Investor's wiki
fr Français
Navigation
Home Glossary
InvestirStocksObligationsCryptoFinances personnellesAnalyse fondamentaleAnalyse techniqueCommerceBanqueTaxes
Disclaimer Terms of Use Privacy Policy Cookie Policy
Navigation
Home Glossary
InvestirStocksObligationsCryptoFinances personnellesAnalyse fondamentaleAnalyse techniqueCommerceBanqueTaxes
Disclaimer Terms of Use Privacy Policy Cookie Policy

Hameçonnage

Hameçonnage
Finances personnellesCryptoFraude financièreCybersécuritéInformations confidentielles

Qu'est-ce que l'hameçonnage ?

Le phishing est une sorte de cyberattaque qui permet aux pirates d'accéder aux données sécurisées de la victime. Alors que le piratage traditionnel implique une méthode de force brute consistant à essayer de nombreuses combinaisons de mots de passe différentes, le phishing utilise l'ingénierie sociale pour inciter les utilisateurs à donner leurs informations de connexion. Un homophone de «pêche», en ce que les pirates ciblent de nombreux utilisateurs dans l'espoir d'une «morsure», le phishing coûte aux utilisateurs des milliards de dollars dans le monde et a été utilisé par des agents des gouvernements des États à des fins de guerre économique et politique.

Définition plus approfondie

Le phishing fonctionne en berçant les victimes dans un faux sentiment de sécurité. Souvent, l'utilisateur ciblé n'a aucune idée que quelque chose ne va pas : l'attaque semble provenir d'une source fiable, comme un collègue ou un ami, ou d'une entreprise comme la banque ou le fournisseur de messagerie de l'utilisateur. Bien que le courrier électronique ait été le principal moyen d'attaque, certains pirates ont utilisé la communication téléphonique et les SMS pour cibler les gens.

Lors d'une attaque de phishing, un pirate informatique crée un site Web ou un e-mail qui ressemble presque parfaitement à ceux que les utilisateurs voient couramment au quotidien. Dans certains cas, l'e-mail contient un lien apparemment inoffensif qui installe un logiciel malveillant sur l'ordinateur de l'utilisateur qui peut enregistrer des frappes ou fournir un « tunnel » dans les données de la victime. D'autres dirigent souvent les utilisateurs vers une page de connexion qui ne se distingue pas de celle que les gens tiennent pour acquis lorsqu'ils utilisent leur messagerie électronique, leurs comptes de médias sociaux ou leur banque en ligne. Cependant, les données saisies dans ces pages vont directement au pirate, ce qui lui permet de se connecter et de voler des informations.

Ces sites Web usurpés vivent sur de fausses URL qui ressemblent aux vraies URL auxquelles les victimes sont habituées. Une usurpation typique de la véritable URL Gmail, https://mail.google.com/, pourrait ressembler à http://mail.googlecom.com. Notez les légères modifications apportées au nom. Un tel lien peut se cacher derrière du texte, tel que "Cliquez ici", pour avoir l'air légitime. Les hameçonneurs utilisent également des adresses e-mail réelles, mais une fois qu'ils accèdent au compte d'une victime, ils peuvent envoyer des e-mails à d'autres personnes figurant sur sa liste de contacts à partir de l'adresse e-mail réelle de la victime.

Pratiquement tous les systèmes de messagerie disposent d'une forme de protection contre le phishing qui détecte les adresses e-mail ou les liens frauduleux dans le corps du texte d'un e-mail et déplace ce message dans le dossier spam. Cependant, aucune protection automatisée n'est parfaite et il suffit d'une attaque réussie pour endommager gravement une organisation.

Exemple d'hameçonnage

L'attaque de phishing récente la plus importante visait la campagne présidentielle de 2016 d'Hillary Clinton. Son président de campagne, John Podesta, qui avait été chef de cabinet adjoint du président Bill Clinton, a reçu un e-mail apparemment de Google indiquant que son compte Gmail avait été compromis par des pirates et qu'il devait changer son mot de passe. Ce n'était pas vrai; les pirates avaient eux-mêmes envoyé l'e-mail. Pourtant, il a saisi ses anciennes informations de connexion, qui ont été envoyées aux pirates, qui ont ensuite publié 20 000 e-mails personnels de Podesta à WikiLeaks, et les retombées qui ont suivi ont été un facteur majeur dans la défaite de Clinton aux élections générales. La tentative de phishing était si bonne qu'elle a même trompé le responsable informatique de la campagne, qui a déclaré à Podesta qu'il s'agissait "d'un e-mail légitime".

Points forts

  • Une tentative de phishing peut utiliser un site Web, un e-mail ou d'autres formes de communication d'apparence officielle pour inciter les utilisateurs à fournir des informations telles que des numéros de carte de crédit, des numéros de sécurité sociale ou des mots de passe.

  • Les sites Web de phishing peuvent sembler identiques aux sites Web officiels, invitant les utilisateurs à saisir leurs véritables informations d'identification sur le site Web malveillant.

  • L'hameçonnage est un type de vol de données qui implique que des personnes donnent sans le savoir leurs informations personnelles à un mauvais acteur.