Sujets

Une base solide : Sécurisation des comptes et des appareils

Hameçonnage : Une menace courante pour les appareils et les comptes

Dernière mise à jour : Juillet 2022

Le hameçonnage est l'attaque la plus courante et la plus efficace contre les organisations du monde entier. Cette technique est utilisée par les armées des États-nations les plus sophistiqués ainsi que par les petits fraudeurs. L'hameçonnage, en termes simples, consiste pour un adversaire à tenter de vous inciter à partager des informations qui pourraient être utilisées contre vous ou votre organisation. L'hameçonnage peut se faire par courriel, par SMS (souvent appelé hameçonnage par SMS ou « smishing »), par des applications de messagerie comme WhatsApp, par des messages ou des messages sur les médias sociaux ou par des appels téléphoniques (souvent appelé hameçonnage vocal ou « vishing »). Les messages d'hameçonnage peuvent vous inciter à saisir des informations sensibles (comme des mots de passe) sur un faux site web afin d'accéder à un compte, vous demander de partager des informations privées (comme un numéro de carte de crédit) par la voix ou le texte, ou vous convaincre de télécharger un malware (logiciel malveillant) qui peut infecter votre appareil. Pour donner un exemple non technique, chaque jour, des millions de personnes reçoivent de faux appels téléphoniques automatisés leur disant que leur compte bancaire a été compromis ou que leur identité a été volée. Tous ces appels sont conçus pour inciter les personnes non averties à partager des informations sensibles.

 Hameçonnage et la société civile

Image of phishing email to Tibetan civil society

Des attaques de hameçonnage sophistiquées et personnalisées visent chaque jour des groupes de la société civile dans le monde entier.

Un exemple d'une telle attaque est mis en évidence dans le rapport du Citizen Lab de 2018, Spying on a Budget: Inside a Phishing Operation with Targets in the Tibetan Community. Cette attaque par hameçonnage très peu coûteuse et simple (mais incroyablement efficace) visait les défenseurs des droits de l'homme et autres militants tibétains. L'attaque a commencé par un courriel d'hameçonnage (affiché à gauche) provenant d'une adresse Gmail standard et contenant uniquement un lien vers un fichier image. Une fois cliqué, le lien conduisait la cible vers une fausse page de connexion aux courriel de Google (au milieu), utilisée pour voler les informations d'identification du compte. Si les victimes fournissent des informations d'identification à la fausse page, leurs comptes seront facilement compromis. Après avoir fourni leur nom d'utilisateur et leur mot de passe sur le faux site, les victimes étaient redirigées vers une image (affiché à droite) montrant des délégués lors d'une réunion tibétaine. L'image a été incluse comme un leurre pour faire croire aux cibles du phishing qu'elles s'étaient réellement connectées à leur vrai compte Google et réduire toute suspicion éventuelle sur la véritable nature malveillante de l'e-mail.

Comment identifier le hameçonnage ?

Le hameçonnage peut sembler inquiétant et impossible à détecter, mais il existe des mesures simples que chacun dans votre organisation peut prendre pour se protéger contre la majorité des attaques. Les conseils de défense contre le hameçonnage suivants sont modifiés et étendus à partir du guide approfondi sur le hameçonnage élaboré par la Freedom of the Press Foundation, et doivent être partagés avec votre organisation (et d'autres contacts) et intégrés dans votre programme de sécurité :

Parfois, le champ « de » vous ment

Sachez que le champ « de » dans vos e-mails peut être falsifié ou contrefait pour vous tromper. Il est fréquent que les hameçonneurs créent une adresse courriel qui ressemble beaucoup à une adresse légitime que vous connaissez bien, avec quelques petites erreurs d'orthographe pour vous tromper. Par exemple, vous pouvez recevoir un courriel d'une personne dont l'adresse est « [email protected] » et non « [email protected] ». Remarquez les O supplémentaires dans Google. Vous pouvez également connaître quelqu'un qui a une adresse de courriel « [email protected] », mais qui reçoit un e-mail de hameçonnage d'un usurpateur qui a créé « [email protected] », la seule différence étant un changement subtil de lettres à la fin. Vérifiez toujours que vous connaissez l'adresse d'envoi d'un courriel avant de poursuivre. Un concept similaire s'applique à l'hameçonnage par le biais de textes, d'appels ou d'applications de messagerie. Si vous recevez un message d'un numéro inconnu, réfléchissez-y à deux fois avant de répondre ou d'interagir avec le message.

Méfiez-vous des pièces jointes

Les pièces jointes peuvent contenir des logiciels malveillants et des virus, et accompagnent souvent les e-mails de hameçonnage. La meilleure façon d'éviter les logiciels malveillants contenus dans les pièces jointes est de ne jamais les télécharger. En règle générale, n'ouvrez pas immédiatement les pièces jointes, surtout si elles proviennent de personnes que vous ne connaissez pas. Si possible, demandez à la personne qui vous a envoyé le document de copier-coller le texte dans un courriel ou de partager le document via un service comme Google Drive ou Microsoft OneDrive, qui disposent d'une analyse antivirus intégrée pour la plupart des documents téléchargés sur leurs plateformes. Instaurez une culture organisationnelle où l’ouverture de pièces jointes est découragée.

Si vous devez absolument ouvrir la pièce jointe, elle ne doit être ouverte que dans un environnement sûr (voir la section « Avancées » ci-dessous) où les logiciels malveillants potentiels ne peuvent pas être déployés sur votre appareil.

Si vous utilisez Gmail et que vous recevez une pièce jointe dans un courriel, au lieu de la télécharger et de l'ouvrir sur votre ordinateur, cliquez simplement sur le fichier joint et lisez-le via la fonction « Aperçu » de votre navigateur. Cette étape vous permet de visualiser le texte et le contenu d'un fichier sans le télécharger ni lui permettre de charger d'éventuels logiciels malveillants sur votre ordinateur. Cela fonctionne bien pour les documents Word, les PDF et même les présentations de diapositives. Si vous devez modifier le document, envisagez d'ouvrir le fichier dans un programme en nuage comme Google Drive et de le convertir en Google Doc ou Google Slides.

Si vous utilisez Outlook, vous pouvez également prévisualiser les pièces jointes sans les télécharger à partir du client web d'Outlook. Si vous devez modifier la pièce jointe, envisagez de l'ouvrir avec OneDrive, si vous y avez accès. Si vous utilisez Yahoo Mail, le même concept s'applique. Ne téléchargez pas les pièces jointes, mais visualisez-les plutôt à partir du navigateur web. Quels que soient les outils dont vous disposez, la meilleure approche consiste simplement à ne jamais télécharger de pièces jointes que vous ne connaissez pas ou auxquelles vous ne faites pas confiance, et quelle que soit l'importance d'une pièce jointe, ne jamais ouvrir quelque chose dont le type de fichier n'est pas reconnu ou que vous n'avez pas l'intention d'utiliser. 

Défense contre l'hameçonnage au sein de votre organisation

Si votre organisation utilise Microsoft 365 pour les courriels et d'autres applications, votre administrateur de domaine doit définir la politique de sécurité en matière de pièces jointes afin de se protéger contre les pièces jointes dangereuses. Si vous utilisez Google Workspace (anciennement connue sous le nom de GSuite), il existe une option tout aussi efficace que votre administrateur doit configurer, appelée Google Security Sandbox. Les utilisateurs particuliers plus avancés peuvent envisager de configurer des programmes sandbox sophistiqués, tels que Dangerzone ou, pour ceux qui disposent de la version Pro ou Enterprise de Windows 10, Windows Sandbox.

Une autre option avancée à envisager de mettre en place au sein de votre organisation est un service de filtrage sécurisé du système de nom de domaine (DNS). Les organisations peuvent utiliser cette technologie pour empêcher le personnel d'accéder accidentellement à des contenus malveillants ou d'interagir avec eux, ce qui constitue un niveau de protection supplémentaire contre l'hameçonnage. De nouveaux services comme Cloudflare Gateway offrent de telles capacités aux organisations sans être trop coûteux (Gateway, par exemple, est gratuit pour un maximum de 50 utilisateurs). D'autres outils gratuits, notamment Quad9 de Global Cyber Alliance Toolkit, vous aideront à bloquer l'accès à des sites connus contenant des virus ou d'autres logiciels malveillants et peuvent être mis en place en moins de cinq minutes.

Faites attention à où vous cliquez

Méfiez-vous des liens présents dans les courriels ou autres messages textuels. Des liens peuvent être détournés pour télécharger des fichiers malveillants ou vous conduire vers de faux sites qui peuvent vous demander de fournir des mots de passe ou d'autres informations sensibles. Sur un ordinateur, il existe une astuce simple pour s'assurer qu'un lien dans un courriel ou un message vous enverra là où il est censé vous mener : Utilisez votre souris pour survoler un lien avant de cliquer dessus et regardez en bas de la fenêtre de votre navigateur pour voir quelle est l'URL réelle (voir l'image ci-dessous).

Outlook inbox photo

Il est plus difficile de vérifier les liens dans un courriel sur un appareil mobile sans cliquer accidentellement dessus. Soyez donc prudent. Vous pouvez vérifier la destination d'un lien sur la plupart des smartphones en appuyant longuement sur le lien jusqu'à ce que l'URL complète apparaisse.

Dans le cadre du hameçonnage par SMS et applications de messagerie, les liens raccourcis sont une pratique très courante utilisée pour masquer la destination d'une URL. Si vous voyez un lien court (par exemple, bit.ly ou tinyurl.com) au lieu de l'URL complète, ne cliquez pas dessus. Si le lien est important, copiez-le dans un expandeur d'URL, tel que https://www.expandurl.net/, pour voir la destination réelle d'une URL raccourcie. En outre, ne cliquez pas sur les liens menant à des sites web qui ne vous sont pas familiers. En cas de doute, effectuez une recherche sur le site, avec le nom du site entre guillemets (par ex : « www.mauvaissiteweb.com ») pour vérifier s'il s'agit d'un site web légitime. Vous pouvez également faire passer les liens potentiellement suspects par l'analyseur d'URL de VirusTotal. Ce n'est pas précis à 100 %, mais c'est une bonne mesure de précaution à prendre.

Enfin, si vous cliquez sur un lien dans un message et qu'on vous demande de vous connecter à quelque chose, ne le faites pas à moins d'être sûr à 100 % que l'e-mail est légitime et qu'il vous amène sur le site approprié. De nombreuses attaques d'hameçonnage fournissent des liens qui vous renvoient à de fausses pages de connexion pour Gmail, Facebook ou d'autres sites populaires. Ne tombez pas dans le panneau. Vous pouvez toujours ouvrir un nouveau navigateur et vous rendre directement sur un site connu comme Gmail.com, Facebook.com, etc. si vous voulez ou devez vous y connecter. Cela vous permettra également d'accéder en toute sécurité au contenu, s'il était légitime au départ.

Que devons-nous faire lorsque nous recevons un message de hameçonnage ?

Si quelqu'un de votre organisation reçoit une pièce jointe, un lien ou une image non sollicités, ou un message ou un appel suspect, il est important qu'il le signale immédiatement au responsable de la sécurité informatique de votre organisation. Si une telle personne ne fait pas partie de votre équipe, vous devez en désigner une dans le cadre de l'élaboration de votre programme de sécurité. Le personnel peut également signaler le courriel comme spam ou hameçonnage directement via Gmail ou Outlook.

Il est essentiel de mettre en place un programme indiquant ce que le personnel ou les volontaires doivent faire s'ils reçoivent un message de hameçonnage. En outre, nous vous recommandons d'adopter les meilleures pratiques en matière d'hameçonnage (ne pas cliquer sur les liens suspects, éviter les pièces jointes et vérifier l'adresse « de ») et de les partager avec les personnes avec lesquelles vous travaillez, de préférence par le biais d'un canal de communication largement utilisé. Cela montre que vous vous préoccupez des personnes avec lesquelles vous communiquez et contribue à instaurer une culture d'alerte et de sensibilisation aux dangers de l'hameçonnage au sein de vos réseaux. Votre sécurité dépend des organisations auxquelles vous faites confiance, et vice versa. De meilleures pratiques permettent de protéger tout le monde.

En plus de partager les conseils ci-dessus avec l'ensemble de votre personnel et de vos bénévoles, vous pouvez également vous entraîner à identifier le hameçonnage avec le Google Phishing Quiz. Nous vous recommandons également de mettre en place des formations régulières sur l'hameçonnage avec le personnel afin de tester la sensibilisation et de maintenir la vigilance. Cette formation peut être formalisée dans le cadre de réunions organisationnelles régulières ou se dérouler de manière plus informelle. L'important est que tous les membres de l'organisation se sentent à l'aise pour poser des questions sur l'hameçonnage, pour le signaler (même s'ils pensent avoir fait une erreur, par exemple en cliquant sur un lien) et pour contribuer à la défense de votre organisation contre cette menace à fort impact et à forte probabilité.

Hameçonnage

  • Formez régulièrement le personnel sur ce qu'est l'hameçonnage et sur la manière de le repérer et de s'en protéger, y compris l'hameçonnage par messages texte, applications de messagerie et appels téléphoniques, et pas seulement par courriel.
  • Rappelez fréquemment au personnel les meilleures pratiques telles que :
    • Ne téléchargez pas de pièces jointes inconnues ou potentiellement suspectes.
    • Vérifiez l'URL d'un lien avant de cliquer dessus. Ne cliquez pas sur des liens inconnus ou potentiellement suspects.
    • Ne fournissez pas d'informations sensibles ou privées par courriel, SMS ou appel téléphonique à des adresses ou des personnes inconnues ou non confirmées.
  • Encouragez le signalement des cas d'hameçonnage.
    • Mettez en place un mécanisme de signalement et un responsable en matière d'hameçonnage au sein de votre organisation.
    • Récompensez les signalements et ne punissez pas les erreurs.