Sur ce site dédié aux conseils sur tous les meilleurs jeux, ce billet a toute sa place, car pour jouer, bien souvent il vous faut aussi consulter vos mails. Alors je prends à nouveau mon clavier pour vous éclairer et vous donner quelques conseils en la matière.
Qu’est que le PHISHING (ou FISHING) ?
C’est la tentative de récupération de vos informations de connexion ou de vos informations bancaires, ou de toute autre information, généralement par mail, mais aussi par SMS ou même par téléphone, en vous proposant de revalider votre compte et/ou vos informations personnelles ou bancaires .
En clair, c’est une tentative extorsion d’information vous concernant, en utilisant vos peurs (peur de voir son compte supprimé, fermé,…).
Voici un exemple de mail de Phishing que je viens de recevoir : Le sujet du mail est souvent pressant. Ici, le sujet indique clairement que “Votre compte Appel-ID est d’expirer”, Même si j’avais un compte i-Tunes, cela ne rendrait pas pour autant ce mail fiable.
Remarquez que l’expéditeur semble crédible (i-Tunes <support@apple.fr>). Retenez bien que l’expéditeur n’est pas une preuve de validité du mail ; l’expéditeur peut très bien être cohérent voire même exister, sans pour autant rendre valide le mail, car certains serveurs de messagerie acceptent l’envoi de mail d’autres domaines et ne font pas de vérification d’existence de l’expéditeur. Dans notre exemple, l’expéditeur du mail usurpe l’identité du support de la société Apple.
Parfois, le sujet et l’émetteur sont suffisamment cohérents pour vous pousser à en savoir plus sur son contenu.

Remarquez dans notre exemple, les contenus distants sont bloqués par le client de messagerie. Je vous conseille de ne pas afficher les contenus distants à ce stade. Si votre navigateur ou votre cient de messagerie n’est pas paramétré dans ce sens, pensez à activer l’option permettant par défaut de ne pas télécharger les contenus distants.
L’intérieur du mail ressemble de plus en plus souvent assez à ceux que pourrait vous envoyer le vrai expéditeur (entête et logo de la banque, du fournisseur ou du site d’une façon générale…).
Dans le corps du mail, sous un quelconque prétexte (problème technique, problème juridique ou transaction bloquée) l’expéditeur propose de vous débloquer en saisissant vos identifiants de connexion ou vos informations bancaires,… Dans notre exemple le corps est très parlant aussi : Si je ne revalide pas en suivant le lien, mon compte sera supprimé.
A ce stade, ce type de mail doit déjà vous alerter, car aucun site n’a besoin de vous pour effectuer une opération de ce genre.
En effet, l’administrateur du site en question connaît les règles basiques de sécurité concernant le PHISHING et ne vous proposera pas de les enfreindre ! Du reste, il n’a pas besoin de vous pour débloquer un problème technique sur son site. Si votre banque souhaite obtenir des informations de votre part, elle vous enverra un courrier papier.
Conclusion, à ce stade, vous pouvez déjà considérer qu’il s’agit à 99 % d’un mail frauduleux et sans doute de PHISHING.
Le mail frauduleux propose généralement un lien vers une page qui semble crédible et qui a pour but de collecter les informations souhaitées (compte mail ou bancaire,…), afin de pouvoir se connecter ensuite à votre place pour effectuer des opérations en votre nom (virement bancaire, envoi de mail de spam,…).
Dans notre exemple, un survol du lien “Vérifier” permet de voir l’adresse (URL) de la page frauduleuse :
Ici, le domaine n’est pas apple.com ou apple.fr et doit vous inciter à la prudence.
Comment reconnaître un mail de FISHING d’un mail officiel ?
C’est l’accumulation de preuves qui doit vous alerter. Si vous avez un doute, contactez le site par téléphone en ayant pris soin de rechercher le numéro par une source extérieur au mail en question (pages jaunes, moteurs de recherche) ou mieux, tapez l’adresse de site en reprenant des courriers fiables que vous avez reçus.
Que dois-je faire en cas de réception d’un mail de PHISHING (ou FISHING) ?
Tant que vous ne faites pas ce qui est demandé, rien ne peut vous arriver de grave. Il est toujours possible qu’un virus soit incorporé dans le mail. Si vous souhaitez vous rassurer, ou si vous n’avez pas d’antivirus ou que votre antivirus n’est pas à jour, je vous conseille de consultez l’article suivant :
Signaler la tentative sur les sites suivants qui serviront à informer les autres internautes :
- https://www.signal-spam.fr/ ; une association à but non lucratif vouée à la lutte contre le spam ;
- site pour déclarer un site à bloquer : http://www.phishing-initiative.com/ (à vérifier)
- Parlez-en autour de vous, mais n’arrosez pas tout votre carnet de contacts, vous ne feriez que grossir la masse des mails inutiles (95% du total) qui saturent l’internet et sont filtrés par les fournisseurs d’accès. (Merci pour toute la communauté des internautes !)
- Contactez la société dont on a usurpé l’identité sans utiliser le lien, mais en passant par un moteur de recherche ou l’adresse directe si vous la connaissez.
Que faire si j’ai tapé mon mot de passe ?
Pas de panique ! Vous devez contacter votre banque ou le vrai site pour signaler ce fait. Si c’est suffisamment grave, écrivez même par courrier papier en recommandé avec accusé de réception (banque, assurance, site commercial, site gouvernemental ou domaine public) pour laisser une trace. Gardez une copie de ce courrier et assurez-vous que le site-la société l’a bien pris en compte (gardez le récépissé de dépôt et celui d’accusé réception).
S’il s’agit juste d’un problème de mot de passe, vous pouvez essayer de réinitialiser le mot de passe du compte sans tarder. S’il s’agit de votre compte bancaire ou votre carte bleue, vous devez contacter votre banque.
Que faire à l’avenir ?
Suivez mes conseils sur la navigation internet.
En cas d’infection, suivez mes conseils sur a désinfection.
Conseils pour en savoir plus sur le sujet :
Incontournables :
- le site de la CNIL (Commission Nationale Informatique et Liberté) http://www.cnil.fr/documentation/fiches-pratiques/fiche/article/spam-phishing-arnaques-signaler-pour-agir/
- le site du ministère de l’intérieur http://www.interieur.gouv.fr/A-votre-service/Ma-securite/Conseils-pratiques/Sur-internet/Les-escroqueries-sur-Internet
- le site du minstère de l’économie http://www.economie.gouv.fr/dgccrf/phishing-hameconnage-ou-filoutage
- site pour déclarer un site à bloquer : http://www.phishing-initiative.com/ (à vérifier)