Tout internaute a déjà été la cible d’au moins une attaque de phishing. Ces messages malveillants, provenant d’une source apparemment fiable ou digne de confiance, sont conçus pour convaincre la victime de cliquer sur un lien malveillant, de révéler des informations, de donner un accès non autorisé à un système ou d’exécuter une transaction financière.
Si l’illégitimité de certains laissent peu de place au doute, comme un email de Mark Zuckerberg au sujet d’un prix soi-disant remporté, l’ingénierie sociale se perfectionne et mise sur la curiosité naturelle des victimes, leur confiance et leur compassion pour les autres.
Il existe aujourd’hui de nombreux mécanismes de phishing qui ne sont pas évidents à détecter et qui peuvent tromper même l’utilisateur en ligne le plus prudent. Par exemple, les escroqueries très convaincantes liées au COVID-19, qu’il s’agisse de messages Facebook d’« amis » ayant connu des difficultés financières ou d’e-mails demandant une preuve de vaccination, sont actuellement très répandues. Il est cependant possible d’éviter la plupart des tentatives de phishing et d’ingénierie sociale en faisant preuve d’une bonne dose de scepticisme et de bon sens, et en suivant les conseils suivants.
Bien choisir ses amis. Il s’agit d’un conseil avisé dans le monde réel, qui est encore plus important dans le monde numérique. Si un internaute reçoit un message LinkedIn, ou une demande d’ami Instagram, d’un inconnu, il ne faut pas y répondre ou l’accepter, et ne pas cliquer sur les liens contenus dans le message provenant d’une source non vérifiée.
Ne pas cliquer sur les hyperliens. Même les emails envoyés par des sources familières peuvent poser problème : les logiciels malveillants, les ransomwares et les virus en tout genre, peuvent se propager en analysant l’appareil à la recherche d’autres adresses e-mail, puis en s’expédiant à ces adresses dans des messages censés être « envoyés » par vous-même.
Ne pas se presser. De nombreux e-mails et messages de phishing tentent de créer un sentiment d’urgence, faisant craindre au destinataire que son compte ou ses informations sont en danger ; des cybercriminels se font ainsi régulièrement passer pour le service des impôts, pressant la victime à partager ses informations bancaires sous peine de rapidement subir des pénalités. En cas d’email suspect émis d’une connaissance, il est conseillé de la contacter directement. Si l’email provient d’une organisation mais qu’il semble tout de même suspect, il faut joindre le service clientèle pour vérifier la légitimité de la communication.
Ne pas se dévoiler en ligne. Les quiz sur les réseaux sociaux représentent un excellent moyen pour les criminels de mettre la main sur les données personnelles des utilisateurs. En répondant à un questionnaire d’apparence anodine, il n’est en effet pas rare de divulguer des informations sensibles ; telles que son nom complet, sa date de naissance ou le nom de son employeur. Il en va de même pour les publications habituelles sur ces plateformes : les cybercriminels utilisent toutes ces informations personnelles contre leurs victimes, notamment pour deviner les réponses aux questions de sécurité et de récupération de mots de passe.
Désactiver le partage de localisation. Les informations relatives au partage de la localisation sont utilisées pour concevoir des messages de phishing qui semblent très opportuns et pertinents. À titre d’exemple, la localisation est intégrée sous forme de métadonnées dans chaque photo prise avec un téléphone. En désactivant les services de localisation lorsqu’il n’est pas nécessaire, il devient plus difficile pour les personnes mal intentionnées de consulter ces informations.
Protéger ses ordinateurs personnels et ses téléphones portables. Il est recommandé d’installer un logiciel antivirus et un pare-feu sur ses appareils personnels et de veiller à ce qu’ils soient configurés pour recevoir des mises à jour automatiques. Il est également indispensable de séparer l’usage professionnel de l’usage personnel - surtout en cas de télétravail - pour naviguer sur internet, faire des achats en ligne, parcourir les médias sociaux ou consulter ses emails personnels.
Reprendre le contrôle de son dossier de spam. Si tous les messages qui se heurtent au filtre anti-spam ne sont pas des messages de phishing, beaucoup d’entre eux le sont. Il faut donc prendre le temps de nettoyer ce dossier de spam ou de mettre en place des filtres pour les empêcher de pénétrer dans la boîte de réception.
Protéger ses comptes en ligne avec l’authentification multifacteurs (MFA). Les mots de passe utilisés doivent être aussi longs et complexes que possible et ne jamais être utilisés pour plusieurs comptes. De nombreux comptes en ligne - tels que les emails, les services bancaires ou encore les réseaux sociaux - offrent la possibilité d’activer la MFA pour ajouter une couche supplémentaire de protection au processus de connexion. En combinant ainsi deux types d’identification, la légitimité de l’utilisateur est assurée.
Parce que son taux de succès reste élevé, le phishing devrait continuer à être la première étape de nombreuses attaques. Il existe pourtant quelques gestes simples à adopter au niveau de l’utilisateur pour stopper la tentative de compromission et ainsi contenir toute la réaction en chaine de la campagne malveillante. Une cyber-hygiène optimale est donc plus que jamais essentielle pour mettre à mal les desseins des cybercriminels.