Chaque jour, vous recevez probablement des dizaines de courriels. Parmi eux, combien sont des tentatives d'hameçonnage (phishing) ? La réponse pourrait vous surprendre : probablement plusieurs.
Le phishing est devenu la technique d'attaque la plus utilisée par les cybercriminels. Pourquoi ? Parce qu'elle fonctionne. Non pas à cause d'une faille technique, mais parce qu'elle exploite la confiance humaine.
Les chiffres qui font peur3,4 milliards de courriels de phishing envoyés CHAQUE JOUR 90% des cyberattaques commencent par un courriel de phishing 32% des courriels de phishing sont ouverts par les victimes 8% cliquent sur le lien malveillant |
1. Le Phishing
Le terme "phishing" vient de "fishing" (pêche en anglais). Comme un pêcheur lance son hameçon dans l'eau en espérant qu'un poisson morde, les cybercriminels envoient des milliers de courriels frauduleux en espérant que quelques victimes "mordent à l'hameçon".
Concrètement, le phishing est une technique de fraude qui consiste à se faire passer pour un organisme de confiance (banque, administration, entreprise connue) afin de :
- Voler vos identifiants (login, mot de passe)
- Obtenir vos informations bancaires
- Installer un logiciel malveillant sur votre ordinateur
- Vous faire payer de l'argent
2. Les Différentes Techniques de Phishing
Courriel Phishing (Classique)
C'est la forme la plus courante. Vous recevez un courriel qui semble provenir d'une source légitime.
Exemple typique :
|
De : Objet : URGENT - Votre compte sera suspendu Cher client, Nous avons détecté une activité suspecte sur votre compte. Votre compte sera suspendu sous 24h si vous ne confirmez pas vos informations. Cliquez ici pour vérifier : http://amazon-secure.tk/verify Cordialement, L'équipe Amazon |
Indices de fraude : Le 0 remplace le 'o' dans amazon, domaine .tk suspect, urgence artificielle, lien frauduleux.
Smishing (SMS Phishing)
Le phishing par SMS est en forte croissance. Les attaquants exploitent notre confiance dans les messages texte.
Exemples courants :
- "Votre colis est en attente. Frais de livraison 2,99€ : bit.ly/xxxxx"
- "Votre compte CPF : 2800€ disponibles. Cliquez pour utiliser : xxx.com"
- "Impôts : Remboursement de 347€. Validez vos coordonnées bancaires : xxx.fr"
Spear Phishing (Harponnage Ciblé)
Version ultra-personnalisée du phishing. L'attaquant effectue ses recherches sur vous (réseaux sociaux, LinkedIn, etc.) pour créer un message crédible.
Exemple :
|
L'attaquant sait que vous travaillez chez Entreprise X, que votre directeur s'appelle M. Dupont, et qu'un projet important est en cours. Courriel reçu : "De : |
Taux de réussite du spear phishing : jusqu'à 70% (contre 3% pour le phishing classique).
Vishing (Voice Phishing)
L'hameçonnage par téléphone. L'attaquant vous appelle en se faisant passer pour votre banque, un service technique, etc.
Scénario classique :
"Bonjour, Service Sécurité de votre banque. Nous avons détecté une transaction suspecte de 850€ sur votre compte. Pour l'annuler, pouvez-vous me confirmer le code de sécurité que vous venez de recevoir par SMS ?"
Attention : Votre banque ne vous demandera JAMAIS vos codes de sécurité par téléphone.
3. L'Évolution du Phishing avec l'Intelligence Artificielle
L'arrivée de l'IA générative (ChatGPT, etc.) a révolutionné le phishing. Les attaquants peuvent maintenant créer des messages parfaits en quelques secondes.
Avant vs Maintenant
|
AVANT (2015-2020) |
MAINTENANT (2024+) |
|
Courriels génériques et impersonnels |
Courriels ultra-personnalisés avec votre nom, entreprise, contexte |
|
Fautes d'orthographe nombreuses |
Textes parfaits, grammaire irréprochable (IA) |
|
Sites web grossiers, mal conçus |
Copies pixel-perfect des vrais sites |
|
Appels avec accent étranger |
Deepfake audio imitant la voix de votre patron |
Nouvelles Menaces IA
- Deepfake Audio : Clonage de la voix du PDG pour demander un virement urgent
- Deepfake Vidéo : Visioconférence avec un faux directeur (cas réels en 2024)
- Génération Automatique : Milliers de courriels personnalisés créés en quelques minutes
- Analyse des Réseaux Sociaux : IA qui collecte automatiquement vos informations personnelles
4. Comment Détecter une Tentative de Phishing ?
Même avec l'IA, il reste des indices pour repérer le phishing. Voici 10 signes d'alerte à surveiller :
|
LES 10 SIGNES D'ALERTE • 1. Urgence Artificielle - "Agissez maintenant ou votre compte sera fermé !" • 2. Expéditeur Suspect - Vérifiez le vrai domaine : amaz0n.com vs amazon.com • 3. URL Bizarre - Survol du lien révèle : amaz0n-secure.ru au lieu de amazon.fr • 4. Fautes d'Orthographe - (De moins en moins fiable avec l'IA) • 5. Demande d'Argent - Aucune entreprise légitime ne demande paiement par courriel • 6. Offre Trop Belle - "Vous avez gagné 5000€" (sans avoir participé à rien) • 7. Pièce Jointe Inattendue - Surtout .exe, .zip, .scr (même déguisés en PDF) • 8. Demande de Mot de Passe - AUCUN service ne demande votre MDP par courriel • 9. Mauvais Destinataire - Courriel groupé "Cher client" au lieu de votre nom • 10. Absence de HTTPS - Site sans cadenas = danger immédiat |
Technique de Vérification : Survoler SANS Cliquer
Astuce simple mais efficace : passez votre souris sur le lien SANS cliquer. L'URL réelle s'affiche en bas de votre navigateur.
Exemple :
- Texte du lien : "Cliquez ici pour vérifier votre compte Amazon"
- URL réelle (en survolant) : http://amaz0n-secure.ru/login.php
- Indices : Domaine .ru (Russie), 0 au lieu de o, "secure" ajouté pour tromper
5. Exemples Réels : Saurez-vous Détecter le Phishing ?
Voici 5 exemples inspirés de vraies tentatives de phishing. À vous de jouer !
Exemple 1 : Courriel Amazon
|
De : |
LÉGITIME ou PHISHING ?
|
RÉPONSE : LÉGITIME Analyse : • ✓ Domaine officiel : @amazon.fr • ✓ Numéro de commande précis et long (format Amazon) • ✓ Pas d'urgence ni de demande d'action • ✓ Orthographe correcte, ton professionnel |
Exemple 2 : Courriel Banque Postale
|
De : |
LÉGITIME ou PHISHING ?
|
RÉPONSE : PHISHING ! Analyse : • Domaine FAUX : banque-postale.com (vrai = labanquepostale.fr) • Demande de code Certicode par courriel (JAMAIS fait par les banques) • URL suspecte : validation-certicode-lbp.com (pas le vrai domaine) • Urgence artificielle : "expire dans 24h" Objectif : Voler votre code 2FA pour vider votre compte |
6. Comment se Protéger du Phishing ?
Les Bonnes Pratiques Essentielles
1. TOUJOURS Vérifier l'Expéditeur
- Ne regardez pas juste le nom affiché, vérifiez le VRAI domaine courriel
- Exemple : "Amazon <
Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser. >;" → le 0 remplace le 'o' = FAUX
2. Survoler les Liens AVANT de Cliquer
- Passez la souris sur le lien sans cliquer
- L'URL réelle apparaît en bas du navigateur
- Si elle ne correspond pas au site officiel → NE PAS CLIQUER
3. Méfiez-vous de l'Urgence
Les vrais organismes ne créent PAS d'urgence artificielle. Si un courriel vous presse d'agir "IMMÉDIATEMENT" ou "sous 24h", c'est probablement du phishing.
4. En Cas de Doute : Contact Direct
- NE PAS utiliser les coordonnées du courriel suspect
- Appeler le numéro officiel (trouvé sur le site web officiel ou votre carte bancaire)
- Ou vous connecter manuellement au site (en tapant l'URL vous-même)
5. Vérifier HTTPS et le Cadenas
Tout site demandant des informations sensibles DOIT avoir HTTPS (cadenas dans la barre d'adresse). MAIS attention : les attaquants peuvent aussi avoir HTTPS. Ce n'est donc qu'un premier filtre.
6. Activer l'Authentification à 2 Facteurs (2FA)
Même si les attaquants volent votre mot de passe via phishing, la 2FA ajoute une couche de protection. Activez-la partout où c'est possible : courriel, banque, réseaux sociaux.
7. Signaler le Phishing
En France, signalez les tentatives de phishing sur :
- Signal Spam : https://signal-spam.fr
- Phishing Initiative : https://phishing-initiative.fr
- Cybermalveillance : https://cybermalveillance.gouv.fr
7. Conclusion : La Vigilance est Votre Meilleure Défense
Le phishing n'est pas une attaque technique complexe. C'est une attaque psychologique qui exploite notre confiance, notre empressement, et parfois notre peur.
La bonne nouvelle ? Vous êtes maintenant armés pour vous défendre. Vous connaissez les techniques, les signes d'alerte, et les bonnes pratiques.
Les 3 Règles d'Or
|
LES 3 RÈGLES D'OR ANTI-PHISHING 1. DOUTER Un courriel suspect ? Une demande inhabituelle ? DOUTEZ. C'est normal et sain. 2. VÉRIFIER Expéditeur, URL, domaine. Prenez 10 secondes pour vérifier. Cela peut vous sauver. 3. RALENTIR L'urgence est l'arme du phishing. Si c'est vraiment important, cela peut attendre 5 minutes. |
N'oubliez pas : aucune banque, aucune administration, aucun service légitime ne vous demandera JAMAIS vos mots de passe ou codes de sécurité par courriel, SMS ou téléphone.
Partagez cet article avec vos proches, vos collègues, vos amis. Plus nous serons nombreux à connaître ces techniques, moins le phishing sera efficace. Restez vigilants !
Notes de la réunion du 13/02/2026