Phishing: se protéger avec ces conseils de l’expert en cybersécurité
Ivan Bütler, expert en cybersécurité et pirate éthique, s’y connaît en phishing. Dans une interview, il nous explique comment fonctionne le phishing et comment s’en prémunir. La vidéo vous dévoile aussi d’autres faits et ainsi que des astuces pour vous prémunir contre cette arnaque.
Le phishing ne cesse de se professionnaliser. Mais quelques règles permettent déjà de bien se protéger contre le vol de données et l’utilisation frauduleuse des cartes de crédit. Ivan Bütler est expert en cybersécurité. Dans une interview, il nous explique tout sur le phishing et sur la manière de s’en prémunir au mieux.
Ivan Bütler, qu’est-ce au juste que le phishing?
Le phishing est une expression créée à partir des mots «password» et «fishing». Les cybercriminels recourent le plus souvent à cette technique pour tenter d’accéder au mot de passe d’un utilisateur en créant un site Internet visuellement identique au site Internet original et en invitant la victime potentielle à saisir son mot de passe sur ce site Internet de phishing. Si la personne tombe dans le piège, le pirate entre en possession du mot de passe et peut s’en servir pour se connecter sur le véritable site Internet.
Mais pourquoi les pirates recourent-ils au phishing?
Pour pouvoir lire les e-mails de quelqu’un ou accéder à des données de cartes de crédit, le pirate a besoin du mot de passe correspondant. S’il tente de saisir de nombreux mot de passe connus au moyen d’un outil de piratage, sa tentative va être détectée et le compte sera (temporairement) bloqué. C’est exactement comme avec votre tablette ou votre smartphone: si vous saisissez dix fois un mot de passe erroné, votre appareil va se retrouver bloqué pendant un certain temps. Pour éviter tout verrouillage, les pirates ont inventé les sites de phishing.
Depuis quand le phishing existe-t-il?
Les premières attaques par phishing remontent à 1995. En 2002, j’ai personnellement réalisé la première attaque par phishing sur un système d’e-banking dans le cadre d’un test d’intrusion. A l’époque, les systèmes d’e-banking étaient encore vulnérables, mais aujourd’hui, leurs concepteurs misent sur l’authentification à plusieurs facteurs. Un simple mot de passe ne suffit plus pour se connecter.
Voici comment vous protéger contre le phishing
Une attaque par phishing exploite la naïveté de l’utilisateur. Veillez donc à ne jamais cliquer sur un lien transmis par e-mail ou via SMS pour accéder au site Internet de Viseca ou d’une banque. L’idéal est de toujours saisir soi-même l’adresse correspondante dans le navigateur.
- Si un avertissement comme celui ci-dessus apparaît, ne cliquez plus. Il se peut qu’il s’agisse d’une tentative de phishing.
- Vérifiez toujours la présence du «s» dans https://. Un site Internet dont l’adresse débute par http:// (sans s) est certainement un site de phishing.
- Utilisez des mots de passe différents pour vos différents systèmes. Un gestionnaire de mots de passe vous permettra de les organiser au mieux.
Le phishing est-il une pratique répandue?
Le phishing est l’une des principales méthodes employées par les cybercriminels. Ils achètent généralement les données de connexion hameçonnées auprès de tiers, par exemple à des entreprises qui mènent des attaques par ransomware. Ce type d’attaque consiste à chiffrer les données des victimes pour ensuite les extorquer par chantage. 85 % des attaques par ransomware sont perpétrées à partir de données de connexion volées. Les cybercriminels recourent plutôt au phishing pour s’introduire plus profondément dans un réseau ou pour faire chanter des personnes.
Comment le phishing a-t-il évolué au cours des dernières années?
Si par le passé, les e-mails de phishing étaient rédigés dans un français approximatif, les cybercriminels utilisent désormais ChatGPT ou d’autres formes d’intelligence artificielle pour lancer des attaques par phishing particulièrement réalistes et rédigées dans un français parfait. Les attaques sont également lancées par SMS et, depuis peu, au moyen d’invitations Microsoft Teams.
Le smartphone n’est pas non plus protégé à 100% contre les attaques?
Les utilisateurs de smartphones sont régulièrement invités à charger une «appli de sécurité», mais celle-ci sert avant tout à permettre l’attaque par phishing. Sur le smartphone, le pirate peut exploiter le fait que les URL ne sont généralement pas affichées par les applications. Ainsi, la victime potentielle ne peut pas voir que l’application communique avec un site tiers frauduleux.
Comment reconnaître de manière rapide et fiable un message de phishing?
Les attaques par phishing tentent de vous attirer sur un site Internet factice. Il est donc essentiel de parvenir à distinguer le faux site Internet du véritable site original. Si le site Internet vous est transmis par e-mail, tenez compte de ce qui suit:
- Viseca ou une banque ne contacte jamais ses clients par e-mail pour les inviter à faire quelque chose. De même, il ne vous sera jamais demandé d’accéder à une page de connexion via un lien.
- Méfiez-vous d’une urgence inutile assortie d’une demande d’action rapide, par exemple en raison du blocage d’un envoi ou d’un compte.
- Si vous placez votre curseur sur le lien repris dans l’e-mail sans cliquer dessus, l’adresse s’affiche. Les sites Internet de phishing présentent une URL étrange.
- Si vous découvrez un site de phishing, vous pouvez le signaler à l’Office fédéral de la cybersécurité (OFCS): www.antiphishing.ch
Que faire si je suis tombé dans le piège du phishing?
Si vous n’avez pas seulement cliqué sur un lien de phishing, mais avez également saisi votre mot de passe sur le site de phishing, modifiez immédiatement le mot de passe. Idéalement, effectuez le changement sur tous les systèmes où vous avez utilisé ce mot de passe. Dans un second temps, signalez le site de phishing à l’Office fédéral de la cybersécurité (OFCS) pour éviter que d’autres victimes ne tombent dans le piège.
Ivan Bütler, spécialiste en cybersécurité
Ivan Bütler est expert en cybersécurité, pirate éthique et cofondateur Compass Security AG, une entreprise spécialisée depuis 1999 dans le piratage éthique, les tests d’intrusion et la réponse aux incidents. Il est également le fondateur du Hacking-Lab, une plate-forme en ligne de hacking éthique qui rassemble plus de 100 000 utilisateurs. Il enseigne également la cybersécurité et le hacking dans différentes hautes écoles.
Qu’est-ce au juste que le piratage éthique?
On parle de piratage éthique lorsqu’une entreprise demande à une autre entreprise d’identifier les éventuels points faibles de son système. Le pirate éthique examine alors s’il peut accéder à des documents confidentiels, voire secrets. Il ne les vole bien sûr pas, mais signale les points faibles au client.
Y a-t-il une cyberattaque récente qui vous a surpris en tant qu’expert?
Des surprises techniques, j’en rencontre chaque semaine. Notamment en ce qui concerne la bonne organisation des cybercriminels, la manière dont ils se répartissent les tâches et leur professionnalisme. Le phishing n’est pas une pratique réservée au nerd négligé, qui campe dans sa cave devant son ordinateur avec un soda dans une main et une casquette vissée sur la tête; les attaques sont plutôt perpétrées par des organisations professionnelles, composées de spécialistes pour chaque aspect de la fraude.