La forme la plus répandue de cyberattaque n’implique pas une armée de hackers russes cagoulés devant des écrans noir et vert… mais des mails malicieux.

La division Jigsaw de Google a publié le 22 janvier 2019 un petit site web interactif extrêmement bien fait pour apprendre aux internautes à identifier des techniques de phishing répandues. Ce qu’on appelle hameçonnage en français est la forme la plus répandue de cyberattaque : elle consiste à faire croire à un utilisateur qu’un mail est légitime alors qu’il a pour but une action malveillante (vol de mot de passe, téléchargement d’un virus ou d’un malware etc.).

Le phishing est arrivé à un niveau de raffinement si élevé qu’il trompe aujourd’hui jusque dans les multinationales où l’on aurait imaginé un niveau de sécurité maximal. Au fond, son efficacité tient à la cible de son attaque qui peut être un maillon faible dans un système : l’humain. Pour lutter contre cela, il n’y a guère que la formation qui fonctionne et c’est précisément ce que Google réussit à faire avec brio par son quiz.

CE QU’IL FAUT VÉRIFIER SUR UN MAIL

On regrettera seulement de ne pas le voir traduit en français, dans la mesure où le phishing est loin d’être réservé au web anglophone. On peut résumer ses enseignements en quelques points à vérifier quand on reçoit un email qui demande de faire une action :

• Vérifier l’expéditeur : si l’expéditeur ne correspond pas au nom de domaine du site qu’il prétend représenter, c’est probablement un piège (et les différences peuvent être subtiles, comme une simple lettre changée)
• Vérifier tous les liens avant de cliquer : quand vous passez votre pointeur de souris sur un lien, il va s’afficher en bas de votre navigateur. Il existe bien des moyens de faire un sous-domaine frauduleux qui ressemble à un vrai domaine : par exemple, on pourrait créer facilement le nom de domaine google.numerama.com et vous renvoyer dessus. Cela ne serait clairement pas un nom de domaine de Google.
• Faire attention aux URL raccourcies  : si vous avez un doute sur un mail officiel et qu’il passe en plus par un lien raccourci (bit.ly, goo.gl, tinyurl…) pour vous diriger vers les actions à faire, ne cliquez pas.
• N’ouvrez pas les pièces jointes avant d’être sûr de votre correspondant  : cliquer sur une pièce jointe frauduleuse, qui cache par exemple du code malicieux dans un faux document .pdf est très vite arrivé. Vérifiez avant votre expéditeur et sa légitimité. Vous pouvez également enregistrer une pièce jointe douteuse sur un service en ligne (Google Drive, Dropbox…) pour l’ouvrir (ou tenter de l’ouvrir) sans la télécharger.

Source : Numérama