L’hameçonnage est une pratique malveillante sur la Toile qui consiste à récupérer des informations personnelles sur un Internaute. Le terme est la contraction des mots anglais fishing pour pêche et phreaking pour le piratage de lignes téléphoniques. La plupart du temps, les auteurs de phishing tentent de récupérer des coordonnées bancaires. Certains poussent le piratage d’informations beaucoup plus loin dans le but d’usurper l’identité d’une personne.
Rien ne vaut un exemple personnel, réel et concret pour comprendre :
Ma femme me transfère un e-mail de Netflix disant que le prélèvement n’a pas eu lieu et que l’abonnement va être coupé. En dessous, il y a le lien pour accéder à son compte Netflix. J’ai cliqué dessus pour arriver sur une page de Netflix où je saisis mon identifiant et mon mot de passe, ensuite j’obtiens une page pour saisir les références de ma carte bancaire.
J’entends d’ici le « ouah ! » dites-vous, mais à ma décharge : je suis vraiment abonné à Netflix, l’e-mail vient de ma femme donc, inconsciemment, j’ai été moins prudent et surtout ma femme avais changé de carte bancaire le mois d’avant !
Juste après ma saisie, je comprends que le site ne réagit pas comme il devrait. Je passe en mode « Parano » : je jette enfin un œil à la barre d’adresse qui ne commence pas par www.netflix.com/fr. Je me suis fait avoir ! Et je vous garantis que les pages que j’ai vues étaient des « copier-coller » parfaits du vrai site Netflix.
Pour le plaisir, je clique sur les autres liens qui sont inactifs. Je reviens à la saisie de l’identifiant et du mot de passe où je rentre n’importe quoi, je valide et j’accède quand même à la saisie des références de la carte bancaire.
J’ai été de suite sur mon compte bancaire où j’ai fait opposition à ma carte bancaire.
Dans la même mesure, ma femme a failli se faire avoir avec un SMS demandant à payer des frais de port alors qu’elle attendait un colis !
Les pirates envoient des millions de faux SMS ou faux e-mails en espérant que ça marche pour quelques-uns. Donc :
Toujours avoir un œil sur la barre d’adresse
Dès que vous tapez l’identifiant et le mot de passe pour accéder à un site d’achat, vérifiez la présence du cadenas, le S de httpS et la cohérence de son adresse dans la barre d’adresse.
Ne faire confiance qu’à ses liens (ou raccourcis ou favoris ou signets)
Toujours utiliser ses liens pour accéder à ses sites internet : ne jamais cliquer sur les liens d’un e-mail ou un SMS. Si c’est un bouton, restez appuyé dessus pour voir le lien avant de cliquer.
C’est très important !