesquels une seule lettre diffère du vrai, liens qui tentent de vous diriger vers une page en particulier et qui semble être la page d’un service que vous utilisez régulièrement, sans vous méfiez de rien, comme Gmail ou Dropbox.

Ces fausses pages de connexion ressemblent souvent tellement aux vraies qu’il est facile de se faire piéger et de taper vos informations de connexion. Vous l’avez fait ??  Alors, vous envoyez vos authentifiants de connexion aux pirates.

Mainetenant,  avant d’utiliser un mot de passe, vérifiez la barre d’adresse du navigateur Web. Elle affichera l’adresse réelle et le vrai nom de cette page Web. S’upposons un instant qu’elle ne correspond pas du tout au site Internet que vous pensiez vous connecter, arrêtez immédiatement ! Souvenez-vous ceci : que voir le logo d’entreprise sur une page Web ne confirme pas qu’il s’agit de la dite page. N’importe quel ti-coune peut copier un logo et modifier une page pour tenter de vous piéger.


Voici des Exemples :

Certains hameçonneurs utilisent des sites qui ressemblent à des adresses Web populaires pour vous berner :

  1. https://wwwpaypal.com/ est différent de https://www.paypal.com/.
  2. De la même façon, https://www.paypaI.com/ (avec un « i » majuscule au lieu d’un « L » minuscule) est différent de https://www.paypal.com/.
  3. Plusieurs pirates utilisent des raccourcisseurs d’URL pour rendre courte, les longues URL. Plus faciles à lire ou à taper au clavier,  elles sont souvent utilisées afin de cacher des destinations malveillantes. Si vous recevez une URL raccourcie comme un lien t.co de Twitter, tentez de la coller dans https://www.checkshorturl.com/ (site en anglais) pour voir où elle mène vraiment.

Enfin bref, rappelez-vous qu’il est simple de falsifier des courriels pour qu’ils affichent une fausse adresse de retour. Ceci veut simplement dire qu’il ne suffit pas de vérifier l’adresse courriel apparente de votre contact pour réellement valider qu’un courriel a bien été propulsé par la personne (souvent l’un de vos contacts) qui semble l’avoir fait, .


Le harponnage

Plusieurs attaques par hameçonnage touchent des centaines de millions d’usagers. Un bon pirate peut envoyer des courriels à des centaines de millions de personnes en prétendant avoir une vidéo impressionnante, compromettante etc. ou bien un document important ou un litige de facturation. Des félicitations pour un achat que vous n’avez certainement pas fait…  » Amenez-en des scénario !!! Ils s’en inventent à tous le heures…

Prudence est de mise

Mais parfois, les attaques par hameçonnage sont ciblées d’après quelque chose que le pirate connaît déjà à votre sujet. C’est  « le harponnage ». D’entrée de jeu , imaginez que vous recevez un courriel de votre cousin Jean-Paul qui affiche qu’il contient des photos des enfants. Puisque Jean-Paul a réellement des enfants et que le courriel semble provenir de son adresse, vous cliquez. Une fois que vous aurez ouvert ce courriel, un document en PDF y est joint. Dès que vous ouvrez ce document PDF, il peut même afficher des photos des enfants de Jean-Paul, mais il installe aussi en silence une cochonerie malveillante dans votre système qui est utilisé afin de vous espionner. L’oncle Jean-Paul n’a pas envoyé ce courriel, mais un pirate qui sait que vous avez un oncle Jean-Paul l’a fait. Le document PDF sur lequel vous avez cliqué a lancé votre visualiseur de fichiers PDF, mais a profité d’un bogue dans ce programme pour exécuter son propre code.

En plus de vous ouvrir un fichier PDF, il a en même temps, téléchargé son venim tel un serpent . Le venim étant un programme malveillant. Ces mêmes cochonneries malveillantes récupérent ha bituellement tous vos contacts et enregistrente ce que la caméra de votre appareil voit et ce que votre microphone entend.

Le meilleur moyen de vous protéger contre les attaques par hameçonnage et de ne jamais cliquer sur un lien ni d’ouvrir un fichier joint. Mais ce conseil est irréaliste pour la plupart des gens. Vous trouverez ci-dessous quelques façons pratiques de vous défendre contre l’hameçonnage.


Comment aider à se défendre contre

une attaque par hameçonnage

Garder vos logiciels à jour

Les tentatives de hameçonnage qui utilisent des programmes malveillants s’appuient sur des bogues de logiciel afin de s’introduire secrètement dans votre système. Normalement, une fois qu’un bogue est trouvé, l’éditeur du logiciel fera une mise à jour afin de le corriger.

Ceci veut dire que les logiciels plus obsolètes ont plus de bogues connus publiquement. Ils pourraient être utilisés pour aider à installer des programmes malveillants. En gardant vos logiciels à jour, vous réduisez les risques d’exposition aux programmes malveillants


Utiliser un gestionnaire de mots de passe  avec saisie automatique

Les gestionnaires de mots de passe qui saisissent les mots de passe automatiquement savent à quels sites Web ces mêmes mots de passe appartiennent.  Puisqu’il est facile de tromper un humain avec de simples fausses pages de connexion, le gestionnaire, lui, ne peut pas être dupé ainsi. Si vous utilisez un gestionnaire de mots de passe (dont le gestionnaire de mots de passe intégré à votre navigateur) et qu’il refuse d’en saisir un automatiquement, vous devriez valider sur quel site Internet vous vous trouvez. Astuce infaillible! Utilisez des mots de passe générés au hasard ou proposés par le site afin de vous amener à utiliser la saisie automatique et devenir moins apte à partager votre secret sur une page de connexion bidon.


Valider les courriels auprès de vos expéditeurs

Une manière de déterminer si un courriel est une attaque par hameçonnage est d’effectuer une vérification par un autre moyen de communication auprès de la personne qui est censée vous l’avoir envoyé. Si le courriel a prétendument été envoyé par votre banque, ne cliquez pas sur les liens dans le courriel. Appelez plutôt votre banque ou ouvrez votre navigateur et saisissez l’URL du site Web de votre banque. De la même façon, si votre oncle Paul vous envoie un fichier joint à un courriel, avant de l’ouvrir, téléphonez-lui et demandez-lui s’il vous a bien envoyé des photos de ses enfants.


Astuces : Ouvrez vos documents douteux sur le Disque Google

Certains s’attendent à recevoir des fichiers joints de personnes inconnues. Meilleur exemple, les journalistes, ils ont l’habitude de recevoir souvent plusieurs documents qui proviennent de sources inconnues. Cependant il estdifficile de vérifier si un document Word, une feuille de calcul Excel ou un fichier PDF n’est pas malveillant.

Dans tout ces cas, ne double-cliquez pas sur le fichier téléchargé. Envoyez-le plutôt vers votre Disque Google ou un autre visualiseur de documents en ligne. Ceci formatera le document en image ou page HTM. Il l’empêchera à peu près certainement d’installer un programme malveillant sur votre appareil. C’est simple !! Vous devez simplement êtes prêt à apprendre comment utiliser ces nouveaux programmes et à passer du temps à mettre en place un nouvel environnement pour lire les courriels ou les documents étrangers.


Méfiez-vous d’instructions transmises par courriel

Plusieurs courriels d’hameçonnage semblent provenir d’un service de soutien informatique ou d’une entreprise de technologie, et vous demandent d’envoyer vos mots de passe ou d’autoriser un réparateur en informatique à accéder à votre ordinateur à distance, ou encore de désactiver certaines fonctions de sécurité de votre appareil. Le courriel donnera peut-être une explication des raisons pour lesquelles cela est nécessaire en prétendant, par exemple, que votre boîte de réception de courriel est pleine ou que votre ordinateur a été piraté.

Si vous avez le moindre doute sur un courriel ou un lien qu’un contact vous a envoyé, ne l’ouvrez pas ou ne cliquez pas dessus tant que vous n’aurez pas validé la source en suivant les conseils ci-dessus afin de s’assurer qu’il n’est pas malveillant.


N’hésitez donc pas à compléter notre article avec vos propres conseils en commentaires 🙂

Vous avez des questions ou des commentaires sur ce sujet ?

Laissez-nous vos commentaires ci-dessous.