Le phishing ou hameçonnage consiste à amener un utilisateur sur une page de connexion d’un service connu afin de récupérer ses identifiants de connexion pour pouvoir ensuite accéder à son compte. Les principaux comptes ciblés sont ceux de la messagerie Gmail, ainsi que les sites bancaires.
Comment fonctionne l’attaque ?
Cela paraît compliqué aux premiers abords, mais cette attaque est en réalité très simple. Vous recevrez un e-mail dans votre boîte de réception, qui provient d’un de vos contacts (qui a été piraté juste avant vous) ou d’une adresse ressemblant à une adresse officielle, comme compte.facebook@gmail.com. Il y aura surtout une pièce jointe ou un lien dans cet email, qu’on vous invite à ouvrir de toute urgence, parce que sinon, votre compte va être désactivé, ou tout autre prétexte alarmant, pour vous pousser à cliquer au plus vite dessus.
En cliquant sur ce lien ou ce fichier, vous ouvrez une page qui vous invite à vous connecter à votre compte Facebook Gmail, BMCE, BMCI ou encore Dropbox.
La copie est toujours très proche du vrai site, pour mieux duper les victimes, mais il y a toujours un détail frappant : l’URL affichée, c’est à dire l’adresse de la page affichée dans la barre n’est pas une adresse du site en question.
Si on n’y fait pas garde, on saisie ses identifiants. Rien ne se passe quand on valide, votre login et votre mot de passe ont déjà été envoyés au pirate. Les données recueillies de cette manière sont ensuite revendues, bien évidemment.
Comment se protéger de cette forme d’attaque ?
Soyez attentif sur les liens et pièces jointes qu’on vous envoie. N’ouvrez pas les messages dont la provenance ou la forme est douteuse. Ne vous laissez pas tromper par un simple logo .
Il existe une protection infaillible contre cette menace : la vérification en deux étapes. Cela peut être un peu contraignant, mais vous serez bien content de l’avoir activé en cas de tromperie de ce type. Lorsque vous activez la validation en deux étapes (également nommée « authentification à deux facteurs »), vous ajoutez un niveau de sécurité supplémentaire à votre compte. Vous vous connectez à l’aide d’informations que vous seul connaissez (votre mot de passe) et que vous seul possédez (votre téléphone). Avec la validation en deux étapes, vous protégez votre compte contre les pirates informatiques, même si ceux-ci détiennent votre mot de passe.
La validation en 2 étapes sur un compte Gmail ou G Suite est très simple et très rapide à activer.
Munissez vous de votre téléphone et suivez les étapes : Activer la validation en 2 étapes