Hameçonnage, phishing, filoutage, ces trois mots désignent la même chose, une arnaque très répandue sur le web. Avant d’entrer le détail, nous faisons un point sur la sémantique.
Le terme hameçonnage a été défini en 2004 par l’Office québécois de la langue française. Oui, le mot choisi et la définition est né de la francophonie, avant même d’être né en France.
C’est le terme filoutage qui sera défini deux plus tard en France, en 2006 par la Commission générale de terminologie et de néologie.
Concernant le terme Phishing, il existe plusieurs théories sur la paternité du terme anglophone.
1. Phishing serait la contraction des mots anglais « fishing » pour l’activité de la pêche, et « phreaking » une autre pratique malveillante pour définir un piratage de ligne téléphonique,
2. Phishing serait l’appellation donnée par les pirates informatiques pour cette pratique, car ils avaient pour expression « Password Harvesting Fishing”, soit la traduction « pêche aux mots de passe ». Les premières lettres des mots « Password » et de « Harvesting » ont dont été conservées pour être assemblées et contractés avec le dernier mot « fishing » ce qui aurait donné naissance au terme « Phishing ».
Maintenant, que vous êtes à l’aise avec l’un de ces trois termes, passons aux choses sérieuses.
L’hameçonnage, une pratique malveillante très répandue sur internet
L’hameçonnage est l’une pratique malveillante du net des plus anciennes et des plus connues du monde de la cyber arnaque.
Cette technique utilisée par des pirates, également qualifiés de fraudeurs, consiste à collecter vos données personnelles dans le but d’usurper votre identité, et dans la majeure partie des cas, pour vous voler de l’argent.
1. Quand est-ce que l’hameçonnage est apparu ?
Le premier cas de phishing remonte au milieu des années 90, avec une attaque visant à dérober les noms d’utilisateurs et leurs mots de passe sur AOL (un service de messagerie), élaborée à l’aide d’outils comme « AOHell ».
Le principe parait simple, mais fonctionne toujours aujourd’hui avec une logique similaire : Un hacker se faisait passer pour un membre de l’équipe AOL en envoyant un e-mail à une autre adresse, celle d’une victime potentielle. Ce message demandait à la victime d’indiquer son mot de passe pour « vérifier son compte AOL » ou « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, l’attaquant pouvait accéder au compte et l’utiliser à des fins malveillantes.
2. Quel type d’e-mail frauduleux ou de lien peut-être de l’hameçonnage ?
Si vous deviez retenir une chose, c’est que pour ces pirates, tous les moyens sont bons pour faire baisser votre niveau de vigilance et vous faire cliquer à l’endroit où il veut que vous cliquiez.
Pour la plupart de ces attaques, le phishing consiste en une reproduction d’un e-mail provenant d’une source « connue » par vous-même, que vous pourriez tout à fait considérer comme étant « fiable » puisque vous la consultez plus ou moins régulièrement. C’est ce que l’on appel un tiers de confiance. Il est aussi très fréquent que l’ expéditeur qui se fasse passer pour un organisme officiel (Impôts, Caisse d’allocations familiales…).
Votre courrier, peut donc contenir une invitation à cliquer sur un lien pour :
- vous faire bénéficier d’une offre exceptionnelle sur votre site marchand habituel,
- vous donner un accès VIP à une information liée à vos centres d’intérêt,
- vous demander régulariser une facture que vous auriez oublié de payer ou de régulariser,
- vous abonner à une page trop tendance et trop incontournable pour ne pas cliquer dessus,
- vous inviter à ouvrir un fichier en pièce-jointe (au hasard, au format PDF) avec toutes les infos que vous recherchez récemment dans votre moteur de recherche…
Avec un petit tour d’illusionniste, votre e-mail soi-disant « officiel » et le lien « 100% sécurisé » sur lequel vous avez cliqué en toute confiance s’est avéré être un e-mail factice, provenant d’une source malveillante.
Alors, pourquoi rien ne vous a sauté aux yeux?
Tout simplement parce que la reproduction d’un e-mail du tiers de confiance en question a été suffisamment bien réalisé pour que vous y croyiez. On appelle cette duperie l’ingénierie sociale, ou encore, le piratage psychologique.
Le clic sur le lien a enclenché le processus et vous serez alors hameçonné.
L’hameçonnage en France : les pratiques les plus répandues
Nous avons compilé une liste non exhaustive des attaques de phishing les plus répandues en France (en 2021).
1. Les faux messages d’infractions pédopornographiques.
Cette arnaque a été le plus répandue en 2021. L’arnaque consiste en un message se faisant passer pour une autorité publique nationale (police ou gendarmerie) ou européenne (Europol ou Interpole) accusant la victime de pédophilie ou de pédopornographie. Pour ces faits reprochés, il est alors demandé de payer une importante amende de plusieurs milliers d’euros pour éviter les poursuites judiciaires.
2. Les faux messages de remboursement d’impôts ou de la sécurité sociale
Appels, e-mail, SMS, réseaux sociaux, Ameli.fr n’est pas épargné par les cybercriminels, qui tentent par tous les moyens de tromper les internautes en se faisant passer pour le système de santé français. Sur son site, Ameli.fr donne quelques exemples pour ne pas tomber dans le piège.
3. Les messages d’escroquerie à la livraison de colis
Pour ce cas, la victime reçoit un message par e-mail ou par SMS, qui semble provenir de sociétés de transport connues. Les messages reçus par SMS affichent généralement :
- un nom d’expéditeur
- le nom d’un service de livraison connu,
- un numéro de téléphone court à 5 chiffres (commençant par 38) qui ressemble à ceux utilisés par les vrais services de livraison.
Ce message déclare qu’un colis doit vous être livré et que vous devez payer des frais de port ou d’expédition, de TVA ou de douane pour qu’il vous parvienne.
Un petit montant est réclamé, ce qui incite la victime à en effectuer le paiement, en cliquant sur le lien partagé.
Ce lien redirigera donc vers un site internet frauduleux en usurpant l’identité de l’entreprise de livraison. Lors du faux processus de paiement, il sera donc demandé à la victime des informations personnelles comme son identité, son adresse postale et/ou électronique, un numéro de téléphone, des coordonnées de carte bancaire, le tout pour régler les prétendus frais de livraison ou douane réclamés.
4. Les messages d’hameçonnage visant les comptes et les cartes bancaires
La sécurité des moyens de paiement est au cœur du process des cybercriminels, qui utilisaient un faux système de sécurisation de paiement pour pouvoir donner abaisser un peu plus la vigilance de leurs victimes à faire une transaction en ligne.
5. L’arnaque au compte personnel de formation (CPF) sont toujours d’actualité à la mi-mars 2022.
Par SMS, par e-mail et même par le biais d’appels téléphoniques, l’escroquerie qui visent à vous mettre en confiance pour que vous dévoiliez des informations personnelles, à généralement pour but de pirater votre compte CPF, voir de vous forcer la main pour une utilisation de votre solde. L’expiration de votre solde CPF est souvent l’argument qui fait agir la victime rapidement.
6. Les arnaques aux faux supports techniques, ou « Tech Support Scam »
Le principe est de faire peur à la victime en lui adressant un message (par SMS, téléphone, chat, courriel, ou par l’apparition d’un message sur l’écran de la victime qui bloque son ordinateur) en lui indiquant :
- un problème technique grave,
- un risque de perte de ses données
- la perte de l’usage de son équipement
Cela doit conduire la victime à contacter le prétendu support technique officiel pour le dépanner. Vous l’aurez compris, le pseudo-dépannage informatique et/ou l’achat des logiciels parfois nuisibles recommandés par le faux dépanneur sont payants. Comme élément de pression supplémentaire, si la victime refuse de payer, les cybercriminels se réserve des dernières cartes pour faire plier la victime qui vont de la destruction ou à la perte des fichiers, à la divulgation de ses informations personnelles.
7. L’hameçonnage par SMS, ou smishing et cela concerne tous types d’organisations à but lucratif, mais aussi les associations, ou encore l’administration. Il s’agit du même principe que le phishing par e-mail, mais le canal de diffusion est différent puisque vous recevrez ce type de phishing par SMS et non pas par e-mail.
Que font les hackers de vos données ?
Malheureusement, il n’y a qu’une seule réponse possible à cette question : les hackers feront tout ce qu’ils veulent de vos données.
A partir de l’ouverture de ce lien, votre PC sera infecté, et vos données seront accessibles via le logiciel malveillant dans votre appareil électronique ou depuis votre messagerie, et pourront être exploitées par le(s) pirate(s).
1. Quels sont les types de données recherchés et volés par les hackers ?
a- Les données personnelles:
Si un hacker ou bien un collectif de hackers peut mettre la main (et les yeux) sur vos e-mails, alors jusqu’à quand peuvent-ils éplucher votre vie personnelle dans le temps ? Dites-vous bien qu’en ouvrant votre messagerie, ils peuvent même accéder à vos brouillons, à vos e-mails archivés et à vos spams.
Il ne faut pas chercher bien loin pour imaginer qu’un pirate puisse accéder à des informations très sensibles, et se livre à du chantage, pour :
- vous contraindre à dévoiler davantage d’informations sur votre employeur ou sur votre administration,
- vous pousser à verser des sommes d’argent pour ne pas dévoiler certains éléments de votre vie passée,
- vous dévoiler votre historique de recherche à votre employeur ou à vos proches,
- pour récupérer des photos personnelles de vous et/ou de votre entourage,
- pour accéder à toujours plus de comptes personnelles (réseaux sociaux, identifiants Apple ou Android…)
- pour revendre vos données sur le Dark Web, à d’autres hackers par exemple…
Vous pouvez faire travailler votre imagination sans limites, ou vous inspirer des pires scénarios catastrophes de votre dernier film d’action, ou des votre dernière série Netflix.Si tout n’est pas réel, tout est presque faisable.
b- Les données professionnelles
Vous êtes un individu, et êtes aussi probablement un salarié, ou travaillez pour le compte d’une organisation à but non lucratif, ou pour l’administration.
Les hackers peuvent en effet cibler le personnel d’une entreprise par l’intermédiaire de leur boite mail professionnelle par exemple.
Ce type d’attaque peut être motivé par de nombreuses raisons.
Un hacker pourra par exemple divulguer des informations sensibles de votre entreprise à travers vos échanges d’e-mail, voir même effectuer des paiements si accède aux coordonnées bancaires de votre société.
Le ou les hackers pourraient tout aussi bien essayer d’accéder aux réseaux des entre¬prises pour les espionner et les infecter avec des programmes malveillants.
Le phishing pourrait donc n’être qu’une pierre à l’édifice vers un piratage plus dur, et d’autres types d’attaques et d’intrusion comme du harponnage du ransomware, du wiper pour ne citer qu’eux…
c- Les données bancaires
Votre carte bancaire et donc, votre compte chèque ne vous appartient plus. Enfin, il ne vous appartient plus vraiment si l’on considère qu’un compte bancaire ne doit pas être partagé avec un(e) inconnu(e). Avec l’hameçonnage, les victimes sont souvent amenées à communiquer leurs coordonnées bancaires aux hackers, en pensant régler une facture à l’administration, ou à un fournisseur habituel du type fournisseur d’accès à internet par exemple. Cela peut même provenir d’un site marchand, si vous entrez vos coordonnées bancaires en pensant finaliser une commande passée sur Amazon, Ebay, la Fnac, Vinted, Wish, Alibaba, Shein etc.
d- Les données confidentielles et secret défense
Les états sont eux-mêmes dotés d’hackers, appelés Ethical Hackers ou hackeurs éthiques. Plus exactement, les administrations sont dotées d’une cyber défense et de départements en cybersécurité. L’armée française est aussi dotée d’un département en cyberdéfense, et d’une « armée virtuelle » pour lutter contre les cyberattaques, la cybercriminalité, le vol, l’espionnage et tous types d’intrusions au niveau de l’état.
Nous avons débuté la rédaction de cet article à la mi-Mars 2022, et sommes pour l’heure en France spectateurs d’une cyberguerre à l’Est de l’Europe, et à l’Ouest de l’Asie. Le conflit entre la Russie et l’Ukraine se déroule également sur internet. Gardez vos secrets dans vos têtes. Plus il existe de support numérique qui contiennent de l’information, plus elle devient accessible.
Les motivations sont nombreuses, et par conséquent, le nombre d’attaque de phishing le sont aussi, et les types de phishing eux aussi se sont multipliés !
Chez Numeryx, nous avons détecté qu’une grande partie des intrusions pouvaient être empêchées dès lors que vous étiez équipé d’un pare-feu nouvelle génération. C’est pourquoi nous avons développé notre pare-feu Asguard.
Le phishing dans le monde en chiffres et en statistiques
1. Prêt d’un demi milliard d’e-mails de phishing ont été détecté sur le seul mois de janvier 2023 avec très exactement 488,5 millions d’emails de phishing, selon Vade
Source : Vade – rapport sur les phishing et malwares T1 2023
2. On constate une augmentation significative des attaques de phishing de 47,2% en 2022 par rapport à l’année 2021, selon Zscaler
Source : Zscaler – 2023 Phishing Report
3. 89% des messages indésirables parviennent à passer les méthodes d’authentification des e-mails, selon Cloudflare
Source : Cloudflare – Phishing Threat Report 2023
4. En 2022, 54% des e-mails de phishing contenaient des liens .com, tandis que 8.9% d’entre eux avaient des liens .net, selon AAG-IT
Source : AAG-IT – The latest phishing statistics
5. Les e-mails de phishing ont connu une augmentation de 1 265 % depuis fin 2022 et le lancement de ChatGPT, selon SlashNext
Source : SlashNext – The State of Phishing 2023
6. 75% des organisations dans le monde ont été touché par l’hameçonnage en 2020, selon Tessian,
Source : Tessian – Phishing Attacks Statisctics 2020
7. 96% des attaques de phishing se font par e-mail, selon Verizon
Source : Verizon (Data Breach Investigations Report 2021
8. Google a découvert plus de 2.1 millions de sites de phishing en janvier 2021, un chiffre en constante augmentation.
Source : Google Safe Browsing (janvier 2021),
9. 1 e-mail sur 4200 serait un e-mail d’hameçonnage, selon Symantec
Source : Symantec (Threat Landscape Trends – Q1 2020)
10. Le PDF est le type de document le plus corrompu attaché aux e-mail de phishing, selon Tessian
Source : Tessian – Phishing Attacks Statisctics 2020
11. Le top 3 des types de données les plus compromises dans une attaque de type phishing, selon Verizon
- Les identifiants (mots de passe, nom d’utilisateurs, codes PIN…)
- Les données personnelles (nom, prénoms, adresses postales, adresses électroniques…)
- Les données médicales (les informations sur les traitements médicaux suivis, les demandes d’indemnisation…)
La majeure partie de ces données récoltées permettent aux cybercriminels de mieux comprendre comment passer à l’étape liée à l’extorsion d’argent.
Source : Verizon Data Breach Investigations Report 2021
12. Le top 5 des secteurs d’activité les plus touchés par employés, selon Tessian
- Le commerce de détail (retail) avec environ 49 e-mails frauduleux envoyé à chaque employé par an.
- L’industrie manufacturière (manufacturing) avec environ 31 e-mails frauduleux envoyé à chaque employé par an.
- La restauration (Food and beverage) avec environ 22 e-mails frauduleux envoyé à chaque employé par an.
- La Recherche & Développement (R&D) avec environ 16 e-mails frauduleux envoyé à chaque employé par an.
- La Tech avec environ 14 e-mails frauduleux envoyé à chaque employé par an.
Source : Tessian’s 2021 research
13. Plus de 80% des événements en cybersécurité impliquent des attaques de phishing
Source : Email Threat Report 2020, Teiss