Le Quotidien Indépendant Luxembourgeois
Les mails de phishing sont particulièrement nombreux ces derniers mois. Alors quelques règles de prudence s’imposent.
Si vous avez comme l’impression de recevoir de plus en plus de mails de phishing, de tentatives d’arnaques et autres liens suspects dans votre boîte aux lettres virtuelle, vous n’êtes pas le seul.
S’il n’y a pas de chiffres, l’impression est généralisée depuis quelques mois et les communiqués de presse pour avertir les utilisateurs d’usurpations de mails sont de plus en plus fréquents.
Le dernier en date provient du Foyer.lu. Il signale un e-mail qui annonce au destinataire «qu’une facture a été payée deux fois» et l’invite à «cliquer sur un lien pour être remboursé». Bien sûr, il s’agit en réalité d’une arnaque.
L’assureur recommande à toutes les personnes visées la plus grande prudence face à ces tentatives de phishing pour s’approprier les données personnelles et sensibles du destinataire.
Il ne faut en aucun cas y répondre, ni cliquer sur les liens activés dans le mail, ni communiquer ses données personnelles ou bancaires. Il précise aussi que ces mails sont envoyés «aux différents destinataires de façon aléatoire à partir d’une plateforme externe et que ce mailing ne se base pas sur des données clients enregistrées dans les systèmes informatiques de Foyer, aucun tiers n’ayant accès à celles-ci».
Mais comment expliquer cette multiplication de mails douteux ? Steve Muller, expert en cybersécurité pour Bee Secure, une initiative du gouvernement pour une utilisation sûre des nouvelles technologies, nous répond : «Il y a des périodes à l’approche de grands événements qui sont plus propices à l’envoi de ce type de mails, comme à Noël, une grande période de shopping en ligne.
Mais globalement, il n’y a pas vraiment de raison. Il arrive aussi que les grandes organisations policières comme le FBI, Europol ou Interpol fassent de grosses prises, trouvent des serveurs d’où partent beaucoup de mails de phishing et les mettent hors d’état de nuire.
Dans les mois suivants, les envois sont alors beaucoup moins nombreux. Mais les organisations criminelles finissent toujours par se réorganiser et par reprendre leurs activités lucratives».
«Tout le monde peut se faire avoir»
Dans le phishing, plusieurs stratégies existent. L’une d’elles consiste à s’adresser à une masse de potentielles victimes aussi importante que possible, en utilisant le nom de sociétés ou d’organisations susceptibles de concerner le maximum de monde, comme Amazon.
Ces mails sont souvent assez maladroits et peuvent être repérés plus facilement. À l’inverse, d’autres sont plus ciblés et perfectionnés. C’est pour cette raison que «tout le monde peut se faire avoir», explique le conseiller en cybersécurité.
«Il suffit d’être fatigué, de survoler un mail le soir» et un clic sur un lien frauduleux est vite arrivé. Si les personnes âgées peuvent faire davantage confiance et donc être plus vulnérables, la génération internet qui connaît ces risques depuis toujours est pourtant loin d’être à l’abri de tomber dans le piège.
Pour éviter de mordre à l’hameçon, il y a quelques règles à respecter et notamment vérifier l’adresse mail de l’envoyeur : «Pas le nom. N’importe qui peut mettre n’importe quel nom, pour l’adresse c’est plus compliqué.
Ensuite, on peut vérifier le lien en plaçant son curseur dessus, mais sans cliquer. Une petite fenêtre apparaît alors et l’on peut voir de quel site il s’agit. Si l’on a un doute, le mieux est de toujours aller directement sur le site concerné sans passer par le lien».
Il existe des sites internet qui permettent de recenser les courriels suspects. Spambee.lu ou encore safebrowsing.google.com par exemple. «Il est important de signaler les mails suspects sur les plateformes pour pouvoir compléter les bases de données, blacklister certaines adresses et prévenir de futures victimes potentielles», insiste Steve Muller.
Utiliser un gestionnaire de mots de passe
Que se passe-t-il si nous mordons à l’hameçon ? «Cela dépend du scénario. Certaines fois, un clic suffit pour informer les hackers que votre mail est toujours actif, car aujourd’hui énormément de comptes ne sont plus utilisés. D’autres fois, ce sera pour récupérer votre mot de passe sur un site en particulier et ensuite le tester sur tous les autres sites», indique l’expert.
C’est pour cela qu’il est ensuite nécessaire de le changer sur le site en question, sur sa messagerie, sur les réseaux sociaux, sur le site de sa banque, etc., mais aussi sur tous les sites pour lesquels vous utilisez le même mot de passe. Par contre, Bee Secure ne conseille plus comme auparavant de changer régulièrement ses mots de passe en dehors d’un compte piraté :
«Mieux vaut prendre le temps de trouver un long mot de passe fort plutôt que d’en changer fréquemment. On conseille d’utiliser un gestionnaire de mots de passe, d’une part parce qu’il va suggérer des codes forts. Deuxièmement, il va les retenir et, enfin, contrairement à nous, il ne va pas mettre automatiquement le mot de passe sur un site de phishing». Si une seule lettre diffère d’une adresse officielle, le logiciel pourra la repérer. Télécharger une application mobile gratuite d’authentification à deux facteurs est aussi recommandé.
Le phishing aboutit «fréquemment à du chantage. Ce qui marche le mieux, c’est de faire croire à la victime qu’on possède une photo d’elle nue. Généralement, c’est du bluff et il ne faut pas donner d’argent. Mais même si c’était vrai, rien ne garantit que le pirate efface la photo en contrepartie de l’argent.
On peut porter plainte, malheureusement, c’est une plainte contre X et la police, tout comme nous, peut difficilement savoir qui est le maître chanteur. Le plus important est de ne jamais avoir honte et ne pas rester seul dans une telle situation. Il y aura toujours quelqu’un pour vous aider».
Audrey Libiez
