Le phishing ou hameçonnage consiste pour le fraudeur à se faire passer pour un organisme qui vous est familier (banque, administration fiscale, caisse de Sécurité sociale…), en utilisant son logo et son nom. Vous recevez un email dans lequel il vous est demandé de mettre à jour ou de confirmer, à la suite d’un incident technique, vos données personnelles, notamment bancaires. Quelques règles simples à mettre en œuvre suffisent pour ne pas tomber dans le piège.

1. Identifierle mail frauduleux

Pour vous inciter à ouvrir l’email, les pirates utilisent un intitulé qui déclenche la panique ou l’envie. Selon l’expéditeur, vous serez l’heureux destinataire d’un remboursement de 300 euros de la part de la Caisse d’allocations familiales (CAF) ou vous risquerez un blocage de votre compte bancaire ou ligne téléphonique. Le mot « urgent » est fréquemment employé.

Si l’email provient d’un prestataire qui n’est pas le vôtre (banque dans laquelle vous n’avez pas de compte, opérateur téléphonique différent…), supprimez-le sans l’ouvrir.

2. Vérifier l’adresse

Si vous l’avez déjà ouvert, ne cliquez surtout pas sur le lien proposé. En l’ouvrant, vous avez peut-être déjà permis à son expéditeur d’installer un virus sur votre ordinateur.

Toutefois, les plus gros dégâts sont à venir si vous communiquez vos coordonnées bancaires. Sachez qu’une banque n’envoie jamais d’email à ses clients pour leur demander de mettre leurs informations à jour directement en cliquant sur un lien. Ce type de réactualisation s’effectue uniquement depuis le site internet de la banque. Si l’expéditeur vous semble crédible mais que vous avez un doute sur la véracité du mail, la solution la plus simple consiste à vérifier l’adresse de l’expéditeur. En apparence, elle paraît légitime mais en passant le pointeur de la souris dessus, on peut afficher l’adresse complète. S’il s’agit d’une tentative de phishing, l’adresse sera totalement farfelue et rarement en .fr ou .gouv. Des emails en anglais ou contenant de nombreuses fautes d’orthographe sont aussi des signes qui doivent alerter.

 

3. Signaler le contenu

Vous pouvez indiquer ces escroqueries sur la plate-forme PHAROS (Plate-forme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements). Elle est accessible sur le site www.internet-signalement.gouv.fr. Elle permet aussi de désigner les sites internet dont le contenu est illicite. Votre information sera traitée par un service de police judiciaire. Après vérification, les renseignements donnés sur la plate-forme sont orientés vers un service d’enquête. Si le contenu mentionné est frauduleux mais vient de l’étranger, ce qui est généralement le cas avec le phishing, il est transmis à Interpol qui l’oriente vers les autorités judiciaires du pays concerné. Ces plate-formes ne concernent que les mails et les sites internet.

4. Tester son email

Si vous recevez souvent ce type d’email d’hameçonnage, il est probable que votre adresse a été récupérée lors du piratage d’un site dont vous êtes utilisateur. Il peut s’agir d’une plateforme de vente en ligne, d’un réseau social ou d’un site de streaming vidéo, qui impose d’entrer son email pour vérifier son âge. Afin de savoir si votre adresse a été récupérée et surtout, d’où vient la fuite, vous pouvez utiliser le site https://haveibeenpwned.com/(Est-ce que j’ai été piraté, en argot américain). Le site est en anglais mais son utilisation est enfantine : il suffit de taper son email dans le cadre blanc. Si la page devient verte, votre adresse n’a pas été piratée. Si la page devient rouge, elle a été récupérée lors du piratage d’un site. La liste des sites concernés est indiquée en bas de page. Pas de panique si vous découvrez que vous avez été piégé, il vous faudra juste redoubler de vigilance à l’ouverture de vos emails, changer votre mot de passe, et idéalement créer une nouvelle adresse pour les correspondances stratégiques, avec la banque et l’assureur par exemple.

Corinne Le Gall