Depuis l’avènement d’internet, la criminalité informatique n’a cessé d’évoluer par le biais de moyens sophistiqués et ce dans le but d’extorquer ou de frauder autrui. L’hameçonnage fait partie des techniques de fraude numérique pour soutirer des informations sensibles sur les victimes. Aujourd’hui, les professionnels constatent une augmentation exponentielle du taux d’attaques par hameçonnage. Si cela s’explique en partie par l’amélioration des techniques de piratage, le cadre géopolitique est également mis en cause.
Dans cet article, nous tenterons d’expliquer la technique d’hameçonnage, les différents types utilisés ainsi que le cadre juridique mis en place pour le contrer.
Hameçonnage : définition
L’hameçonnage informatique ou phishing informatique est une technique d’extorsion numérique visant à perpétrer les données personnelles d’une personne ou d’une organisation dans le but d’usurper son identité. Les fraudeurs se font passer pour des personnes de confiance en mettant en place un site internet d’apparence sécurisé (banque, administration, site de vente en ligne) afin de soutirer des renseignements bancaires grâce aux mots de passe de la carte bancaire. Le motif principal de cet acte criminel est évidemment financier, vient ensuite le vol de données et l’usurpation d’identité. Les méthodes utilisées pour l’hameçonnage sont si sophistiquées qu’il est parfois difficile de faire la différence entre le site officiel et la copie frauduleuse.
Hameçonnage : le mode opératoire
Les techniques d’hameçonnage peuvent être présentées sous plusieurs formes La plus commune est la présentation d’une copie d’un site officiel. D’ailleurs, le terme phishing ou hameçonnage est utilisé dans le jargon de la pêche afin d’attirer la proie dans les filets. En ce qui concerne le mode opératoire, le fraudeur présente à sa victime un lien d’apparence sécurisé et l’appelle à joindre ses données personnelles (données bancaires, adresse personnelle, informations sensibles). Une fois la victime prise au piège, les cybercriminels peuvent avoir accès à toutes les données et en faire ce qu’ils veulent. Dans la plupart des cas, les données volées sont vendues au marché noir. Toutefois, dans certains cas, des menaces et des attaques sont proliférées contre la victime, c’est ce qu’on appelle le blackmail ou encore une demande de rançon.
Quels sont les types d’hameçonnage ?
Bien que le type d’hameçonnage le plus connu s’effectue via mail, il existe différentes autres techniques toutes aussi innovantes. Parmi lesquelles on retrouve :
Injection de contenu : dans ce type d’hameçonnage, un contenu malveillant est introduit dans un site web d’apparence sécurisé. Ce contenu se présente sous la forme d’une fenêtre pop-up afin de rediriger la potentielle victime vers un autre site web. Une fois le lien cliqué, il est demandé de confirmer différentes données personnelles. Dans certains cas, il leur est demandé de changer leurs mots de passe bancaires.
Fraude du président
Cette technique d’hameçonnage est souvent utilisée en entreprise. Le cybercriminel se fait passer pour l’employeur ou des ressources humaines afin de demander un transfert de fonds, des informations fiscales ou un virement bancaire.
Faux site web
Dans ce type d’hameçonnage, le cybercriminel met en place un faux site web qui dispose des mêmes caractéristiques que l’original avec pour seule différence un détail dans le nom du domaine.
Hameçonnage sur appareils mobiles
Dans ce type d’hameçonnage, un texte est envoyé via la messagerie mobile d’un réseau social informant la victime que son compte est expiré, bloqué ou corrompu. Le message est souvent joint d’une vidéo ou d’un lien incitant l’utilisateur à cliquer sur un lien permettant l’installation d’un logiciel malveillant.
L’homme du milieu
En termes d’hameçonnage, il s’agit peut-être d’une des fraudes les plus créatives. Dans cet exemple, le criminel fait en sorte d’introduire deux personnes dans une discussion en les incitant à partager des informations personnelles (mots de passe de comptes bancaires, adresse etc.). Le cybercriminel envoie alors des fausses demandes à chacune des parties en prenant le soin de modifier les informations transmises. L’objectif est de manipuler les deux interlocuteurs en leur donnant l’impression qu’elles communiquent ensemble.
Harponnage
Le harponnage est une technique très avancée d’hameçonnage ciblé par mail. Le cybercriminel vise une institution à grande échelle (administration ou société) et a pour objectif de dérober des informations plus poussées que des données bancaires. Les organisations visées sont généralement des institutions bancaires ou universitaires. Le harponnage est une technique dangereuse qui peut compromettre l’organisation.
Publicité malveillante
Dans ce type d’hameçonnage, la publicité en ligne est mise en avant afin d’inciter l’utilisateur à cliquer. Une fois introduit sur la page du lien, un logiciel malveillant (maliciel) est automatiquement installé sur l’ordinateur.
Protection contre les attaques par hameçonnage
Depuis plusieurs années, de nombreuses organisations se sont spécialisées dans la lutte contre la cybercriminalité. Le premier élément de prévention des attaques numériques est d’abord la formation des utilisateurs sur les bonnes pratiques et le comportement à avoir en cas d’attaque. Malgré l’innovation dans les techniques cybercriminelles, il est possible de détecter des tentatives d’usurpation. Pour cela, il est recommandé de ne jamais divulguer des données sensibles à des sites internet douteux mais également à vérifier la source des courriers électroniques reçus. Mettre en place des logiciels performants pouvant détecter les programmes malveillants peuvent contribuer à lutter contre ce fléau.
Phishing : que dit la loi ?
Le cadre social et politique actuel et la sophistication des techniques de phishing ont contraint les organisations à trouver des solutions radicales contre la cybercriminalité. En effet, selon l’article 226-4-1 du code pénal, l’usurpation d’identité d’un tiers ou l’usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est passible d’une peine d’un an d’emprisonnement et de 15.000 euros d’amende. Par ailleurs, la collecte de données sensibles via des moyens frauduleux, notamment le phishing est passible d’une peine d’emprisonnement de 5 ans et de 300.000 € d’amende.