ENTREPRISES & STRATÉGIES — Technologies

Cyberattaques

Phishing, comment éviter mails et sites frauduleux?



Le phishing, ou hameçonnage en français, consiste à s’approprier des données personnelles, coordonnées bancaires ou toute information susceptible de faciliter l’accès au réseau de l’entreprise.  (Photo: Fotolia / calypso77)

Le phishing, ou hameçonnage en français, consiste à s’approprier des données personnelles, coordonnées bancaires ou toute information susceptible de faciliter l’accès au réseau de l’entreprise. (Photo: Fotolia / calypso77)

Le phishing, ou l’art de leurrer son prochain au moyen de faux mails et de sites web appâts, marie les plus anciennes techniques d’escroquerie et les nouvelles technologies. Ces cyberattaques reposent sur la crédulité des utilisateurs et les mauvaises pratiques des salariés pour infiltrer les systèmes d’informations des entreprises.

Le phishing, ou hameçonnage en français, consiste à s’approprier des données personnelles, coordonnées bancaires ou toute information susceptible de faciliter l’accès au réseau de l’entreprise. Pour y parvenir, les cybercriminels diffusent très largement un mail intégrant un lien vers un formulaire de saisie, destiné à aspirer les données des usagers un peu trop crédules, ou un logiciel espion caché dans une pièce jointe. Il suffit que le destinataire clique sur le lien pour que le piège se referme. Dans le cadre professionnel, il aura accès au réseau local de l’entreprise et pourra tranquillement y dérober des données sensibles ou bloquer l’activité. 

Si le phishing est en augmentation exponentielle, c’est que cette technique présente un rapport coût/résultat à nul autre pareil. Selon Adam Nash, directeur de l’entreprise de sécurité Webroot, «environ 1,3 million de faux sites voient le jour chaque mois et représentent le principal vecteur d’attaque en entreprise comme à la maison».

Adopter les bons gestes pour une meilleure sécurité

Pourtant, en adoptant les bons gestes, cette menace pourrait être considérablement réduite. Les DSI doivent évangéliser les salariés sur les risques posés par les mails et leur indiquer les réflexes à acquérir.

  • Ne jamais ouvrir une pièce jointe venant d’une source inconnue ou douteuse sans l’analyser au préalable au moyen d’un antivirus à jour. 
  • Éviter de cliquer sur les liens contenus dans un message, mais les copier-coller dans la barre d’adresse d’un navigateur internet, afin d’en vérifier l’URL.
  • Traquer les fautes d’orthographe, les approximations et les adresses incohérentes qui trahissent les faux mails et les «fake sites». 
  • Ne pas se connecter à des sites qui ne sont pas sécurisés: la mention «HTTPS» doit figurer devant l’URL.
  • En cas de doute sur l’intégrité d’un site, rechercher les mentions légales obligatoires, comme la raison sociale, le numéro de téléphone ou l’adresse physique de la société éditrice. Si ces données n’apparaissent pas, se déconnecter.
  • Utiliser les outils de sécurité des navigateurs. Chrome et Firefox dispensent des informations sur le niveau de sécurité des sites web visités. Cliquer sur le cadenas situé devant la barre d’adresse pour vérifier si la connexion est sûre.
  • Installer l’extension WOT (Web of Trust) sur Chrome ou Firefox. Cette application signale les sites dangereux à partir d’une base de données enrichie par l’expérience de millions d’utilisateurs à travers le monde.  

Outre les mails, Adam Nash conseille de porter attention au «smishing», l’hameçonnage par SMS ou MMS. Pour ce spécialiste, «il convient de se méfier de tout texto qui surgit à l’improviste et qui vous demande de cliquer, de faire un don ou de vérifier vos informations personnelles».