Blog GlobalSign

30 nov. 2016

Halte au hameçonnage ! Nos conseils pour repérer les e-mails malveillants

La menace de hameçonnage (ou phishing) pèse toujours très lourdement sur les entreprises, en termes de sécurité réseau (95 % des attaques sont dus à un hameçonnage ciblé [ou spear phishing]) et sur le plan financier (les entreprises ont été escroquées de plus de 2 milliards de dollars US ces deux dernières années). Heureusement, le fait d’éduquer les utilisateurs permet de limiter les dégâts de ces arnaques. Plus les utilisateurs sont nombreux à connaître l’existence de ce type d’attaques, plus ils voient d’exemples et reçoivent de conseils pour les identifier, et moins ils ont de risques d’être victimes.

Parcourons maintenant quelques types d’attaques de phishing connues et voyons comment les repérer.

Scenario 1: Vous recevez un e-mail d'un inconnu

L’adresse e-mail vous paraît-elle suspecte ?

Je dirais que le plus important pour repérer un e-mail de phishing est d’étudier la source. Réfrénez votre envie de vous plonger immédiatement dans le contenu de vos messages, et penchez-vous sur l’expéditeur.

Si vous ne le connaissez pas, étudiez l’adresse de plus près. Ne regardez pas uniquement le nom qui s’affiche. Observez l’adresse et le domaine. Ont-ils l’air suspects ? Un soupçon peut être subjectif, mais certains signes sont évocateurs : fautes d’orthographe, chaînes de lettres et de chiffres incompréhensibles, incohérence entre les noms affichés et l’adresse e-mail (mailto).

Étudions par exemple l’e-mail reçu ci-dessous. Le nom de l’expéditeur ne veut rien dire et ne correspond pas à l’adresse « mailto ». Je n’ai par ailleurs pas reconnu le nom de domaine. Cela me semble plutôt louche et j’éviterais de cliquer sur quoi que ce soit dans cet e-mail. Mais si je n’avais pas pris le temps d’inspecter l’adresse, j’aurais pu me laisser prendre par le caractère urgent du message, qui dit en anglais que si j’ignore ce message, mon ordinateur portable sera « à tout jamais irrécupérable » ?! C’est exactement ce que les hackers veulent vous faire croire. Ils jouent avec vos émotions pour détourner votre attention des signes qui pourraient vous alerter sur le fait que l’e-mail est un faux.

check the sender address for phishing

Que contient l’e-mail ? L’attendiez-vous ?

Maintenant, que faire si vous recevez un e-mail d’un inconnu, mais que l’adresse de l’expéditeur n’évoque rien d’alarmant ? Suivant le poste que vous occupez et le type d’entreprise dans laquelle vous travaillez, vous avez peut-être l’habitude de recevoir des messages légitimes de la part de nouveaux contacts.

Au lieu de lister les façons de savoir si ces e-mails sont légitimes (dans la mesure où cela dépend en grande partie de la situation), nous évoquerons plutôt les points de vigilance auxquels vous devrez prêter attention. Je m’appuierai sur le message suivant pour illustrer mon propos.

was I expecting this email?

Cet e-mail m’a immédiatement mis la puce à l’oreille, car je n’avais absolument rien demandé.  Je ne connais pas l’entreprise et je n’avais certainement rien commandé chez eux. Il était par conséquent hors de question que je télécharge cette pièce jointe.

Vu de l’extérieur, cela semble évident, mais il suffit souvent de se poser cette question toute simple – « est-ce que j’attends cet e-mail ? » – pour repérer instantanément les attaques potentielles.

D’autres conseils pour repérer les e-mails de phishing provenant d’inconnus

L’exemple ci-dessus contient plusieurs signaux d’alerte qui permettent de penser qu’il s’agit potentiellement d'un e-mail de phishing. Soyez à l’affût de ces signes, car ils peuvent vous aider à identifier les e-mails malveillants avant qu’ils ne fassent de vous une victime.

  • Objet vague : aucune référence à un numéro de commande, à un produit, etc.
  • Grammaire : usage répétitif de « s’il vous plaît/SVP » dans le corps du message, tournures de phrases maladroites.
  • Manque de personnalisation : la formule de salutation indique seulement « salut » ou « hi/hello », ce qui est étrange pour un e-mail aussi spécifique (il ne s’agit pas d’un envoi en masse).
  • Manque de détails : formulation très simple, aucun détail sur le produit ou le service, pas de référence à un contact précédent.
  • Nom du fichier : le nom de la facture n’est pas spécifique à un projet ou à une société, il n’y a aucun détail.
  • Signature incohérente : les informations dans la signature de l’e-mail ne concordent pas avec les informations sur l’expéditeur (nom et adresse e-mail)

Scénario 2 : Vous recevez un e-mail d'une personne que vous « connaissez »

J’ai utilisé des guillemets, car nous avons montré par le passé qu’il était extrêmement simple d’usurper une adresse e-mail. Un hacker est capable d’usurper des adresses e-mail déjà utilisées. Par conséquent, si l’e-mail semble provenir d’un expéditeur avec qui vous avez déjà été en contact, méfiez-vous toujours des liens et pièces jointes.

J’ai par exemple reçu l’e-mail ci-après de « security@globalsign.com » alors que personne de chez GlobalSign ne l’avait envoyé.

phishing email from someone you know

Que faire, s’il est impossible de se fier à l’adresse de l’expéditeur pour déceler qu’il s’agit d’un faux e-mail ?

Vérifiez la présence d’une signature numérique

Comme vous le savez déjà, nous recommandons de signer numériquement tous les e-mails d’entreprise. La signature numérique d’un e-mail lie l’identité en ligne de l’expéditeur qui a été vérifiée par un tiers à ses communications électroniques. En clair : si vous recevez un e-mail signé numériquement de la part d’une personne que vous connaissez, vous avez l’assurance que le message provient bien de cette personne et qu’il ne s’agit pas d’une arnaque.

Comment savoir si un e-mail a été signé numériquement ?

La plupart des clients de messagerie professionnels indiquent clairement si un e--mail a été signé numériquement. Microsoft Outlook inclut par exemple un ruban rouge.

what a signed email looks like in outklook

Lorsque l’on clique sur le ruban, des renseignements supplémentaires s’affichent sur le signataire et sur le certificat utilisé pour appliquer la signature, vous permettant ainsi de valider l’identité du signataire.

How can you tell if an email has been digitally signed?

Vérifiez TOUJOURS le lien avant de cliquer

Les hameçonneurs adorent cacher leurs liens malveillants dans de l’hypertexte. Vérifiez toujours l’adresse de destination (en la survolant avec la souris) avant de cliquer sur quoi que ce soit. Dans notre précédent exemple d’alerte de virus (« Virus Outbreak »), le lien nous redirige vers une URL suspecte – http://globalsign.uk.virus-control.com/... – qui ne correspond à aucune adresse Web légitime de GlobalSign.

Attention aux pièces jointes

Comme nous l’avons dit précédemment, prenez du recul et demandez-vous s’il est logique que cette personne vous envoie tel type de fichier. Vous avez reçu un e-mail des RH avec en pièce jointe un fichier PDF présentant la nouvelle mutuelle santé de l’entreprise... alors que vous savez pertinemment que le programme a changé il y a tout juste deux ou trois mois ? Le département Finances envoie un fichier Excel détaillant les résultats du premier trimestre.... alors que jusqu’ici, il ne les a jamais envoyés dans ce format ? Procédez de manière logique pour lutter efficacement contre certaines attaques ciblées.

Méfiez-vous des « signes légitimes trompeurs »

Les attaques de phishing se sont perfectionnées ces dernières années. Reprenons l’exemple de notre e-mail d’alerte au virus. En plus de l’adresse d’entreprise usurpée, d’autres éléments sont conçus pour donner au message une apparence de légitimité.

  • Un domaine a été enregistré (virus-control.com) pour donner l’impression que cette URL malveillante appartient à un véritable éditeur d’antivirus.
  • Le nom d’une véritable société d’antivirus – Kaspersky – a même été intégré à l’URL pour donner un faux sentiment de sécurité (voir le texte entouré en rouge plus haut).
  • L’urgence du message, signalé comme étant de la plus haute importance, l’utilisation de l’expression « at the earliest » (au plus tôt) dans le texte.

Ces éléments supplémentaires ne facilitent pas le repérage d’e-mails de phishing et mettent en évidence qu’il faut toujours réfléchir avant de cliquer ou de télécharger quoi que ce soit.

En cas de doute... ne cliquez pas !

Si vous doutez toujours de la légitimité d’un e-mail, nous vous invitons à la plus grande prudence. Certaines tentatives de hameçonnage peuvent être assez perfectionnées, les auteurs ayant manifestement une connaissance précise de leur cible et de l’entreprise. Ces attaques seront d’autant plus difficiles à déceler. Avant de cliquer sur un lien ou de télécharger une pièce jointe, vous n’avez rien à perdre à contacter l’expéditeur pour vérifier qu’il est bien l’auteur du message. Votre DSI pourra aussi vous aider à savoir si un e-mail est sûr ou pas. En cas de doute, transférez tout e-mail suspect à votre DSI ou DSSI pour leur demander de vérifier sa validité et pour les informer des tentatives de hameçonnage.

Curieux d’en savoir plus sur les moyens de lutter contre le phishing ? Revoyez notre webinaire sur la signature numérique et chiffrement pour la sécurité des e-mails

Partager ce blog