Qu’est-ce que le phishing ?
Le phishing est l’une des méthodes les plus communes. Elle consiste, comme le rappelle Mailinblack*, « à tenter de recueillir des informations personnelles en utilisant des moyens trompeurs, comme l’email ou les sites web ». Elle prend ainsi souvent la forme d’un email, prétendument envoyé par une personne connue – un membre de son entourage, un collègue, etc. – et invitant à télécharger une pièce jointe ou à cliquer sur un lien à partir duquel seront récupérées des données personnelles.
Le phishing est assurément une activité très lucrative. Aux États-Unis seulement, elle aurait représenté près de 58 millions de dollars en 2019. Ce qui n’échappe évidemment pas aux hackers qui continuent à développer des méthodes de plus en plus sophistiquées, comme le spearphishing. La spécificité du spearfishing réside dans le niveau de détail du message, que ce soit en termes de ciblage ou de personnalisation du contenu. Une personnalisation rendue possible grâce aux informations collectées, par exemple, sur les réseaux sociaux, les sites d’entreprises, ou toute autre source publique.
Mieux vaut prévenir que guérir
La première défense contre le phishing, c’est la prudence. Et il faut, pour cela, apprendre à identifier une tentative de phishing et prendre les mesures adéquates pour s’en protéger.
Retard dans le paiement d’une facture, réinitialisation d’un mot passe, tirage au sort dont vous êtes le gagnant… Les tentatives de phishing prennent des formes variées, mais partagent au moins deux points communs : une action requise de votre part (cliquer sur un lien, fournir des informations personnelles), et une notion d’urgence (si vous n’agissez pas vite, vous serez pénalisé).
Certains éléments doivent ainsi vous mettre la puce à l’oreille : une erreur dans votre nom, une orthographe approximative, une adresse d’expédition suspecte, etc. Certaines tentatives de phishing sont néanmoins très convaincantes, avec l’utilisation du logo d’une entreprise connue ou d’une adresse email qui semble tout à fait légitime. Il faut alors redoubler de vigilance et faire d’abord preuve de bon sens : suis-je en contact d’une quelconque façon avec cette entreprise ? Leur demande me semble-t-elle légitime ?
Il peut être également utile de renforcer la sécurité de votre réseau et de votre système d’information (pare-feux, antivirus, etc.), de faire des mises à jour régulières de votre navigateur web, et de changer régulièrement vos identifiants et mots de passe, en choisissant toujours des mots de passe suffisamment complexes – voire une double-authentification quand c’est possible. Enfin, veillez, par sécurité, à faire des sauvegardes régulières de vos données pour parer à toute éventuelle intrusion dans votre système.
La bonne stratégie pour lutter contre les tentatives de vol de données personnelles combine donc, d’une part un effort de vigilance et de prudence de la part de chacun, d’autre part le déploiement des bons outils et des bonnes protections au sein de votre réseau et de votre système d’information.
__________
* Voir l’article complet de Mailinblack sur le sujet, sous ce lien