Cybersécurité

Phishing : définition, méthodes et moyens de protection

Julien Fournari
Par 
Julien Fournari
SEO & Growth Manager
Dernière mise à jour le 
4
 
July
 
2024
Reconvertissez-vous dans la Cybersécurité et donnez un tournant à votre carrière !
Se former en Cybersécurité
Phishing : définition, méthodes et moyens de protection
Sommaire
Sélectionnez un chapitre

Le phishing, ou hameçonnage, est aujourd’hui l’une des cyberattaques les plus répandues, et menace aussi bien les entreprises que les particuliers. Derrière ce terme se cache une technique d’ingénierie sociale d’apparence redoutablement simple, mais pourtant diablement efficace : les hackers vous envoient des mail ou des SMS frauduleux, dans lesquels ils usurpent l’identité de tiers de confiance pour vous pousser à tomber dans le piège.

Dans cet article, vous comprendrez comment fonctionne le phishing et apprendrez à reconnaître l’hameçonnage pour mieux vous en protéger. Bonne lecture !

Reconvertissez-vous dans la Cybersécurité et donnez un tournant à votre carrière !
Se former en Cybersécurité
Formation
Boostez votre carrière : formez-vous en Cybersécurité
Formation CybersécuritéFormation Cybersécurité

Qu’est-ce que le phishing (ou hameçonnage) ?

Le phishing, ou hameçonnage en français, est une technique d’arnaque visant à dérober vos données personnelles (coordonnées bancaires, identifiants de connexion, mots de passe…) ou à installer un logiciel malveillant sur votre ordinateur. Pour cela, les cybercriminels créent un leurre dans lequel ils tentent de se faire passer pour un tiers de confiance (votre banque, un service administratif, une plateforme à laquelle vous êtes abonné, ou même votre employeur). L’objectif de ce leurre est simple : vous pousser à cliquer sur un lien malveillant, à divulguer vos données personnelles ou encore à télécharger une pièce jointe infectée.

Les hackers utilisent des vecteurs variés pour propager leurs attaques : emails, mais aussi SMS, appels téléphoniques, voire même messages sur les réseaux sociaux.

Mais comment parviennent-ils à être convaincants ? Pour cela, il faut comprendre que le phishing appartient à la catégorie des cyberattaques par ingénierie sociale. Les hackers exploitent la psychologie humaine pour gagner votre confiance ou susciter un sentiment d’urgence. Leur but ? Exploiter vos réflexes émotionnels pour vous faire tomber dans leur piège.

Quelle est l’histoire du phishing ?

Le phishing a commencé à vraiment se développer dès lors qu’Internet est devenu accessible au grand public dans les années 1990. Les premières attaques ciblaient alors AOL, une plateforme incontournable à l’époque. Les pirates se faisaient passer pour ses administrateurs, et envoyaient des messages à ses utilisateurs en prétendant devoir vérifier les informations de leur compte. La cybersécurité émergeant à peine, leurs victimes tombaient facilement dans le piège et partageaient leurs véritables informations sans se poser de questions.

Depuis, les techniques de spoofing, utilisées dans l’hameçonnage, n’ont cessé d’évoluer : usurpation d’identité, faux sites web qui ressemblent comme deux gouttes d’eau aux originaux, messages de plus en plus personnalisés… Résultat : le phishing est aujourd’hui l’une des cyberattaques les plus populaires, et touche aussi bien les professionnels que les particuliers.

Est-ce que l’hameçonnage est dangereux ?

Oui, l’hameçonnage représente un danger réel, aussi bien pour les organisations que pour les utilisateurs lambda d’Internet, et les chiffres parlent d’eux-mêmes :

  • En 2022, 38 % des particuliers ayant sollicité une assistance auprès de cybermalveillance.gouv.fr l'ont fait pour des incidents liés à l'hameçonnage, ce qui représentait une augmentation de 13 % par rapport à 2021.  
  • Selon GreatHorn, 57 % des entreprises et des organisations sont les cibles de tentatives de phishing plusieurs fois par semaine voire par jour.

Et s’il est si répandu, c’est justement parce que le phishing peut causer beaucoup de dégâts. Les hackers peuvent ainsi utiliser cette technique pour usurper votre identité, vous extorquer de l’argent, lancer des cyberattaques de grande ampleur, ou dérober des données comme le groupe de hackers ShinyHunters a pu le faire.

Comment les attaques par Phishing ciblent-elles leurs victimes ?

Pour mieux manipuler leurs victimes et les faire tomber dans le piège, les cybercriminels recourent à plusieurs techniques d’ingénierie sociale :

  • Ils exploitent vos émotions, comme la peur, ou l’urgence, et vous menacent de blocages immédiats ou de suspensions de services si vous ne cliquez pas sur un lien pour mettre à jour vos informations.
  • Ils inventent de fausses promotions ou vous font croire que vous avez gagné un cadeau. Le hic ? Vous devez leur partager certaines informations confidentielles ou cliquer sur un lien malveillant pour en profiter.
  • Ils imitent à la perfection les SMS ou emails d’organisations de confiance, comme votre banque, des services publics ou des géants du web. Logo, charte graphique, ton, tout y est pour vous faire penser à une communication officielle.

Quelles sont les conséquences d’une attaque par phishing ?

Les attaques par phishing peuvent avoir des répercussions graves, aussi bien pour les particuliers que pour les entreprises :

  • Vol de données personnelles.
  • Usurpation d’identité, les informations volées pouvant être utilisées pour escroquer vos proches, ouvrir des comptes bancaires, contracter des prêts ou effectuer des achats frauduleux en votre nom.
  • Pertes financières, notamment via des prélèvements non autorisés ou des virements frauduleux si vos données bancaires sont compromises.
  • Impact sur la vie privée, les données volées pouvant être revendues sur le dark web, ce qui vous expose encore plus aux cyberattaques.
  • Infection par des malwares, voire par des ransomwares, ce qui peut aboutir à l’interruption de vos opérations et à une demande de rançon.
  • Atteinte à la réputation et perte de la confiance de vos partenaires et clients si la cyberattaque est rendue publique, ou si elle impacte visiblement votre activité.
  • Coûts de remédiation pour remettre en état les systèmes compromis en cas de dégâts liés à l’hameçonnage.

Comment fonctionne une attaque par phishing ?

Une attaque par phishing se déroule généralement en quatre étapes :

  1. Création d’un leurre : les attaquants conçoivent leur contenu frauduleux en imitant une entité légitime, comme une banque ou une administration, et n’hésitent pas à copier leur charte graphique et leur ton pour être les plus convaincants possible.
  2. Distribution : la campagne d’hameçonnage est lancée et le leurre est diffusé massivement, principalement par email ou SMS, mais aussi via les réseaux sociaux voire même grâce à des appels téléphoniques ; le but est d’inciter à mordre à l’hameçon.
  3. Interaction : la victime, croyant à la légitimité du leurre, suit les instructions : elle clique sur un lien, fournit des données sensibles à son interlocuteur, ou télécharge un fichier.
  4. Exploitation : les pirates propagent leurs malwares ou utilisent les informations volées pour effectuer des transactions, usurper une identité…

Quels sont les différents types d’hameçonnage ?

Avec le temps, le phishing s’est diversifié, et aujourd’hui l’hameçonnage peut prendre une multitude de formes :

  • Spoofing par e-mail : forme la plus courante, où des mails usurpent l’identité d’institutions de confiance pour vous soutirer des informations personnelles, vous faire cliquer sur un lien malveillant, ou vous pousser à télécharger une pièce jointe compromise.  
  • Smishing, ou phishing par SMS : les pirates jouent sur l’urgence pour inciter les victimes à cliquer sur un lien ou à appeler un numéro frauduleux.
  • Vishing, ou phishing vocal via des appels téléphoniques : les escrocs se font passer pour un tiers de confiance, comme votre conseiller bancaire, pour vous soutirer des informations sensibles.
  • Whaling, aussi appelé Spear Phishing ou harponnage : forme sophistiquée de phishing qui cible les cadres dirigeants ; les attaquants personnalisent leur leurre grâce à des informations spécifiques liées à leurs cibles (nom, rôle, projets en cours) pour rendre leurs demandes extrêmement convaincantes.  
  • Phishing par URL : l'attaquant transmet un lien web semblant légitime, mais qui redirige vers un site frauduleux conçu pour dérober des données personnelles.  
  • Pharming : forme de phishing sans leurre, qui repose sur du code malveillant pour rediriger automatiquement les utilisateurs d’un site légitime vers un faux site, sans nécessiter d'action de leur part.
  • Phishing par factures : les fraudeurs envoient de fausses factures ou demandes de paiement, soit en espérant que la victime paiera sans en vérifier l'authenticité, soit en s’en servant pour propager des malwares car ces documents ont été compromis.  
  • Phishing par documents partagés : la victime reçoit une notification l'invitant à consulter un document partagé, qui mène en fait à une page de connexion falsifiée pour capturer ses identifiants.  
  • Phishing par application smartphone : les hackers créent une application qui paraît légitime, mais où il est indiqué en caractères minuscules que vous devez lui donner accès à l’ensemble des données de votre appareil voire de votre Cloud pour qu’elle puisse fonctionner.  
  • Catfishing : un arnaqueur se crée une fausse identité en ligne pour tisser des relations de confiance avec ses victimes et les exploiter émotionnellement et financièrement.  
  • Fraude au président ou Business Email Compromise (BEC) : les fraudeurs se font passer pour l’un des décideurs de l’entreprise pour convaincre un comptable ou un membre du département financier d’effectuer un transfert de fonds qui est en fait frauduleux.

Les exemples concrets de phishing

Prenons quelques exemples concrets de campagnes de phishing pour que vous puissiez y voir plus clair.

Phishing par email

Vous recevez un email qui semble provenir de votre banque vous demandant de confirmer vos informations personnelles en cliquant sur un lien. Le problème ? Si le site sur lequel vous atterrissez ressemble comme deux gouttes d’eau à celui de votre établissement bancaire, il s’agit en fait d’une copie gérée par des pirates, qui auront un accès direct à vos données personnelles si vous les indiquez.

Phishing par SMS (Smishing)

Un beau matin, vous recevez un SMS vous indiquant qu’un livreur a essayé de vous livrer un colis alors que vous n’étiez pas disponible, et on vous invite désormais à cliquer sur un lien pour reprogrammer la livraison. Si vous n’attendez rien, vous flairez rapidement l’arnaque. Mais si vous avez effectivement commandé quelque chose, vous risquez de tomber dans le piège. Le problème, c’est que le lien sur lequel ce SMS vous demande de cliquer est en fait un lien d’hameçonnage !

Phishing par téléphone (Vishing)

Votre téléphone sonne, vous répondez. À l’autre bout du fil, quelqu’un qui se présente comme votre conseiller bancaire vous appelle pour vérifier une activité suspecte sur votre compte. Le problème ? Pour ce faire, vous devez lui partager les identifiants de votre compte. Et certains, persuadés d’être en ligne avec un tiers de confiance, le font.

Avec le développement des intelligences artificielles vocales qui peuvent imiter presque n’importe quelle voix, le vishing devient encore plus dangereux, car vous ne pouvez plus que compter sur votre bon sens pour déceler l’arnaque.

Comment identifier et éviter l'hameçonnage ?

La checklist pour repérer une attaque par phishing

Face à des cybercriminels toujours plus ingénieux, le meilleur moyen de protection est de savoir identifier une attaque par phishing. Avant de faire quoi que ce soit face à une communication suspecte, posez-vous les questions suivantes :

✔️ Avez-vous reçu un message de votre antivirus ou de votre filtre anti-spam pour vous signaler que ce mail est suspect ?  
✔️ Connaissez-vous l’adresse ou le numéro de l’expéditeur ?  
✔️ L’adresse mail correspond-elle exactement à celle d’une entité officielle ? Méfiez-vous en particulier des domaines similaires mais légèrement différents (un .com à la place de .fr, amaz0n.com à la place de amazon.com…). ✔️ Êtes-vous client de l’entreprise qui vous envoie ce mail, ou lui avez-vous personnellement partagé votre adresse mail ou votre numéro de téléphone ?  
✔️ Le contenu du message est-il alarmiste, ou joue-t-il sur vos émotions ?  
✔️ Le message est-il personnalisé, ou pourrait-il avoir été envoyé en masse à des centaines de personnes ?  
✔️ Y a-t-il des fautes ou des incohérences ?  
✔️ Le design du mail est-il soigné ou fait-il amateur ?  
✔️ Les demandes vous paraissent-elles inhabituelles ? Par exemple, vous demande-t-on vos coordonnées bancaires, ou des mots de passe d’accès ?  
✔️ Essaie-t-on de vous convaincre à tout prix de cliquer sur le lien ou de télécharger la pièce jointe ?

Si vous répondez oui ne serait-ce qu’à une seule de ces questions, il y a de grandes chances que vous soyez en fait victime d’une tentative de phishing.

Comment se protéger des cyberattaques par phishing ?

Certaines bonnes pratiques vous aideront à vous protéger des cyberattaques par phishing :

  • Ne partagez jamais d’informations sensibles par email ou téléphone, car aucun organisme ne vous les demandera par ces moyens.
  • Ne cliquez sur aucun lien et aucune pièce jointe si vous ne connaissez pas l’expéditeur de la communication.
  • Vérifiez les liens avant de cliquer, et autant que possible, taper plutôt manuellement l’URL de l’expéditeur supposé de la communication pour accéder à son site officiel.
  • Utilisez un filtre anti-phishing.
  • Méfiez-vous des messages inattendus, et n’hésitez pas à demander confirmation au supposé organisme émetteur via son site officiel ou son service client.
  • Activez l’authentification multifactorielle, ce qui vous permettra d’ajouter une couche de protection à vos comptes même si vos identifiants ont été compromis à cause du phishing.
  • Sensibilisez-vous et éduquez vos proches aux risques du phishing pour éviter qu’ils ne tombent dans le piège.

Conclusion : comment se former à la cybersécurité pour protéger une entreprise ?

Si le phishing est l’une des cybermenaces les plus répandues, il est malheureusement loin d’être la seule. Les entreprises doivent ainsi redoubler de vigilance pour se protéger de la cybercriminalité, et nombreuses sont d’ailleurs celles à rechercher des professionnels compétents pour les y aider. Si vous voulez changer de voie et que ces enjeux vous intéressent, pourquoi ne vous reconvertiriez-vous pas dans la cybersécurité ?

Mais pour être le plus utile possible aux entreprises, vous devrez d’abord vous former. Chez Jedha, nous vous proposons justement des formations complètes, et qui s’adaptent à votre niveau de départ :

  1. Si vous débutez en sécurité informatique, notre formation en cybersécurité pour débutant vous permettra d’acquérir toutes les bases nécessaires et de vous sensibiliser aux enjeux cyber.  
  2. Les fondamentaux maîtrisés, notre formation en sécurité informatique vous permettra de développer toutes les compétences essentielles pour sécuriser les infrastructures informatiques de votre organisation. Et ce n’est pas tout, puisqu’à son issue, vous décrocherez également un diplôme de niveau bac+4 reconnu par l’État.  
  3. Ajoutez de nouvelles cordes à votre arc en rejoignant notre formation expert cybersécurité, et développez des compétences de pointe, qui feront de vous un atout indispensable au sein d’une équipe de cybersécurité.

Vous voulez en savoir plus sur nos cursus, qui ont par ailleurs été élus meilleurs bootcamps en cybersécurité en 2024 ? Découvrez-les en détail dans notre syllabus, et rejoignez-nous lors de notre prochaine Soirée Portes Ouvertes en ligne !

Questions fréquentes à propos du phishing

Que faire si j’ai cliqué sur un lien de phishing ?

  1. Déconnectez immédiatement votre appareil d'Internet. Si vous avez été contaminé par un malware, cela permettra d’éviter qu’il ne se propage aux autres appareils connectés sur votre réseau.
  2. Sauvegardez vos fichiers importants et stockez-les sur un support externe pour les préserver en cas de suppression ou de blocage de votre système.
  3. Lancez un scan antivirus pour détecter et éliminer les logiciels malveillants qui auraient pu vous infecter.
  4. Changez vos mots de passe, si possible depuis un autre appareil. Occupez-vous d’abord de ceux de vos comptes sensibles (banque, sécurité sociale…), et utilisez des mots de passe forts et uniques.
  5. Faites opposition à votre carte bancaire si vous avez divulgué ses numéros.
  6. Surveillez vos comptes bancaires, et prévenez immédiatement votre banque en cas de mouvements suspects.
  7. Portez plainte auprès de la police ou de la gendarmerie en cas de mouvements financiers suspects liés à l’hameçonnage sur votre compte.

Est-ce que les banques remboursent le phishing ?

Pas forcément. Votre banque a l’obligation de vous rembourser en cas de fraude sur Internet, si et seulement si l’escroquerie n’a pas été permise par une négligence grave de votre part. Pour augmenter vos chances d’être remboursé en cas de phishing, vous avez ainsi intérêt à souscrire à une assurance cyber risques.

Prenons un exemple concret. Vous recevez un SMS frauduleux prétendant provenir de votre banque, vous demandant de confirmer une transaction via un lien. Si vous cliquez et entrez vos informations sensibles sans vérifier l'authenticité du message, votre banque peut considérer que vous n’avez pas respecté les règles de vigilance. En revanche, si vos données sont piratées à votre insu, ou que la fraude était difficile à débusquer, vous serez généralement remboursé.

Quelles sont les cyberattaques connues par hameçonnage envers des entreprises ?

  • En 2020, une attaque de vishing a permis de compromettre 130 comptes Twitter certifiés, dont ceux d’Elon Musk et Barack Obama, qui ont ensuite été utilisés pour relayer une arnaque aux cryptomonnaies. Au total, 118 000 $ en bitcoins ont été dérobés.  
  • Entre 2013 et 2015, un Lituanien a utilisé le phishing par facture pour tromper Google et Facebook. Il a usurpé l’identité de Quanta, dont ils étaient clients, et a réussi à détourner plus de 100 millions de dollars en leur envoyant de faux contrats et de fausses factures.  
  • En 2015, des centrales électriques ukrainiennes ont été ciblées par une attaque de spear phishing, permettant aux hackers d’installer le malware « KillDisk ». Ce logiciel a provoqué des coupures de courant massives et a perturbé les systèmes industriels du pays, révélant l’impact dévastateur que le phishing peut avoir, même sur le monde réel.
Soirée Portes Ouvertes Jedha BootcampSoirée Portes Ouvertes Jedha Bootcamp
Julien Fournari
Julien Fournari
SEO & Growth Manager
Julien occupe le poste de SEO & Growth Manager chez Jedha depuis Mexico. Sa mission est de créer et d'orchestrer du contenu pour la communauté Jedha, de simplifier les processus et de dénicher de nouvelles opportunités, tant pour Jedha que pour ses étudiants, en exploitant sa maîtrise du digital.

Articles recommandés

Défacement de Site Web : définition, exemples et protection

Découvrez comment les hackers utilisent le défacement de site web pour pirater votre site, et apprenez à vous protéger de cet acte de cybervandalisme.

Tout savoir sur l’attaque par XSS (cross-site scripting)

Comprenez comment une attaque XSS injecte du code malveillant sur votre site pour le compromettre, et apprenez à vous protéger du Cross-Site Scripting.

Cybersecurite

Les meilleures écoles en Cybersécurité en France en 2024

Vous cherchez la meilleure école en France pour vous former à la sécurité informatique ? Découvrez notre classement des meilleures écoles en cybersécurité en 2024.

Cybersecurite

Les 10 livres sur la cybersécurité à lire absolument

Livres pour débutants ou pour étoffer vos compétences, récits palpitants de cyberattaques, découvrez une sélection des 10 meilleurs livres de cybersécurité.

Cybersecurite

Malware : définition, types et méthodes de suppression

Un malware, ou logiciel malveillant, désigne tout programme informatique créé dans le but de nuire. Apprenez à les reconnaître pour mieux vous en protéger.

Cybersecurite

Fiche métier Auditeur Cybersécurité : missions, formation et salaire

Missions, salaire, formation, découvrez l'Auditeur Cybersécurité, chargé de détecter et corriger les failles pour protéger son organisation des cyberattaques.

Tous les articles
Vos préférences sur les cookies

Nous utilisons des cookies sur notre site. Certains, essentiels et fonctionnels, sont nécessaires à son bon fonctionnement et ne peuvent pas être refusés. D’autres sont utilisés pour mesurer notre audience, entretenir notre relation avec vous et vous adresser de temps à autre du contenu qualitatif ainsi que de la publicité, personnalisée ou non.
Vous pouvez sélectionner ci-dessous ceux que vous acceptez et les mettre à jour à tout moment via notre politique cookies.

Tout accepter
Tout refuser
Gérer mes préférences
Gestion de vos préférences sur les cookies

Nous et nos partenaires utilisons des cookies et des traceurs pour :

- Fournir une assistance grâce à notre bot
- Générer des idées pour améliorer nos interfaces, les contenus et fonctionnalités du site
- Mesurer l'efficacité de nos campagnes de marketing et proposer des mises à jour régulières de nos contenus

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
Soirée Portes Ouvertes en ligne : découvrez nos formations
Thursday
 
2
 
Jan
 à 
18:00
En ligne

Découvrez nos programmes de formation accélérée en Data et Cybersécurité, et posez toutes vos questions à notre équipe d'admissions et à nos alumni.

S'inscrire