If you're seeing this message, it means we're having trouble loading external resources on our website.

Si vous avez un filtre web, veuillez vous assurer que les domaines *. kastatic.org et *. kasandbox.org sont autorisés.

Contenu principal

Cours : Sécurité sur Internet > Chapitre 1 

Leçon 9: En savoir plus sur les arnaques en ligne et apprendre à les reconnaître
Compétences pratiques
Sécurité sur Internet
La sécurité des données en ligne
En savoir plus sur les arnaques en ligne et apprendre à les reconnaître
© 2024 Khan AcademyConditions d'utilisation (en anglais)Politique de confidentialitéUtilisation de cookies

Les attaques par hameçonnage

Google Classroom
Internet est un réseau d'ordinateurs remplis de données précieuses, qu'il faut donc protéger à l'aide de nombreux mécanismes de sécurité.
Mais il y a malheureusement un maillon faible : l'être humain. Si l'utilisateur ou l'utilisatrice communique volontairement ses données personnelles ou fournit l'accès à son ordinateur, il est bien plus difficile pour les mécanismes de sécurité de protéger ses données et ses appareils.
Une attaque par hameçonnage consiste à tenter de tromper un utilisateur ou une utilisatrice pour le ou la pousser à divulguer ses informations personnelles.
Image représentant une attaque par hameçonnage. Un pirate tient une canne à pêche, et l'hameçon est planté dans la page d'un navigateur. Sur cette page, on peut voir un champ qui contient le mot de passe "Vr3m0tdep@sseutilis@teur".
Un pirate présente un appât alléchant, à savoir un site web convaincant. Si l'utilisateur ou l'utilisatrice mord, le pirate peut alors s'emparer d'informations privées intéressantes.

Un exemple d'attaque

Une attaque par hameçonnage commence généralement par l'envoi d'un e-mail qui prétend provenir du site web officiel (banque ou boutique en ligne, par exemple) :
Capture d'écran d'un e-mail d'hameçonnage, dont l'objet est "Accès à votre compte PayPal bloqué !". Cet e-mail a été envoyé par "PayPal paypalaccounts@mailbox.com". L'e-mail commence avec le titre : "Votre compte PayPal est restreint, résolvez le problème dans les 24 heures !" et on peut lire ensuite : "Cher client PayPal, Nous sommes désolés d'avoir à vous annoncer que vous ne pouvez plus accéder à toutes les fonctionnalités de votre compte PayPal, comme le paiement et le transfert d'argent. Cliquez ici pour rétablir l'accès à votre compte maintenant. Pourquoi est-il bloqué ? Parce que nous pensons que votre compte est peut-être compromis (vol ou utilisations non autorisées). Comment puis-je régler le problème ? Confirmez vos coordonnées sur notre serveur. Cliquez simplement ci-dessous et suivez toutes les étapes. Confirmez les coordonnées de votre compte maintenant". Deux phrases du texte se présentent sous la forme d'hyperliens.
Un e-mail prétendument envoyé par PayPal
Le but est d'obtenir les données privées de l'utilisateur ou de l'utilisatrice. L'e-mail va donc demander au destinataire de répondre avec des informations personnelles ou va contenir un lien qui renvoie à un site web qui ressemble énormément au site original :
Capture d'écran d'un site d'hameçonnage. Le navigateur affiche le titre de la page ("Connectez-vous à votre compte"). Dans la barre d'adresse, on peut lire "paypal--accounts.com". Sur la partie principale de l'écran, on voit une fenêtre de connexion avec le logo de PayPal : on y trouve un champ pour l'e-mail ou le numéro de mobile, un champ pour le mot de passe et un bouton "Connexion".
Un site web qui prétend être un écran de connexion PayPal
Si l'utilisateur croit cet e-mail et introduit des informations privées sur le site, ses données tombent alors dans les mains du pirate ! S'il a entré ses identifiants pour pouvoir se connecter, le pirate peut les utiliser pour se connecter au véritable site. Et si l'utilisateur a fourni les informations de sa carte de crédit, le pirate peut utiliser cette carte pour faire des paiements n'importe où.

Signes d'une attaque par hameçonnage

Il est heureusement possible de démasquer les tentatives d'hameçonnage grâce à quelques signes visibles.

Adresse e-mail suspecte

Les e-mails d'hameçonnage sont souvent envoyés depuis des adresses dont les domaines n'appartiennent pas à l'entreprise officielle.
Capture d'écran d'un e-mail d'hameçonnage, recadrée pour ne montrer que l'adresse de l'expéditeur. L'e-mail vient de "PayPal paypalaccounts@mailbox.com". L'adresse e-mail est mise en évidence à l'aide d'un cadre rose.
Cet e-mail semble provenir de PayPal mais vient en réalité de mailbox.com.
Attention toutefois : une adresse e-mail officielle ne permet pas de garantir que l'e-mail soit sûr à 100 %. Les pirates ont peut-être réussi à usurper la véritable adresse e-mail de l'entreprise ou à la pirater pour en prendre le contrôle.

URL suspectes

Les e-mails d'hameçonnage contiennent souvent un lien qui renvoie vers un site web avec une URL qui semble authentique, alors qu'il s'agit en réalité d'un site contrôlé par le pirate.
Capture d'écran d'un site d'hameçonnage, recadrée pour ne montrer que la barre d'adresse. Le navigateur affiche le titre de la page ("Connectez-vous à votre compte"). Dans la barre d'adresse, on peut lire "paypal--accounts.com". L'adresse e-mail est mise en évidence à l'aide d'un cadre rose.
Cette URL contient le mot "paypal", mais n'est pas le domaine officiel de PayPal.
Les pirates utilisent un éventail de stratégies pour créer des URL convaincantes :
  • Des erreurs d'orthographe dans l'URL originale ou dans le nom de l'entreprise (ex. : "goggle.com" au lieu de "google.com").
  • Une écriture qui utilise des caractères semblables provenant d'autres alphabets (ex. : "wikipediа.org" contre "wikipedia.org"). Dans les deux domaines de cet exemple, le "e" et le "a" sont en réalité des caractères différents.
  • Des sous-domaines qui ressemblent au nom du domaine (ex. : "paypal.accounts.com" au lieu de "accounts.paypal.com"). Dans cet exemple, PayPal possède le deuxième domaine, mais n'a aucun contrôle sur le premier.
  • Un domaine de premier niveau ("TLD" ou "top level domain" en anglais). Par exemple, "paypal.io" contre "paypal.com". Les entreprises connues essayent d'acheter un domaine doté des TLD les plus répandus, comme ".net", ".com" et ".org", mais il en existe des centaines.
Même si le pirate ne parvient pas à trouver une URL semblable pour héberger sa page web malveillante, il peut toujours essayer de camoufler l'URL dans le code HTML.
Prenons l'exemple de ce texte qui semble tout à fait authentique :
Rendez-vous sur www.paypal.com pour changer votre mot de passe.
Maintenant, essayez de cliquer sur le lien. Vous n'êtes pas tombé sur la page de PayPal, n'est-ce pas ? C'est parce que le texte et la destination d'un lien ne sont pas identiques.
Voilà à quoi ressemble le code HTML :
Rendez-vous sur <a href="https://www.khanacademy.org/computer-programming/this-isnt-the-right-page/5778954880073728">www.paypal.com</a> pour changer votre mot de passe.
Un pirate peut camoufler des liens de cette manière, dans un e-mail ou une page web. Lorsque vous cliquez sur un lien louche, il est important de vérifier l'URL dans la barre du navigateur pour voir où celui-ci vous a vraiment mené.

Connexions HTTP non sécurisées

Un site web qui vous demande des informations sensibles devrait utiliser le protocole HTTPS pour chiffrer les données envoyées sur Internet.
Les sites d'hameçonnage ne font pas toujours l'effort d'utiliser le protocole HTTPS.
Capture d'écran d'un site d'hameçonnage, recadrée pour ne montrer que la barre d'adresse. Le navigateur affiche le titre de la page ("Connectez-vous à votre compte"). Dans la barre d'adresse, on peut lire "Non sécurisé" et l'URL "paypal--accounts.com". L'avertissement "Non sécurisé" est mis en évidence à l'aide d'un cadre rose.
Cette URL n'est pas sécurisée à l'aide d'un protocole HTTPS et le navigateur affiche donc la mention "Non sécurisé".
Toutefois, selon une étude, plus de deux tiers des sites d'hameçonnage ont utilisé le protocole HTTPS en 2019. Une URL sécurisée n'est donc pas toujours synonyme d'URL authentique1.

Demande d'informations sensibles

Les e-mails d'hameçonnage vous demandent souvent de répondre avec des informations personnelles ou de remplir un formulaire sur un site web. La plupart des vraies entreprises n'ont pas besoin de vérifier vos informations personnelles après la création du compte original.
Capture d'écran d'un site d'hameçonnage, recadrée pour ne montrer que la fenêtre de connexion. Celle-ci contient le logo de PayPal, un champ pour l'e-mail ou le numéro de mobile, un champ pour le mot de passe et un bouton "Connexion". Les deux champs sont mis en évidence à l'aide d'un cadre rose.

Tactiques reposant sur l'urgence ou la peur

Les e-mails d'hameçonnage utilisent la manipulation psychologique pour nous faire baisser notre garde et nous amener à répondre rapidement sans penser aux conséquences.
Capture d'écran d'un e-mail d'hameçonnage, recadrée pour ne montrer qu'une partie du corps du texte. L'e-mail commence avec le titre : "Votre compte PayPal est restreint, résolvez le problème dans les 24 heures !" et on peut lire ensuite : "Cher client PayPal, Nous sommes désolés d'avoir à vous annoncer que vous ne pouvez plus accéder à toutes les fonctionnalités de votre compte PayPal, comme le paiement et le transfert d'argent. Cliquez ici pour rétablir l'accès à votre compte maintenant. Pourquoi est-il bloqué ? Parce que nous pensons que votre compte est peut-être compromis (vol ou utilisations non autorisées)". Le titre et la dernière ligne sont mis en évidence à l'aide de cadres roses.

Comment gérer une attaque par hameçonnage

Le degré de sophistication des tentatives d'hameçonnage peut fortement varier : certains e-mails sont très clairement faux tandis que d'autres peuvent être particulièrement convaincants.
Si vous pensez qu'un e-mail est une attaque par hameçonnage, ne cliquez sur aucun lien et ne téléchargez aucun fichier joint.
Trouvez un autre moyen de contacter l'expéditeur présumé, pour savoir si l'e-mail est authentique. Si ce dernier provient d'une entreprise, vous pouvez chercher son numéro de téléphone sur Internet. S'il vient d'un ami ou d'un collègue, vous pouvez lui envoyer un message ou l'appeler.

Hameçonnage ciblé

Il existe désormais un nouveau type d'hameçonnage, qui est encore plus répandu et dangereux : l'hameçonnage ciblé. Au lieu d'envoyer un même e-mail à un grand nombre d'utilisateurs et d'utilisatrices, un pirate va choisir un utilisateur en particulier et lui envoyer un e-mail qui lui est spécifiquement destiné.
Les attaques par hameçonnage ciblé visent souvent des personnes au sein d'une organisation, dans le but d'obtenir un accès aux données de celle-ci.
L'une de mes collègues a reçu cet e-mail d'hameçonnage ciblé, prétendument envoyé par Sal Khan lui-même :
Capture d'écran d'un e-mail dont l'objet est "Demande" et l'expéditeur est "Sal Khan executivee197@gmail.com. L'e-mail dit : "Quand tu auras une minute, pourrais-tu m'envoyer un e-mail ? Cordialement, Sal Khan, PDG".
Heureusement, il était évident qu'il s'agissait d'un e-mail d'hameçonnage ciblé rien qu'en lisant l'adresse de l'expéditeur.
Malheureusement, toutes les tentatives d'hameçonnage ciblé ne sont pas aussi évidentes et toutes les cibles ne sont pas aussi vigilantes. Si un seul membre de l'organisation révèle accidentellement ses identifiants ou télécharge un logiciel malveillant sur son ordinateur de travail, un pirate peut potentiellement s'infiltrer dans l'ensemble de la base de données de l'entreprise. On ne parle pas ici des données d'une seule personne, mais des données de milliers ou de millions de personnes.
🔍 Êtes-vous capable de repérer une attaque par hameçonnage ? Testez vos compétences en répondant à ce quiz sur l'hameçonnage, réalisé par Google.
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Vous avez des questions sur ce sujet ? Nous vous répondrons volontiers ! Posez simplement votre question dans l'espace ci-dessous !

Vous souhaitez rejoindre la discussion ?

Connectez-vous
Pas encore de posts.
Vous comprenez l'anglais ? Cliquez ici pour participer à d'autres discussions sur Khan Academy en anglais.