Repérer les mails frauduleux - Résumé d'atelier
phishing by Tomas Knopp from the Noun Project
Au fil du temps, votre boîte mail s'est peut-être peuplée d'offres faramineuses de riches importateurs de café, de messages d'alertes mal orthographiés, ou de publicités pour des produits suspicieux. Comment reprendre le contrôle et éviter de devenir la victime de mails frauduleux ?
Quelle est la différence entre courrier indésirable et mails frauduleux ?
Deux catégories de courrier peuvent polluer votre boîte mail : le courrier indésirable et les mails frauduleux, de gravité différentes.
Le courrier indésirable peut être causé par la prospection par courrier électronique : lettres d’information, relances de sites commerciaux, notifications de réseaux sociaux, etc. Ces courriers sont parfois inutiles et envahissants. Néanmoins, cette pratique est encadrée par la loi, résulte d’une inscription consentie lors de l’inscription à un service sur le Web ou en magasin, et il est possible de se désinscrire facilement. Le courrier indésirable peut également être simplement causé par de mauvaises pratiques de vos contacts, comme l'usage abusif du "Répondre à tous" ou la rediffusion de chaînes de mail.
À l'inverse, les mails frauduleux résultent d'une activité hors-la-loi, et présentent volonté de tromper et de nuire : usurpation d’identité, chantage, démarchage sans votre accord, piratage informatique... Et présentent ainsi un risque pour vos finances ou vos données personnelles.
Qu'allons-nous voir ?
Au cours de cet atelier, nous allons voir :
• les différents types de mails frauduleux,
• comment repérer les tentatives d’hameçonnage,
• comment réduire l’impact des mails frauduleux,
• comment réagir si je suis victime d’un mail frauduleux.
1. Les différents types de mail frauduleux
On peut identifier quatre grands types de mails frauduleux : le pourriel, les mails de chantage, les mails vérolés et les mails de hameçonnage.
Le pourriel
Le pourriel ou spam est l'équivalent numérique de la publicité sauvage dans votre boîte aux lettres. Ces mails utilisent souvent des thématiques choc pour vendre des produits miracles : perte de poids, sites de rencontres pour adultes, prêts financiers à bas coûts...
Contrairement à la prospection par courrier électronique, les pourriels ne résultent pas d'une inscription consentie, depuis un site web ou en magasin.
François Manens, Numerama, « Confinement : les Français subissent un pic de chantage à la webcam piratée », https://cyberguerre.numerama.com/4392-confinement-les-francais-subissent-un-pic-de-chantage-a-la-webcam-piratee.html
Les mails de chantage
Les mails de chantage menacent de diffuser des informations personnelles compromettantes si vous ne payez pas une rançon dans un temps imparti : photos personnelles, historique de navigation, enregistrements de la webcam… Le paiement est souvent demandé en Bitcoin, une monnaie électronique intraçable.
Ces mails n’avancent aucune preuve de leurs menaces, étant donné que celles-ci sont infondées. Créer un mail de chantage ne nécessite pas de véritables compétences informatiques, s'appuyant à la place sur le choc des accusations et du jargon informatique. Comme la plupart des mails frauduleux, les mails de chantage sont envoyés à de très nombreuses personnes dans l’espoir qu’une infime partie des destinataires réagisse avec précipitation.
Certains mails de chantage incluent des informations personnelles comme votre nom et prénom, voire un mot de passe que vous avez effectivement utilisé dans le passé. Il est fort probable que ces informations aient été récupérées dans une fuite de données dans laquelle les mots de passe étaient mal protégés. Le véritable risque est que d’autres pirates utilisent ce mot de passe pour se connecter à vos comptes. Changez-le immédiatement là où vous l’utilisez encore.
Les mails vérolés
L’objectif des mails vérolés est de vous faire ouvrir une pièce jointe qui installera un logiciel malveillant sur votre ordinateur. Ces mails peuvent utiliser des techniques d’hameçonnage, en utilisant l'habillage d’entreprises connues et en jouant sur le sentiment d'urgence. Ils peuvent également subtiliser les adresses mail de vos proches par déguisement ou parce qu'elles-mêmes ont été victimes d'un logiciel malveillant.
N’ouvrez jamais une pièce jointe si vous ne connaissez pas l’expéditeur, si vous avez le moindre doute sur l'écriture du mail, ou si vous ne savez pas ce que celle-ci contient. Si vous tenez à ouvrir une pièce jointe suspecte, faites-là analyser par votre logiciel antivirus auparavant.
Les mails de hameçonnage
Le hameçonnage ou phishing cherche à se faire passer pour un interlocuteur de confiance afin de vous soutirer un paiement ou des informations personnelles, comme vos mots de passe ou votre numéro de téléphone.
Il existe un hameçonnage "vieille école", dans lequel une personne de renom ou fortunée vous contacte directement afin de vous confier une somme d'argent conséquente. S'ensuit un dialogue où il vous sera demandé des opérations, comme un pré-paiement pour débloquer la somme promise.
Si cette forme rocambolesque perdure encore, le hameçonnage moderne réutilise les codes des mails automatisés de grandes entreprises (Fournisseurs d'accès internet, sites de paiement ou d'achats, organismes publics...) déjà présents dans votre boîte mail : alertes de sécurité, confirmations d’achats, offres promotionnelles...
Un mail de hameçonnage "vieille école", qui tente d'enrôler sa victime dans un dialogue avec une personne ayant prétendument une fortune à transférer. Aujourd'hui, la plupart des tentatives de hameçonnage se font passer pour de grandes entreprises.
2. Comment repérer les tentatives d’hameçonnage ?
Le hameçonnage est le type de mail frauduleux le plus fréquent et peut-être le plus efficace. Il existe néanmoins quelques méthodes pour distinguer le vrai du faux avec quasi-certitude.
En prenant mon temps
Les tentatives d’hameçonnage créent souvent un sentiment d’urgence afin de vous faire agir rapidement et de manière irréfléchie. Offres exceptionnelles à durée très limitée, achats que vous n’avez pas réalisés, problème de sécurité qui pourrait vite empirer… Ces mails font planer l'ombre d'une menace ou d'une perte si vous n’agissez pas dès la lecture du mail.
Avant de suivre les instructions d'un mail, lisez le dans on intégralité, et prenez tout le temps qu’il vous faut pour réfléchir, débusquer des erreurs, vérifier ses dires ou demander de l’aide.
Ce faux mail d'Amazon menace de prendre en otage mon compte et mes commandes si je ne suis pas ses instructions rapidement.
L'objet de ce mail d'Apple semble m'informer de l'expédition d'achats que je n'ai pas réalisés. De manière contradictoire, le reste du mail m'enjoint à saisir mes informations personnelles suite à un problème de sécurité.
Si l'expéditeur de ce mail a indiqué en identité une adresse Paypal apparemment légitime, en vert, sa véritable adresse mail est surlignée en bleu. Le véritable PayPal est également destinataire pour renforcer l’illusion, en violet.
En vérifiant l'adresse de l'expéditeur
Les tentatives d’hameçonnage se font le plus souvent avec des adresses mail à usage unique, qui sont rapidement fermées ou mises sur liste noire. Celles-ci n’ont souvent rien à voir avec les entreprises qu’elles imitent.
Ne vous fiez pas à l'identité de l'expéditeur (son nom, prénom ou titre). Cette information est distincte de l'adresse mail et modifiable à l'envie. Déroulez, cliquez ou survolez sur l'identité de l'expéditeur pour consulter son adresse mail. Une adresse mail peut parfois être renseignée comme identité. Assurez-vous toujours qu'identité et adresse mail concordent.
Il est néanmoins possible de falsifier une adresse mail, en abusant des protocoles qui régissent l'envoi de mails ou par ce que la véritable adresse mail est contaminée. Certaines tentatives de hameçonnage particulièrement bien ficelées peuvent également utiliser des adresses qui incluent le nom de l’entreprise imitée. Si le moindre doute persiste, examinez le reste du mail.
Ce mail frauduleux imitant la Société générale fait apparaître le nom de la banque dans son adresse, mais sa longueur et sa conclusion en .com sont suspicieuses.
En vérifiant le contenu du mail
Ne vous fiez pas aux apparences. Il est très facile d’imiter ou de copier les éléments graphiques d’une entreprise, et l’aspect de certains mails frauduleux peut induire en erreur. Néanmoins, si le mail contient des fautes d’orthographes, de grammaire ou de syntaxe évidentes, le doute est plus que permis.
Si vous êtes clients d’une entreprise ou usager d’un service public, ceux-ci disposent très probablement de votre nom et prénom ou de votre pseudonyme d’usage. Un mail ne contenant pas ces informations ou qui utilise votre adresse mail à leur place est probablement un faux.
En vérifiant la destination des liens
Les liens hypertextes sont des éléments de texte renvoyant vers une page web quand vous cliquez dessus. Sur ordinateur, vous pouvez les survoler du pointeur de la souris pour savoir où ils mènent sans avoir à les ouvrir. L'adresse de destination s'affichera alors dans le coin inférieur gauche de la fenêtre. Sur smartphone et tablette, vous pouvez exercez une pression longue sur le lien, même si les informations affichées risquent de varier.
Tout comme les adresses d’expédition, les liens utilisés par les mails frauduleux sont souvent incongrus et sans rapport avec le sujet du message. Attention à l’excès de confiance ! L’apparition d’un nom connu dans une adresse web ne signifie pas forcément un site authentique. Les malfaiteurs peuvent utiliser plusieurs techniques pour induire l'erreur. Au moindre doute, continuez votre enquête.
Un faux mail des Finances publiques. Si l'adresse mail d'expédition semble parfaitement authentique (1.), je peux me demander pourquoi un tel organisme ne connaît pas mon nom et prénom (2.). Le lien incongru vers le formulaire de remboursement (3.), qui ne mentionne ni impôts ni Finances publiques, achève de me mettre la puce à l'oreille. Si j'ai encore un doute, la grammaire du mail s'effondre vers sa fin (4.), et passe même à l'anglais (5.).
Cliquer sur le lien du faux mail des Finances publiques me renvoie vers une page web à l'adresse et à l'habillage plus crédible, ce qui risque de m'induire encore plus en erreur.
En allant vérifier par moi-même
Si vous n’êtes toujours pas entièrement certain d’avoir reçu un mail authentique ou une contrefaçon frauduleuse, ne cliquez toujours pas sur les liens proposés, qui risquent de vous renvoyer vers une imitation convaincante ou de vous exposer à des menaces informatiques.
Utilisez un moteur de recherche de confiance comme Google, Qwant ou DuckGoGo pour vous rendre sur le véritable site web de l’entreprise ou de l'organisation qui dit vous avoir contacté. Identifiez-vous et vérifiez les dires du mail dans votre espace personnel. Dans le cas d'un proche ou d'un contact professionel, contactez-les par un autre biais que leur adresse mail, par téléphone par exemple.
À l'inverse, une recherche rapide me renvoie sur le véritable site des Finances publiques (impots.gouv.fr). Celui-ci m'indique catégoriquement que je n'ai pas de démarches à suivre pour percevoir un remboursement.
3. Comment réduire l’impact des mails frauduleux ?
Faire le vide dans votre boîte mail
Vous désinscrire du courrier automatisé permet de réduire le nombre de sollicitations que vous recevez. Suivez le lien « me désinscrire » ou « gérer mes options d’abonnement » en bas des mails automatisés auxquels vous êtes légitimement inscrits : magasins, sites webs, journaux... Les formulaires de désinscription ne doivent pas vous demander d’informations supplémentaires.
L’article L34-5 du Code des postes et des communications électroniques oblige chaque newsletter à contenir une option vous permettant de vous désinscrire. Encore faut-il que ces communications se plient à la loi française.
La plupart des webmails et clients mail permettent de créer des règles, qui permettent de classer automatiquement un mail répondant à certains critères comme courrier indésirable. Par exemple, le remboursement des impôts est effectué automatiquement ou par chèque postal. Ainsi, tout mail contenant l’expression « remboursement impôts » est probablement une tentative de hammeçonnage.
Compartimenter ses identifiants
Un mot de passe est comme une clé ouvrant une porte. Plus une seule clé ouvre de portes différentes, plus sa perte ou son vol est embarassant. Si vous utilisez le même mot de passe sur plusieurs sites web, plusieurs de vos comptes peuvent ainsi être compromis par une seule tentative de hameçonnage réussie.
Pour réduire l’impact potentiel de ces vols, utilisez un mot de passe différent pour chaque site. Insérez un mot en rapport avec le site mais distinct de son nom dans votre mot de passe. Utilisez un gestionnaire comme KeePass pour générer des mots de passe uniques et résistants et les regrouper dans un fichier inaccessible sans le mot de passe principal.
Cette adresse mail figure dans 9 fuites de données recensées par Have I Been Pwned. Elle présente donc un problème de sécurité majeur en risquant de recevoir de nombreux mails frauduleux.
Pourquoi je reçois des mails frauduleux ?
Lorsque vous vous inscrivez sur un site web ou que vous effectuez un achat en ligne, vous communiquez des informations personnelles : votre adresse mail, votre mot de passe, votre nom et prénom, etc. Ces informations sont stockée dans une base de données à l’usage unique du site. Néanmoins, une personne non autorisée peut accéder à la base : piratage, employé mécontent, mauvaise manipulation... On parle alors de "fuite de données". Ces données fuitées peuvent alors être vendues, échangées ou rendues publiques pour être exploitées par des acteurs malveillants, notamment dans des campagnes de mails frauduleux.
Une partie de ces informations, notamment les mots de passe et les coordonnées bancaires, est chiffrée et normalement illisible par les malfaiteurs. Néanmoins, les données lisibles sont suffisantes pour créer des envois automatisés de mails frauduleux à des milliers d’adresses mail, parfois enrichis d’informations personnelles volées pour paraître plus vrais.
Le site web anglophone Have I Been Pwned vous permet de voir si votre adresse mail figure dans les fuites recensées, ainsi que de savoir quelles autres informations personnelles y sont attachées. La section « Passwords » vous permet également de tester votre mot de passe. Si votre adresse mail ou votre mot de passe testent positifs, il est vivement recommandé d’en changer : on dit alors que ceux-ci sont « compromis », et ils ne garantissent plus votre sécurité.
Multiplier les boîtes mail
Votre adresse mail est visée par des courriers frauduleux car elle est présente dans une base de données fuitée, peut-être du fait d'un site web que vous n'avez utilisé que quelques fois il y a longtemps. Pour ne pas risquer votre adresse mail à chaque nouvelle inscription sur un site web ou en magasin, créez une adresse mail « jetable » chez des hébergeurs gratuits comme Gmail, Outlook.com ou Laposte.net (voir le résumé d'atelier Créer une boîte mail" de la Médiathèque).
Profitez-en également pour créer des adresses séparées pour vos activités personnelles, professionnelles et vos hobbys, qui vous permettront de mieux vous repérer dans vos échanges.
Rester au top de la sécurité informatique
Garder les logiciels que vous utilisez à jour permet de résoudre des failles de sécurité qui auraient pu être exploitées par des logiciels malveillants. Trois points sont à surveiller en particulier : votre système d’exploitation, votre logiciel antivirus et votre navigateur web.
Le système d’exploitation est le logiciel le plus basique de votre ordinateur, sur lequel tout repose : Windows, macOS, distribution Linux... C’est donc le plus visé par de potentielles menaces informatiques. Attention, Windows 7 n’est plus suivi depuis janvier 2020, et ne recevra plus de mises à jour.
Un logiciel antivirus fonctionne en comparant les fichiers et programmes présents sur votre ordinateur avec une base de données des logiciels malveillants connus. En mettant à jour votre antivirus, cette base de donnée est actualisée et votre ordinateur est protégé contre les nouvelles menaces.
Le web peut être un vecteur de menaces informatiques : fenêtres intrusives, téléchargement non consentis, domaines falsifiés... Les navigateurs web sont fréquemment mis à jour pour répondre à ces problèmes de sécurité. Profitez-en également pour installer des extensions de protection comme NoScript et HTTPS Everywhere.
Microsoft, « Comment sauvegarder ou transférer vos données sur un ordinateur Windows », https://support.microsoft.com/fr-fr/help/971759/how-to-back-up-or-transfer-your-data-on-a-windows-based-computer
Sauvegarder ses fichiers
Certains logiciels malveillants peuvent bloquer l'accès à votre ordinateur, voire effacer les données enregistrées sur le disque dur. Pour ne pas perdre définitivement ces données, réalisez fréquemment une sauvegarde de vos fichiers sur un support de stockage externe : clé USB, disque dur externe, DVD gravé... Windows dispose d’une fonctionnalité de sauvegarde, « Sauvegarder ou restaurer des fichiers », afin d’automatiser l’opération et la mise à jour de votre copie. Cette opération permet également de mettre vos données à l’abri d’une erreur de manipulation ou d’une panne matérielle.
Conclusion
Que faire si je suis victime d’un mail frauduleux ?
Etre victime d’un mail frauduleux n’est pas une honte. Nous sommes aujourd’hui tellement sollicités en ligne qu’il est difficile d’être toujours sur ses gardes.
Pour un cas de hameçonnage, faites immédiatement opposition à votre carte bancaire. Changez également votre mot de passe sur le site web hameçonné et tous les autres sites où vous l'utilisez. Conservez les preuves et portez plainte en commissariat de police. Vous pouvez également vous rendre en agence bancaire pour demander le remboursement d’un paiement non autorisé, soumis à l’approbation de la banque.
Le site Cybermalveillance.gouv.fr vous aide à définir une marche à suivre après avoir été victime d’un acte malveillant sur internet. Le service de pré-plainte en ligne du Ministère de l’Intérieur vous permet de déclarer les faits avant de porter plainte en commissariat.
François Manens, Numerama, « 450 € de remboursement par l’Assurance maladie ? Nous sommes allés au bout de cette arnaque par SMS bien huilée », https://cyberguerre.numerama.com/5497-450-e-de-remboursement-par-lassurance-maladie-nous-sommes-alles-au-bout-de-cette-arnaque-par-sms-bien-huilee.html
En résumé
Une nouvelle mode se développe, le hameçonnage par SMS, comme le rapporte fréquemment le site Numerama. Les ficelles utilisées sont les mêmes que par mail : usurpation de l'identité d'une grosse entreprise, sentiment d’urgence… Le phénomène est aggravé par le fait que nous consultons souvent nos téléphones en étant pressés et peu disponibles. Néanmoins, ces SMS sont identifiables avec les mêmes techniques que les courriers électroniques frauduleux : formulation hésitante, adresse web confuse, en vérifiant par soi-même...
Pour résumer, voici quelques conseils à garder en tête pour repérer les mails frauduleux :
1. Je ne fais pas confiance à qui que ce soit avant d’avoir lu leur message en détail,
2. Je ne me laisse pas intimider par des menaces et des alertes ou séduire par des offres alléchantes,
3. Je prends mon temps pour bien examiner l’adresse de l’expéditeur et les liens hypertextes (sans cliquer dessus),
4. Je compartimente mes boîtes mails et mes mots de passe, et je fais des copies de mes documents pour réduire l’impact possible des malfaiteurs,
5. Je n’hésite pas à demander de l’aide à une personne de confiance, surtout si je pense avoir été victime d’un mail frauduleux.
Pour aller plus loin
• Cybermalveillance.gouv.fr, « L’hameçonnage (phishing) », https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/hameconnage-phishing
• Cybermalveillance.gouv.fr, « Assistance aux victimes de cybermalveillance », https://www.cybermalveillance.gouv.fr/diagnostic
• Julien Cadot, Numerama, « Comment créer un bon mot de passe sécurisé et un bon code pour votre smartphone », https://www.numerama.com/tech/224993-comment-creer-un-mot-de-passe-securise.html
• François Manens, Numerama, « 2 € pour recevoir un colis ? On a mordu à un SMS de phishing pour vous expliquer cette arnaque », https://cyberguerre.numerama.com/2810-2-e-pour-recevoir-un-colis-on-a-mordu-a-un-sms-de-phishing-pour-vous-eviter-de-le-faire.html
• Julien Cadot, Numerama, « Logiciel de sauvegarde : comment faire une sauvegarde de ses fichiers, cours et travaux sur PC et Mac », https://support.microsoft.com/fr-fr/help/971759/how-to-back-up-or-transfer-your-data-on-a-windows-based-computer
• Les ateliers Pauses Numériques à venir à la Médiathèque de Mâcon