Nous avons tous déjà ouvert notre boite mail et pesté sur le fait qu’il y ait des mails non sollicités comme des pub, des newsletter non sollicitées, des annonces de superbes occasions à ne pas rater, etc. On a presque tous aussi déjà reçu des sms de pub ou d’arnaque nous incitant à aller en urgence sur un site pour valider notre compte sous peine de perdre un gain colossal. C’est un peu tout cela le spam.
Partout on vous dit “n’ouvrez pas les spams”, “attention au phishing» ou encore “ca c’est un scam !” …
Mais… C’est quoi exactement tous ces termes ? Quelle réalité se cache derrière ? A quoi faut-il faire attention ?
Nous sommes tous victimes de spam, de scam et de phishing à un moment ou à un autre. Quelle est la différence ?
Qu’est ce que le spam, le phishing et les variantes ?
Il y a plusieurs catégories de spam. Certains sont inoffensifs, mais d’autres sont particulièrement fourbes et dangereux. Nous allons décortiquer un peu tout cela.
Spam
Le spam est un message non sollicité, souvent générique. Il se caractérise par le fait que nous n’avons rien demandé et pourtant nous recevons un SMS, un email ou un appel téléphonique.
Il est aussi appelé “Junk mail” par certaines messageries.
Phishing
Ce qu’on appelle le Phishing est une tromperie générique pour nous inciter à mettre des coordonnées, souvent bancaires sur un site qui ressemble à un site connu (la poste, la CAF, votre banque, etc.)
Spear-phishing
Le spear-phishing est juste du phishing mais personnalisé. C’est la nouvelle tendance pour faire en sorte d’éteindre notre vigilance : personnaliser l’email en indiquant un prénom, une zone géographique, etc. de sorte que nous cliquons avec plus de confiance sur les liens présents dans le mail ou le SMS.
Scam
Le scam est une escroquerie. On nous demande, par exemple, notre aide pour récupérer une forte somme d’argent pour laquelle nous aurons un pourcentage.
Quels sont les risques ?
Que ce soit pour un compte particulier ou pour un compte d’entreprise, un phishing réussi peut être grave ou dramatique. Dans le cas d’un scam, c’est toujours dramatique.
Les conséquences peuvent être :
- Nuisance ou sabotage (suppression de données, atteinte à l’image, etc.)
- Demande de rançon
- Espionnage
- Fraude
- Usurpation d’identité
Ce ne sont donc pas des risques anodins.
Comment lutter contre le spam ?
De nombreuses personnes malhonnêtes essaient de nous inciter à leur donner nos informations bancaires, nos numéros d’identification, nos numéros de carte de crédit et autres informations personnelles. Ils utilisent le spam, le phishing et d’autres tactiques trompeuses.
Pour lutter contre ces fléaux, les services de messagerie ont mis en place de nombreuses méthodes. Bien qu’elles soient efficaces elles nécessitent pourtant que nous soyons toujours hyper vigilant.
Je vais prendre GMail comme exemple, mais je suppose que les autres messageries sérieuses ont le même genre de dispositifs.
Éléments mis en oeuvre :
- blocage du phishing «sûre» → ceux là n’arrivent même pas dans votre boite mail
- blocage du spam “certain” → ceux là n’arrivent même pas dans votre boite mail
- mise dans le libellé “spam” des message douteux
- mise dans le libellé “spam” des phishing douteux
- quand le score est haut mais pas assez pour que google soit sure de son classem*nt, message d’alerte en haut du message en jaune apparaît (je n’ai pas d’exemple dans mes différents boites)
- les images contenus dans le mail ne chargent pas directement si l’émetteur n’est pas dans nos contacts (une personne est dans nos contacts si nous lui avons déjà écrit ou si nous l’avons explicitement ajouté à nos contacts)
Dans GMail, nous avons une boîte à spam. Le libellé spam dans lequel arrive ce que Google considère comme du spam. Le contenu de ce libellé n’est pas proposé dans les recherches par défaut et ne pollue donc pas notre espace vital.
Il contient par défaut tout ce que google considère comme spam, phishing et scam mais pour lequel il a un petit doute. De ce fait, tous les messages de ce libellé sont supprimés après 30 jours de présence.
Au début de l’utilisation de GMail, il est conseillé d’aller faire un tour toutes les semaines dans ce dossier pour voir s’il n’y a pas des faux-positifs et reclasser ainsi les messages.
A notre niveau, nous avons tous de bons réflexes à prendre pour éviter de se faire escroquer.
L’émetteur
D’abord, prenons l’habitude de vérifier l’émetteur.
il y a une petite flèche pour “afficher les détails» à chaque email dans notre boite.
En cas d’émetteur inconnu, il est important de jeter un oeil, même si le message n’est pas considéré comme spam par Google.
Si l’adresse d’émission et celle de réponse ne sont pas identiques ou si notre nom apparaît dans l’émetteur, il faut aussi prendre toutes les précautions nécessaires.
Lorsqu’un message n’est pas authentifié, un point d’interrogation apparaît à côté du nom de l’expéditeur. Cela signifie qu’il est impossible de savoir si le message provient effectivement de la personne qui semble l’avoir envoyé. Dans un tel cas, toutes les précautions nécessaires avant de répondre ou de télécharger des pièces jointes devront être prises.
Dans cette même partie, on peut noter que si nous sommes en destinataire caché, c’est louche. S’il n’y a pas de destinataire visible aussi. Ça peut arriver sur des “vrais” messages comme des newsletters, mais c’est des cas spécifiques que nous devons être à même d’identifier.
Le contenu
Si le message est dans le libellé des spams, il est important de tenir compte de ce qui est indiqué. Pourquoi est-il là ? d’autres utilisateurs ont signalé ce message ? Des messages similaires ont été signalés ? etc.
Il faut prendre l’habitude de passer la souris sur les liens et de vérifier ce qu’ils contiennent. Il est tout à fait courant dans les phishing d’avoir un lien qui affiche par exemple lemondenumeriquedemelanie.com ou celui de votre banque ou des impôts, et qu’en fait l’adresse réelle sur laquelle ça envoie est autre chose. Vérifier cette cohérence permet de s’assurer de ce sur quoi on clique.
Ensuite, dans le cas des scam et phishing, le langage utilisé est souvent enfantin ou bourré de fautes ou encore d’expressions qui ne sont que des mauvaises traductions mot à mot. Mais ce n’est qu’une généralité, il y a des scam très bien francisés ! Ce critère est une indication, un bon français ne fait pas d’un mail un mail légitime pour autant.
Que faire quand on a identifié un phishing ou un spam ?
Comment signaler un spam ?
Nous pouvons contribuer à nous préserver du spam en signalant les messages de phishing et autres messages suspects.
Nous pouvons également signaler les sites de phishing en choisissant “Signaler comme hameçonnage» dans le menu déroulant situé à côté de l’en-tête du message dans l’interface de Gmail avant de le supprimer.
Nous pouvons aussi signaler comme spam tout message suspect, cela transférera le message à google qui fera une analyse approfondie pour intégrer ce message dans ses algorithmes de détection.
Que faire si on s’est fait piéger ?
Si on a cliqué sur un truc douteux et donné des informations qui n’auraient pas du être transmises, il faut dès que l’on s’en rend compte changer l’ensemble des mots de passe concernés. Activer la double authentification est aussi un bon réflexe.
Dans le cadre professionnel, le signaler immédiatement à son service informatique.
Dans le cas où ce sont les coordonnées bancaires qui ont été dérobées, il faut avertir immédiatement la banque.
Bonus : en France il y a des plateformes de signalement
La Cnil a une page détaillée : https://www.cnil.fr/fr/spam-phishing-arnaques-signaler-pour-agir.
Et des services publics permettent de mettre en place des procédures judiciaires si nécessaire :
En résumé : les bonnes pratiques
- Les organisations sérieuses ne demandent jamais d’informations personnelles ou sensibles par retour de mail
- Un service informatique ne vous demandera jamais de communiquer votre mot de passe
- Ne jamais se connecter sur un site sensible (banque, impôts, etc.) depuis un ordinateur partagé ou en libre service (aéroport, etc.)
- Toujours vérifier qu’une page Web est sécurisée (dans la barre d’adresse de votre navigateur cliquez sur le petit cadna) avant d’y saisir des informations confidentielles (numéro de carte bancaire, mots de passe, etc.)
- Ne pas saisir directement des informations personnelles dans les formulaires reçus par mail
- En cas de doute vérifier l’émetteur du mail
- Toujours vérifier les liens et en cas de doute aller sur le site depuis votre navigateur sans passer par le lien du mail
- Participer à l’effort collectif en signalant les spam, phishing et autres messages frauduleux aux systèmes prévus à cet effet
- En cas de doute, changer les mots de passe
- Activer autant que possible la double authentification
- Et enfin si vous vous êtes fait avoir : parlez-en ! Ce n’est pas honteux, il ne faut pas rester seul face a cela !