Vous êtes ici :

  • Bureautique - Informatique,

Cybersécurité : identifiez les tentatives de hameçonnage

Publié le 6 avril 2023

Également connue sous le nom de "phishing", cette arnaque vise à obliger une victime à communiquer des informations sensibles (identifiants, mots de passe, numéro de carte bancaire), généralement par la tromperie ou l‘intimidation. C’est le premier levier d’action de très nombreux pirates car c’est l’une des méthodes qui reste le plus efficace. Comment les identifier ?

Cybersécurité : Hameçonnage
Cybersécurité : Hameçonnage

Comment reconnaitre une tentative ?

L’hameçonnage prend généralement la forme d’un message ou d’un appel inattendu, qui émane d’une personne connue ou d’une organisation d’apparence officielle. Cela peut être un collègue, une banque, une administration ou un faux support informatique. Le but étant de dérober des données personnelles ou confidentielles, le message vous demandera de transmettre des informations sensibles, comme un mot de passe ou des données bancaires.
Le vol de données peut également se faire par un fichier malveillant : dans ce cas, vous pouvez recevoir un e-mail qui parait légitime et qui vous demande d’ouvrir une pièce jointe ou de cliquer sur un lien. Le fait de cliquer va piéger votre machine.


Ne communiquez aucune information sensible par messagerie ou téléphone

Aucune administration ou société ne vous demandera jamais de données sensibles par messagerie électronique.
Il en va de même pour vos identifiants UPEC : les responsables informatiques de l’université ne connaissent pas votre mot de passe et n’en ont pas besoin pour effectuer leur travail.


Prenez le temps de l'analyse

Pour que l’hameçonnage fonctionne, la victime ne doit pas avoir le temps de se poser de questions. Le ton du message va souvent être alarmiste ou agressif. N’oubliez pas qu’une adresse de messagerie est très simple à usurper. Il est important de se poser quelques questions : est-ce que le ton du message est inhabituel pour le destinataire ? Est-ce que l’objet du message est étrangement générique, ou au contraire catastrophiste ? Est-ce que le message comporte beaucoup de fautes de français ou des tournures de phrases étranges ? En cas de doute, demandez une confirmation à l’expéditeur par un autre canal.


Inspectez les éléments reçus

Si vous recevez un message électronique contenant un lien, positionnez votre curseur sur ce lien sans cliquer. Cela affichera l’adresse réelle vers laquelle conduit le lien et vous permettra d’en vérifier la vraisemblance. Si vous consultez le message depuis un téléphone portable, certain téléphones permettent de vérifier le lien en maintenant enfoncé le lien, mais vérifiez en amont que votre téléphone le permet. En cas de doute, le plus simple est de ne pas utiliser le lien du tout. Si la demande vient d’un organisme, rendez-vous sur son site. Si elle vient d’une personne, demandez confirmation.
Cela vaut également pour les pièces jointes que vous n’avez pas sollicitées : un fichier au nom générique que vous n’avez pas demandé, associé à une demande insistante, doit vous faire douter.


Utilisez des mots de passe différents pour chaque site et application

En cas de vol de l’un d’entre eux, seul ce site sera compromis, alors que le vol d’un mot de passe utilisé sur plusieurs sites vous fera courir beaucoup plus de risques.


En cas de problème, réagissez sans attendre

Si, malgré vos précautions, vous pensez vous être fait piéger, contactez sans délais l’adresse rssi@u-pec.fr, le support utilisateur, et l’adresse spamabuse@u-pec.fr en communiquant tous les éléments de preuve qui vous paraissent utiles (le message reçu, la pièce jointe, etc.).


En résumé : 

  • Soyez vigilants et analysez les mails que vous recevez : repérez les fautes d'orthographe, tournures de phrases étranges, une tonalité alarmiste
  • En cas de doute, ne cliquez pas sur les liens, n'ouvrez pas les fichiers et ne transmettez pas d'infos sensibles
  • Contactez sans délais l'adresse rssi@u-pec.fr si vous avez été piégé