Fédération Française des Télécoms

L’hameçonnage ou « phishing » est une technique frauduleuse différente du spam ordinaire.

Ces e-mails indésirables ont pour objectif de récupérer vos informations personnelles : identifiants, mots de passe, coordonnées postales ou bancaires, en usurpant l’identité visuelle des communications e-mail de vos organismes habituels (banque, fournisseur d’énergies, opérateur, etc.).

Dans la majorité des cas, les e-mails d’hameçonnage invitent le destinataire à cliquer sur un lien hypertexte pour compléter un formulaire, contacter un centre d’appel ou encore envoyer à une adresse e-mail inconnue des informations personnelles.

Plutôt que d’utiliser des pièces jointes malveillantes, les spams observés désormais comportent souvent un lien vers un site, inoffensif, mais qui redirige à son tour vers un site malveillant. Cette redirection permet d’échapper aux analyses pour garder le contenu malveillant en ligne aussi longtemps que possible.

Et lorsque les pirates recourent aux pièces jointes, ils tentent souvent de contourner l’analyse automatique en demandant à l’utilisateur d’entrer un mot de passe figurant dans le corps de l’email, pour ouvrir le fichier.

Comment identifier les e-mails suspects ?

• Les e-mails indésirables contiennent parfois des fautes d’orthographe, de syntaxe ou encore sont rédigés en anglais ;
• L’objet de l’e-mail est souvent lié à une perte de données clients, de coordonnées bancaires, menace d’une interruption de service proche, remboursement d’un trop perçu, impayé à régler ;
• L’adresse e-mail de l’expéditeur ou l’adresse de la page sur laquelle on vous demande de vous rendre ne correspondent pas au modèle officiel habituellement utilisé.

Plus de conseils sur le site de l’ANSSI : les 5 réflexes à avoir lors de la réception d’un courriel.

Si vous recevez un e-mail douteux d’un expéditeur inconnu : 

1. N’y répondez pas ;
2. Ne cliquez sur aucun lien contenu dans l’e-mail et n’ouvrez pas les pièces jointes ;
3. Signalez l’e-mail douteux sur le site du gouvernement prévu à cet effet : Signal Spam ;
4. Supprimez ensuite l’e-mail d’hameçonnage de votre messagerie.

Si l’expéditeur vous semble digne de confiance (service public, opérateur, banque…) : 

1. Méfiez-vous des questionnaires, promesses de gains, remboursement ou livraison non sollicitée ;
2. Vérifiez l’adresse e-mail de l’expéditeur ou l’adresse de la page sur laquelle on vous demande de vous rendre. Comparez-les avec les adresses habituellement utilisées ;
3. Ne transmettez jamais vos coordonnées bancaires ou votre mot de passe, ni par e-mail ni par téléphone.
4. En cas de doute, contactez le service client de l’organisme concerné et vérifiez avec lui la provenance du mail.
5. Signalez l’e-mail sur le site du Gouvernement dédié  : Signal Spam.
6. Supprimez ensuite l’e-mail d’hameçonnage de votre messagerie.

Si vous avez été victime d’un hameçonnage et avez communiqué vos informations personnelles :

• Changez le(s) mot(s) de passe(s) des sites ou de messagerie communiqué(s) ;
• Vérifiez les paramétrages de vos boîtes mails, supprimer tout transfert boit mail tierce ;
• Mettre à jour l’antivirus et scanner le disque dur.

Enfin mentionnons que la Cour de cassation a renforcé par un arrêt du 28 mars 2018 l’obligation de prudence pesant sur l’internaute victime de phishing. Elle a retenu la négligence grave du client, victime d’une opération d’hameçonnage, pour faire échec à l’obligation de garantie de la banque.

Mais elle a également rappelé le principe selon lequel c’est à l’établissement de crédit de rapporter la preuve de cette éventuelle négligence grave, laquelle ne peut se déduire du seul fait que l’instrument de paiement ou les données personnelles qui lui sont liées ont été utilisés.