L’hameçonnage

Photo d'une main tenant une carte de crédit avec cryptage des données à l'écran

Quand une cyberattaque fait les manchettes, c’est qu’une personnalité connue ou une grande organisation s’est fait piéger. On pourrait ainsi facilement se croire à l’abri, surtout si on s’est procuré le plus récent antivirus. Malheureusement, cette impression est trompeuse, car les cybercriminels ne font pas de discrimination! Ils rivalisent d’ingéniosité pour nous soustraire nos données, notre argent ou tout ce qui a de la valeur à leurs yeux, ce qui peut être dévastateur. Que vous disposiez de la meilleure protection antivirus ou non, savoir reconnaître les signes de cyberattaque demeure toujours une bonne idée.

Parmi les nombreux types de cyberattaques, celui qu’on rencontre le plus fréquemment est l’hameçonnage. Dans un sondage de Statistique Canada réalisé en 2020 sur le changement des habitudes en ligne des Canadiens pendant les six premiers mois de la pandémie, le tiers des répondants ont d’ailleurs déclaré avoir subi une tentative d’hameçonnage.

Qu’est-ce que l’hameçonnage?

On parle d’hameçonnage lorsqu’un cybercriminel tente d’obtenir des renseignements confidentiels auprès d’une personne en se faisant passer pour une organisation légitime ou une connaissance, voire un proche. Les cybercriminels ont recours à des courriels frauduleux pour « aller à la pêche » aux informations et attirer des personnes dans des pièges. Ces courriels sont soigneusement conçus pour inciter les gens à révéler des renseignements financiers, des données de connexion ou d’autres données sensibles, et certains vont même jusqu’à installer clandestinement un logiciel dangereux (un maliciel) qui compromet la sécurité de l’ordinateur et les fichiers qu’il contient.

Les différents types d’hameçonnage

Les tentatives d’hameçonnage ne se ressemblent pas toutes. Comme la technologie évolue sans cesse et que les consommateurs sont de plus en plus avertis, les pirates adaptent constamment leurs stratégies. Aussi, dans le cadre de sa campagne Pensez cybersécurité, le gouvernement du Canada a fait la liste des formes les plus courantes d’hameçonnage.

L’hameçonnage par texto

Comme son nom l’indique, cette forme d’hameçonnage se fait par texto (ou message texte). Par exemple, un pirate envoie un message en se faisant passer pour votre institution bancaire et vous demande de cliquer sur un lien pour remplir un formulaire dont des champs portent sur des renseignements confidentiels. D’autres vous indiquent que vous avez reçu un colis ou de l’argent de l’Agence du revenu du Canada.

Sur le site de la campagne Pensez cybersécurité, il est indiqué que la meilleure façon de se protéger est de faire preuve de prudence dès la réception de tout message texte provenant d’un numéro inconnu. Dans le doute sur la légitimité d’un message, communiquez avec l’expéditeur désigné en appelant à un numéro de confiance (comme celui qui est affiché sur le site Internet de votre banque).

Le harponnage

Le harponnage est une approche encore plus ciblée que les pirates emploient pour voler des données. Ce qui est particulièrement inquiétant dans ce type d’attaque est l’énergie déployée par ces individus en vue de personnaliser leur message et de le rendre crédible. Pour savoir comment vous en protéger, lisez nos conseils plus bas.

Le harponnage de cadre supérieur

Avec cette dernière forme d’hameçonnage, les pirates essaient habituellement de soutirer d’importantes sommes d’argent à des personnes d’influence ou très en vue. On pourrait se demander comment exactement leurs victimes se laissent prendre au piège. À ce sujet, le site de la campagne Pensez cybersécurité nous indique que les messages utilisés sont extrêmement sophistiqués et conçus pour laisser croire que le paiement est versé à une organisation légitime.

Alors, comment repérer les signes d’un courriel d’hameçonnage?

Dans l’optique de garder les consommateurs en bonnes mains, Allstate du Canada a demandé à son Équipe de la cybersécurité de rédiger une liste des signaux d’alarme à connaitre pour éviter de tomber dans le piège des tentatives d’hameçonnage. Les voici :

  • Un ton ou un langage qui ne semble pas tout à fait normal. Un vocabulaire qui vous est peu familier ou un ton trop amical ou au contraire trop soigné de la part de quelqu’un que vous connaissez sont des signes d’hameçonnage. Ne les ignorez pas et examinez de plus près le message.
  • Des coquilles et des erreurs d’orthographe ou de grammaire. À moins que le courriel provienne de votre neveu de cinq ans, ce sont des signes courants d’un courriel d’hameçonnage.
  • Une mesure à prendre d’urgence! Les courriels demandant de prendre une mesure immédiate sont couramment utilisés par les cybercriminels. Ils veulent susciter un sentiment de panique et vous inciter à répondre sans délai. Ne répondez pas à un tel courriel. Faites un suivi en contactant l’entreprise ou la personne qui aurait réellement envoyé le courriel. Si un numéro de téléphone est indiqué dans le courriel, ne l’utilisez pas. En cas d’attaque réelle, ce dernier sera également frauduleux. Assurez-vous d’utiliser le véritable numéro de l’entreprise en consultant son site Internet.
  • Une adresse courriel suspecte ou un lien et une adresse URL qui ne correspondent pas. Si vous ne reconnaissez pas l’adresse de l’expéditeur ou si vous placez votre curseur au-dessus d’un lien intégré au message et que l’adresse Internet (URL) ne correspond pas au nom du lien, il pourrait s’agir d’une tentative d’hameçonnage. Ne cliquez pas sur le lien.
  • Faites très attention aux pièces jointes. Même si vous connaissez la personne ou l’entreprise qui a émis le courriel, il est préférable de faire preuve de prudence lorsqu’un message contient des pièces jointes. Les pirates informatiques vont souvent intégrer des logiciels malveillants dans leurs courriels d’hameçonnage.


Des conseils pour éviter de se faire prendre

L’Équipe de la cybersécurité d’Allstate vous propose ces quelques conseils pour vous protéger contre les tentatives d’hameçonnage.

  • Pensez-y deux fois avant de cliquer! Restez alerte quand vous consultez un courriel ou un message texte, surtout s’il est alarmant ou qu’il contient une offre incroyable. Les cybercriminels usurpent souvent des logos d’entreprise, des noms d’expéditeurs et des adresses courriel.
  • Méfiez-vous des demandes d’informations sensibles inattendues. Ne divulguez jamais de numéros de compte, de numéros d’identification personnelle (NIP) ou des identifiants de connexion à quiconque, et ce, même si la demande semble urgente.
  • Vérifiez la validité des pièces jointes avant de les ouvrir ou de les télécharger. Même si un courriel ou un message texte semble provenir d’une personne ou d’une entreprise en qui vous avez confiance, n’ouvrez jamais une pièce jointe dont la réception n’était pas attendue. Assurez-vous toujours qu’il s’agit d’un fichier authentique en joignant le prétendu expéditeur à l’aide d’une autre méthode de communication, comme un appel téléphonique.
  • Vérifiez les adresses Internet (URL) en plaçant votre curseur au-dessus du lien. Si un courriel contient un hyperlien, vous pouvez vérifier rapidement son authenticité. Il suffit de placer votre curseur au-dessus de celui-ci, et l’adresse Internet complète va s’afficher. Si elle semble suspecte, ne cliquez pas sur le lien.

Pour plus de conseils, visitez : www.pensezcybersecurite.gc.ca/fr/mois-de-la-sensibilisation-la-cybersecurite

Ces renseignements sont fournis uniquement pour votre commodité, et ils ne doivent pas être interprétés comme des conseils juridiques ou des conseils en matière d’assurance