Issu de l’anglais « password harvesting fishing », signifiant « pêche aux mots de passe ». Traduction française officielle « Filoutage ». Le terme québécois « Hameçonnage » est plus imagé et donc souvent utilisé.
Consiste à abuser de la crédulité de l’internaute.
Celui-ci reçoit un courriel reprenant la charte graphique d’une société ou d’une administration notoirement connue (banque, opérateur téléphonique, PayPal, Impôts, CNSS…)
L’objectif est d’attirer l’internaute vers un site internet en utilisant toutes sortes de raisons auxquelles il est particulièrement sensible (sécurité, utilisation frauduleuse, remboursement…)
En cliquant sur le lien proposé dans le courriel, l’internaute se trouve connecté sur un site à la même signalétique. Il y est invité à fournir des informations confidentielles (codes d’accès, n° de carte bancaire…) sans se rendre compte de la fraude.
Les pirates récupèrent ainsi facilement ces codes afin d’effectuer des opérations pour leur propre profit.
Méfiez-vous des demandes (trop) urgentes d’informations personnelles, que ce soit par courriel, appels téléphoniques, messages vocaux ou SMS.
Méfiez-vous des courriels et des sites internet en (trop) mauvais français contenant des fautes d’orthographe grossières, des fautes de grammaire, des tournures de phrase inhabituelles, des caractères issus d’alphabets étrangers…
Ne vous fiez pas à l’adresse de l’émetteur d’un message (De :), il est facile d’y mettre ce que l’on veut.
Ne vous fiez pas aux informations personnelles contenues dans le courriel. Elles ne cherchent qu’à le crédibiliser et ont pu être dérobées à votre insu.
Éviter de suivre les liens dans les courriels. Préférez, quand c’est possible, une saisie de l’adresse du site dans votre navigateur ou utilisez un « favori ».
Utilisez les fonctions anti-phishing des navigateurs et des anti-virus récents.
Vérifiez régulièrement les opérations effectuées sur vos comptes et votre carte bancaire.
Si vous avez le moindre doute, si vous avez cliqué sur le lien et surtout si vous avez fourni des informations confidentielles, contactez rapidement votre agence.
Si vous en avez la possibilité, transférez le mail reçu à l’adresse qui vous sera donnée par votre conseiller, puis détruisez-le.
Si vous avez communiqué vos identifiant et mot de passe d’accès à la banque en ligne, en plus du contact agence, modifiez immédiatement votre mot de passe en vous connectant à votre banque en ligne.
Si vous avez communiqués vos informations de cartes bancaires (numéro de carte, code pin, date d’expiration, cryptogramme ou code à 3 chiffres), faites opposition à votre carte bancaire le plus rapidement possible.
Le Crédit du Maroc n’utilise jamais la messagerie électronique pour demander à ses clients d’intervenir sur leurs informations confidentielles.
Certains courriels d’hameçonnage, au visuel d’organisations non bancaires (opérateurs téléphoniques,…), n’ont pour unique finalité que de vous dérober vos secrets bancaires (particulièrement ceux des cartes bancaires).
Le phishing par téléphone (Vishing) : Le pirate vous appelle ou fait en sorte que vous l’appeliez.
Pour cela il utilise toutes sortes de raisons auxquelles vous serez particulièrement sensible (sécurité, utilisation frauduleuse, remboursement…).
Il va tenter d’obtenir vos informations confidentielles, soit via un serveur vocal, soit lui-même par un argumentaire particulièrement efficace.
Le phishing par SMS (Smishing) : L’accroche se fait par SMS, vous incitant à vous connecter sur un site internet, appeler un n° de téléphone, voire envoyer un SMS.
Le « Spam » est un courriel non sollicité (voir indésirable), envoyé en grande quantité, le plus souvent à des fins publicitaires.
Traduction française officielle « pourriel ».
Le pourriel est un courriel support :
La plupart des « spams » sont émis depuis des réseaux d’ordinateurs infectés (« botnet de zombies » voir logiciels malveillants). Cette technique permet de ne pas pouvoir facilement remonter à la source de la malveillance.
Le carnet d’adresse du poste infecté est parfois utilisé pour crédibiliser les pourriels.
Si vous utilisez des logiciels de messagerie sur votre ordinateur (Outlook, Thunderbird …) équipez-vous d’un logiciel anti-spam, très souvent inclus dans les logiciel anti-virus.
Si vous utilisez le site de courriels de votre opérateur Internet ("webmail"), assurez-vous que l’option anti-spam est activée.
Lorsque cela est possible, désactiver l’affichage systématique des images contenues dans les courriels.
Vous recevez un courriel vous proposant des produits à un prix extrêmement attractif : Résistez à la tentation et détruisez le courriel
Vous recevez un courriel vous informant d’une nouvelle catastrophique ou révoltante. Vérifiez avant tout s’il s’agit d’un canular sur les sites spécialisés comme www.hoaxbuster.com
Mais comment ont-ils eu mon adresse ? Qui leur a donné ?
Un lien dans le courriel vous propose de ne plus recevoir de courriel de cet émetteur. S’il provient d’un site légitime et que vous ne souhaitez plus recevoir d’information de sa part :
S’il ne provient pas d’un site légitime :
Toutes ces malveillances peuvent également être véhiculées par SMS.
On parle d’informations dévoilées car certaines de vos informations confidentielles circulent et sont visibles à votre insu lorsque vous naviguez sur Internet, lorsque vous utilisez votre messagerie, des blogs, des réseaux sociaux ou lorsque vous les renseignez dans une application qui va les utiliser.
Les technologies autour de l’Internet ne sont pas toujours sécurisées.
Certaines techniques d’attaque permettent au pirate d’intercepter les données que vous échangez pour les utiliser à leur profit.
Les points sensibles sont :
Sur les sites sensibles vérifiez que l’adresse est du type https://site-sensible. Un cadenas fermé doit apparaitre dans un coin de votre navigateur pour indiquer que votre navigation est protégée (chiffrée). Un clic sur le cadenas donne des informations sur le site.
Lorsque vous envoyez un courriel, agissez comme si vous postiez une carte postale et non un courrier sous enveloppe.
Lorsque vous accédez à vos comptes bancaires pour visualiser des informations, effectuer des opérations et gérer vos comptes :
Assurez-vous que vos logiciels, et particulièrement votre navigateur, sont bien au dernier niveau de mise à jour.
Vérifiez régulièrement les opérations effectuées sur vos comptes et votre carte bancaire.
Si vous détectez des opérations frauduleuses sur vos comptes ou vos cartes bancaires : Contactez rapidement votre agence.
Toutes les opérations sensibles du Crédit du Maroc sont sécurisées en https.
Le terme « Mobilité » s’applique :
La problématique des téléphones mobiles multimédia (smartphone, iPhone…) est abordée dans une rubrique particulière.
Voir également la sous-rubrique « Les informations transmises ».
Dans cette situation, l’ordinateur est relié à Internet par un réseau sans fil permettant une mobilité de celui-ci :
L’utilisateur se connecte à l’Internet avec un ordinateur
Certaines techniques d’attaque vont chercher à intercepter les données que vous échangez, ou les traces que vous avez laissées, pour les utiliser à leur profit.
Opérations sensibles :
Si vous devez effectuer des opérations dites sensibles telles que visualiser vos comptes bancaires en ligne, effectuer des achats en ligne ou toute autre opération nécessitant la saisie d’informations confidentielles :
Connexion Wifi :
Ordinateurs en libre service (cybercafé…)
Bluetooth :
Messagerie :
Sur votre ordinateur :
Banque :
« Malware » est issu de l’anglais « malicious software », c’est-à-dire « logiciel malicieux ».
Le terme « virus » est souvent employé abusivement car les virus ont été historiquement les premiers logiciels malveillants. Un logiciel « anti-virus » cible tout « logiciel malveillant »
C’est un logiciel qui a été installé à votre insu sur votre ordinateur.
Les moyens d’infection sont nombreux :
Son fonctionnement est totalement invisible, il dépend du logiciel malveillant et parfois du site Internet sur lequel l’internaute désire se connecter
Les objectifs des escrocs qui les exploitent sont divers :
Votre ordinateur infecté est appelé « zombie », intégré à un réseau (« botnet » ou réseau de robots) de plusieurs milliers d’autres ordinateurs infectés.
Les logiciels malveillants se mettent à jour automatiquement en contactant par Internet leur centre de contrôle. La version téléchargée leur apporte de nouvelles fonctionnalités et une nouvelle signature, les rendant indétectables pour quelques temps.
Équipez-vous d’un anti-virus et d’un pare-feu (firewall). Il en existe de nombreux sur le marché, parfois gratuit ou déjà présents sur votre ordinateur (firewall Microsoft Windows par exemple)
Maintenez à jour l’antivirus et l’anti-spyware, et effectuez un scan régulièrement. Au moins une fois par semaine.
Effectuez régulièrement les mises à jour de votre système pour corriger les failles de sécurité.
Vérifiez régulièrement les opérations effectuées sur vos comptes et votre carte bancaire.
Attention aux mails d’origine inconnue avec une pièce jointe.
Attention aux sites douteux, sites à caractère pornographique, sites de téléchargement illégal …
Si vous détectez des opérations frauduleuses sur vos comptes ou vos cartes bancaires :
Vérifiez que votre anti-virus et votre anti-spyware sont opérationnels et à jour. Effectuez un scan.
Si un logiciel malveillant (virus, backdoor, logiciel espion …) est détecté, faites-le éradiquer par votre anti-virus ou votre anti-spyware, puis seulement après, modifiez les codes secrets d’accès à tous les services Internet protégés par ce type de contrôle d’accès.
Si aucun malware n’a été détecté, ou si vous voulez effectuer un deuxième contrôle, vous pouvez exécuter un ‘scan en ligne’ depuis Internet, en utilisant les solutions offertes par les grands éditeurs d’anti-virus.
On me dit que j’envoie des virus.
Selon leur mode opératoire, les logiciels malveillants peuvent également être nommés :
On utilise le terme « scam » en anglais qui signifie escroquerie ou ruse.
En français, on utilise aussi le terme « arnaque ».
On parle parfois de scam africain car c’est une source importante de ce type de malversation (Côte d’Ivoire et Bénin pour les courriels en français)
On parle également de scam 419 en référence à la loi n° 419 du Nigéria, réprimant ce type de pratique. Le Nigéria est réputé pour être à la source de nombreux scam en anglais.
Vous recevez un courriel indésirable (voir pourriel) qui va chercher à abuser de votre crédulité ou de votre compassion pour vous soutirer de l’argent.
Méfiez-vous des gains trop faciles, ils cachent généralement une escroquerie. C’est le cas de nombre d’arnaque qui vous demande de payer des frais à l’avance. C’est aussi le cas de certains sondages qui vous offrent un cadeau en remerciement, ou de pages web qui vous proposent des produits à prix extrêmement bas.
Un avocat ou un huissier a le plus souvent une adresse de courriel au nom de son cabinet.
Méfiez-vous des adresses obtenues sans contrôles chez les grands opérateurs mondiaux : gmail, hotmail, yahoo…
Méfiez-vous tout particulièrement des mails avec des numéros de téléphone étranger.
Si un de vos amis vous réclame de l’aide en grande urgence, essayez de vérifier qu’il s’agit bien de lui en croisant plusieurs informations.
Ne donnez jamais vos codes de cartes bancaires pour payer les frais de livraison d’un cadeau, ou de produits à prix ‘cassés’, sans vous assurer de la pertinence et de la notoriété du site web ou de la société à l’origine de l’offre.
Déposer plainte en expliquant que vous avez été victime d’une arnaque sur Internet et que vous avez envoyé des fonds à telle personne.
Lorsqu’il organise une loterie, le Crédit du Maroc ne demande jamais le paiement de frais pour obtenir votre gain.
D’autres formes d’arnaque cherchent à vous faire dépenser de l’argent en vous incitant à contacter des numéros surtaxés dont ils récupèrent une partie du profit :
Les « réseaux sociaux », également appelés média sociaux ont pour objectif de communiquer en toute simplicité avec ses amis et les membres de sa famille, ainsi qu’avec des personnes partageant les mêmes centres d’intérêt ou activités.
Ils permettent aux utilisateurs de devenir membre d’une communauté en ligne.
Ces dernières années, les sites de médias sociaux ont connu un essor considérable. Ils sont devenus un mode de communication incontournable.
Les « réseaux sociaux » sont techniquement des sites Internet.
Les plus populaires sont Facebook, YouTube, MySpace, Linkedln, Viadéo, Twitter, Les copains d’avant, mais il en existe bien d’autres… Cependant, le plus répandu est toujours Facebook.
Les fonctions clés sont les « Profils » et « Listes d’amis »
Ils permettent diverses fonctions :
Les sites de média sociaux sont aujourd’hui plus populaires que les messageries électroniques classiques sur Internet.
Il existe principalement trois types de menaces :
Continuez à les utiliser mais prenez garde à :
Il en va donc de VOTRE responsabilité d’utiliser les médias sociaux de manière sécurisée.
Vous pensez être victime d’une usurpation d’identité :
Vous retrouvez votre photo sur un autre site ou dans les mains d’un individu qui cherche à vous nuire :
Vous avez suivi un lien vers un site qui vous demandait des informations bancaires confidentielles :
Quelles informations protéger ?
Les informations bancaires :
Tout d’abord, vous devez considérer comme hautement confidentiel l’ensemble de vos codes et identifiants bancaires qui permettent soit de se connecter aux services en ligne soit d’effectuer des règlements :
Les mots de passe de connexion
Ne doivent jamais être communiqués afin d’assurer la sécurité de vos données et opérations bancaires, sauf sur :
Les codes de sécurité à usage unique
Ne doivent jamais être communiqués afin d’assurer la sécurité de vos opérations bancaires, sauf sur :
ATTENTION : Si vous avez reçu un code de sécurité en dehors des deux cas précédents, alors il s’agit d’une tentative de fraude ou d’une erreur de coordonnées téléphoniques. Contactez rapidement votre agence pour vérification.
Le code confidentiel de votre carte de crédit (code pin)
Ne doit jamais être communiqué, sauf sur :
Sont également à protéger :
Les informations personnelles :
Mais au delà de ces précautions, certaines données personnelles non sensibles individuellement, se révèlent être potentiellement dangereuses dès lors qu’elles sont associées aux données bancaires. Par exemple : Vos noms et prénoms associés à votre numéro de RIB peuvent permettre aux pirates de lancer des campagnes de phishing particulièrement efficaces.
Ces informations personnelles sont :
Toute modification de vos informations personnelles doit être signalée sans délai à votre banque.
Certaines de vos informations bancaires vous permettent d’accéder à vos services en ligne (Numéro de compte + mot de passe) ou d’effectuer des paiements en ligne (Numéro de carte bancaire, date de validité et code cryptogramme). Si quelqu’un de mal intentionné est en possession de ces informations, il pourra les utiliser à votre insu.
De même, les codes de sécurité à usage unique sont la cible des pirates, car ils permettent d’effectuer des opérations frauduleuses. Ces codes sont généralement reçus par SMS, ou par synthèse vocal sur un téléphone fixe, ou par email. Ils permettent de sécuriser des opérations effectuées sur Internet telles que :
Les pirates tentent de dérober ces codes par différents moyens techniques plus ou moins complexes, tel que l’affichage d’une fenêtre vous demandant ce code sous de faux prétextes de sécurité, ou le piratage de votre messagerie par le vol de votre identifiant de messagerie et son mot de passe.
Quelques bons réflexes peuvent vous éviter de nombreux désagréments :
