Top

L’hameçonnage

 L' hameçonnage (aussi appelé “phishing”) est un des dangers les plus récurrents sur internet. C’est une technique frauduleuse qui consiste en l’utilisation d'ingénierie sociale pour tromper des victimes. Ces victimes sont quant à elles insouciantes du danger qui les entoure, et divulguent des informations sensibles telles que des numéros de cartes bancaires, des mots de passe de divers comptes, et même des informations personnelles relatives à l'identité de la victime. Les victimes ont plusieurs profils, elles peuvent être des personnes lambda à qui le l’hameçonneur voudrait voler de l’argent, mais elles peuvent aussi être des personnes ayant un rôle stratégique. En fonction de la victime escomptée, l'hameçonneur peut utiliser plusieurs techniques, dont le harponnage, le clonage, l'arnaque nigériane, ou encore l'hameçonnage téléphonique.

 Le harponnage est la variante personnalisée de l’hameçonnage. Dans ce cas, le responsable de l’attaque a pour but d'être le plus efficace possible. Pour ce faire, il doit connaître sa victime de façon personnelle. Par exemple, s’il veut avoir accès à un ordinateur d’un cadre d'une entreprise importante, il peut usurper l'identité d’un autre cadre de cette même entreprise pour faire croire à la victime que le mail ou SMS envoyé provient bel et bien d’un collègue. Insouciante, la victime ouvre le mail ou SMS, interagit avec son contenu, et se fait effectivement pirater. Pour que cette technique marche, le pirate doit connaître la victime au mieux, de sorte à ce que son mail ou SMS soit réaliste et trompe la victime.

 Le clonage est une technique similaire aux hameçonnages. Elle nécessite aussi une usurpation d'identité. La différence est que dans ce cas, le pirate fait plutôt une réplique d'un mail ou SMS légitime déjà envoyé à la victime, et remplace le contenu du message avec du contenu dangereux.

 L’arnaque nigériane est une autre façon d'hameçonner une victime. Elle consiste à se faire passer pour un prince nigérian ou autre haut cadre/responsable du pays, et à demander de l’argent à la victime pour quelconque raison. Un exemple peut-être que le soi-disant prince a besoin d’argent pour rentrer dans son pays et réclamer ses richesses. Il demande des informations bancaires à la victime, et lui promet de multiplier l’argent qui lui renverra à son arrivée dans le pays.

 L'hameçonnage téléphonique est différent des méthodes classiques car celui-ci requiert l’utilisation des capacités vocales du pirate. Un hameçonnage téléphonique est donc généralement un appel téléphonique venant d’une personne se faisant passer pour quelqu’un qu’il/elle n’est pas, dans le but d'acquérir des informations de valeur de la victime. Le pirate tente d’imiter une source de confiance, tel qu’un officier de la banque de la victime.

 L’hameçonnage est la technique la plus simple de piratage et ne demande pas de capacités professionnelles particulières. Cependant, elle fait partie des attaques les plus dangereuses, et est toujours très utilisée par les pirates. En quelques secondes, les comptes bancaires des victimes peuvent être vidés. Leur vie privée et leur anonymat peuvent être violés, et elles peuvent même se retrouver face-à-face avec la justice pour des actes qu’elles n’ont pas commis.

 Pour se protéger contre cette pratique, il faut faire attention à bien garder ses informations personnelles et ne pas les divulguer à n'importe qui. Il s’agit de bien examiner d'où les mails proviennent; de vérifier si possible que la personne à qui l’on s’adresse est effectivement de confiance; ou d’utiliser des logiciels tels que les anti-spam. Il faut se méfier des messages ayant un ton anxiogène, des liens et/ou pièces jointes suspectes.

 En pratique, il ne faut jamais cliquer sur des liens dont le contenu est inconnu, n'accéder qu'à des sites HTTPS, vérifier les certificats de sécurité des sites, et n’ouvrir des mails que de contacts que l'on connaît.

 Il est important de savoir que l’hameçonnage ne comporte pas qu’une infraction. Il en englobe plusieurs, dont l’usurpation d'identité; l’escroquerie; la collecte de données à caractère personnel par un moyen frauduleux, déloyal, ou illicite; l'accès frauduleux à un système de traitement automatisé de données; la contrefaçon et l’usage frauduleux de moyen de paiement; et la contrefaçon des marques. Ces infractions relèvent du code du numérique; du Code pénal; du code monétaire et financier, et des lois relatives à la propriété intellectuelle. Elles sont punies de plusieurs années de prison qui sont accompagnées par des amendes lourdes.

logo bottom
Contact
  • Immeuble Fawaz, Rue des cheminots, Cotonou
  • (+229) 21 36 87 20
  • contact@anssi.bj
Liens utiles
Restons en contact

Suivez-nous à travers nos différents canaux digitaux