COMPRENDRE-INFORMATIQUE.COM

Deviens autonome dans l’utilisation de l’informatique et comprends ce que tu fais !

Comment reconnaître un e-mail frauduleux : guide complet

Dans cet article, nous allons aborder un sujet qui prend une place de plus en plus importante depuis les années 1990 et qui est devenu omniprésent de nos jours : la fraude par e-mail 📧. En effet, avec la démocratisation de l’Internet, les escroqueries ont pris de nouvelles formes. Tu as sûrement déjà reçu un e-mail bizarre, non identifié ou d’un expéditeur inconnu qui t’a posé des questions. Comment reconnaître un e-mail frauduleux ?

Cette pratique s’appelle lhameçonnage 🎣, ou en anglais, le phishing. Nous allons voir ici comment reconnaître facilement ces courriers indésirables. Je te montrerai plusieurs exemples concrets d’e-mails frauduleux qui vont sûrement te parler et te rappeler d’autres e-mails frauduleux que tu as déjà reçus. C’est un peu comme apprendre à distinguer un bon fruit d’un fruit pourri au supermarché. Rassure-toi, il n’est pas nécessaire d’être un spécialiste en informatique pour y arriver. Alors, c’est parti !

Cadre de cet article

Cet article se concentrera uniquement sur l’hameçonnage via e-mail. Je t’y expliquerai comment reconnaître les e-mails frauduleux. L’hameçonnage via les réseaux sociaux, SMS, codes QR ou encore messages instantanés feront l’objet d’articles à part entière.

⚠️ Si tu as déjà ouvert une pièce jointe, cliqué sur un lien ou révélé des informations confidentielles suite à la réception d’un e-mail frauduleux, cela sera également traité dans un article séparé. Cependant, je ne vais quand même pas te laisser dans la mouise et je te recommande de suivre les étapes de l’article « Vous avez cliqué sur un lien phishing, que faire maintenant ? » de metacompliance.fr. Bonne chance !

Prérequis

Pour comprendre cet article, tu dois connaître les concepts suivants :

🌐 Internet
📧 E-mail
📨 Logiciel de messagerie (par exemple : Outlook)
🔗 Lien
📎 Pièce jointe

Concepts expliqués dans cet article

Voici les concepts que nous allons explorer dans cet article :

🎣 Hameçonnage = phishing
🕵️‍♂️ Ingénierie sociale
🖥️💣Cyberattaque
🚫📧 Spam = courrier indésirable = pourriel
🔗🌐 URL

Qu’est-ce que le hameçonnage (phishing) ?

Le phishing (terme anglophone), ou l’hameçonnage 🎣, se réfère à l’envoi de messages frauduleux, que ce soit par e-mail, SMS ou sur les réseaux sociaux, dans le but de tromper les destinataires et de les inciter à divulguer des informations personnelles ou confidentielles 🔒, telles que des mots de passe, des informations financières, à envoyer de l’argent ou encore à cliquer sur des liens malveillants. 🔗😈

C’est comme si une personne mal intentionnée parait pêcher et le poisson, c’est toi. 🐟

L’hameçonnage est un type de cyberattaque 🖥️💣. Une cyberattaque est une tentative délibérée et malveillante d’exploiter, endommager, perturber ou accéder de manière non autorisée à des systèmes informatiques, réseaux, dispositifs électroniques ou données confidentielles. Voici quelques exemples d’autres types de cyberattaques :

  • 🦠 Malware (logiciels malveillants) : Des programmes informatiques conçus pour causer des dommages, voler des informations, ou permettre un accès non autorisé aux systèmes.
  • 🚫 Attaques par déni de service (DDoS) : Ces attaques visent à submerger un service, un site web ou un réseau avec un trafic excessif, le rendant ainsi indisponible pour les utilisateurs légitimes.
  • 💥 Attaques par force brute : Des attaques où les cybercriminels tentent d’accéder à un compte en essayant différentes combinaisons de mots de passe jusqu’à ce qu’ils réussissent.
  • 🔒💸 Ransomware : Un type de logiciel malveillant qui chiffre les données d’un utilisateur ou d’une organisation, exigeant ensuite le paiement d’une rançon pour restaurer l’accès.

L’hameçonnage, une pratique qui a toujours existé

Mais l’hameçonnage ne date pas d’Internet. Il a toujours existé mais sous d’autres formes. En effet, les hommes des cavernes s’envoyaient des e-mails sous forme de peintures murales dans les grottes et, pendant que la victime observait la peinture, elle recevait un coup de massue sur la tête. Plus sérieusement, avant Internet, il y avait par exemple l’envoi de courriers postaux ou d’appels téléphoniques frauduleux dans lesquels les fraudeurs se faisaient passer pour des représentants de banques ou d’organismes gouvernementaux, demandant aux victimes de divulguer leurs informations personnelles ou bancaires. Ces techniques reposaient sur la tromperie et la manipulation pour obtenir des informations sensibles, tout comme le phishing moderne sur Internet.

Qu’est-ce que le spam (courrier indésirable) ?

Le courrier indésirable est, comme son nom l’indique, du courrier qui est indésirable. 😄 Ça peut désigner des e-mails frauduleux ou de la publicité inoffensive mais non sollicitée. C’est comme si tu recevais des annonces publicitaires dans ta boîte aux lettres alors que cette dernière porte la mention « Pas de publicité svp ». « Courrier indésirable » est un peu long à prononcer et la vie est de toute façon trop courte pour prononcer « courrier indésirable ». Dans le langage courant, on utilisera plutôt le terme spam. Si on tient vraiment à défendre la langue de Molière, on peut aussi utiliser le terme pourriel (poubelle + courriel).

Pour la petite histoire, le mot spam est l’acronyme de SPiced hAM (jambon épicé) et vient d’un sketch des Monty Python (troupe d’humoristes anglais). Dans le sketch en question, le spam est une marque de jambon épicé en boîte vendue par une entreprise américaine et repris en masse pour brouiller la conversation. Tu trouveras plus d’infos à ce sujet dans cet article d’Altospam. Et voici un lien YouTube vers le fameux sketch de Monty Python (en anglais avec des sous-titres français).

L’ingénierie sociale

Maintenant, introduisons un concept-clé utilisé dans l’hameçonnage : l’ingénierie sociale. 🕵️‍♂️

Les systèmes informatiques ont leurs vulnérabilités. Ils doivent constamment être mis à jour et leur sécurité renforcée pour empêcher les intrusions par les pirates informatiques. Il s’agit d’un travail de longue haleine et sans relâche car les pirates trouvent constamment de nouvelles méthodes de plus en plus sophistiquées pour s’introduire dans les systèmes, les rendre inopérants, voler des données importantes ou même encore chiffrer ces données pour ensuite demander une rançon pour les déchiffrer (ransomware), etc.

Pour pirater un système informatique, l’attaquant doit identifier une vulnérabilité et l’exploiter. Mais ces vulnérabilités sont corrigées avec le temps. Malgré ces corrections régulières, dans tout système informatique, il existera toujours une vulnérabilité que le pirate pourra toujours exploiter. Il s’agit d’une vulnérabilité qui constitue la cible de choix des cyberattaquants et qui est beaucoup plus facile à exploiter que toutes les autres vulnérabilités. Il s’agit de…

Il s’agit de…

👥 L’ÊTRE HUMAIN ! 👥

Eh oui, même si un système informatique était à 100% inviolable (ce qui en réalité n’arrive jamais car tout pirate disposant de suffisamment de compétences techniques, d’informations, de temps et de motivation finira par arriver à pirater un système), il suffit qu’un humain en donne l’accès à un pirate et toute la protection informatique mise en place n’aura servi à rien du tout ! NIET !

Par exemple, si une entreprise possède des données financières enregistrées dans un système informatique ultra-sécurisé dont seul un nombre très restreint d’employés y a accès, plutôt que d’essayer de s’introduire dans le système avec des techniques informatiques hyper-sophistiquées comme dans les films et séries, le pirate informatique peut téléphoner à l’une de ces personnes et se faire passer pour un cadre qui a besoin urgemment de certaines données financières car sinon, on risque de perdre un client. « Oula ! Vite, vite ! On ne va pas quand même décevoir la hiérarchie et risquer de se faire virer ! Voici les informations ! »

Cette technique qui consiste à manipuler des personnes pour les amener à divulguer des informations confidentielles ou encore à fournir l’accès à un système à des tiers non autorisés s’appelle l’ingénierie sociale.

Et c’est cette technique qui est utilisée dans l’hameçonnage, ou phishing.

Les signes d’un e-mail frauduleux qui ne trompent pas

Les e-mails frauduleux, c’est un peu comme des caméléons numériques, ils se camouflent pour te tromper. Normalement, ces e-mails sont interceptés par ta boîte mail avant qu’ils n’arrivent dans ta boîte de réception et sont transférés dans un dossier « Courriers indésirables » (ou en anglais, spams). Mais l’algorithme de détection des courriers indésirables n’est pas parfait et il peut parfois les laisser passer quand même. Toutefois, ils laissent des traces que tu peux repérer facilement.

Le diable se cache dans les détails. 🔍😈

Expression populaire

Voyons ainsi les détails importants à repérer qui trahissent un e-mail (ou tout autre message) frauduleux :

L’expéditeur de l’e-mail

L’expéditeur est LE détail le plus important à examiner en premier lieu pour déterminer si un message ou un e-mail est suspect.

Qu’il s’agisse d’un e-mail, d’un SMS ou tout autre type de messages numériques, une tentative de phishing vient souvent d’un expéditeur que tu ne connais pas. C’est comme recevoir une lettre d’un inconnu qui te demande de l’argent. Tu serais très prudent, non ? C’est la même chose avec les emails frauduleux. Il arrive aussi que tu reçoives un message frauduleux d’un expéditeur qui se fasse passer pour quelqu’un (ou une société) que tu connais. Sois vigilant à l’adresse de l’expéditeur !

Comment interpréter le champ de l’expéditeur ?

Dans le cas de l’e-mail, il faut bien regarder ce que contient le champ de l’expéditeur (ou le « De: »). Dans ce champ, on trouve deux informations :

  1. Le nom affiché de l’expéditeur qui peut être le prénom et nom d’une personne, la raison sociale d’une société, le nom d’un site, etc.
  2. L’adresse e-mail qui prend toujours la forme suivante : email@nom_de_domaine. Le nom de domaine est ce qui se trouve après le @. Il est composé d’un nom et d’une extension (.com, .fr, .ch, .org, etc.). Exemple de nom de domaine : comprendre-informatique.com.

Or, quand on vérifie l’expéditeur, il faut bien faire attention à ne pas s’arrêter simplement à son nom, mais à bien vérifier l’adresse e-mail qui y est associée ! Car dans le nom de l’expéditeur, il est très facile pour tout le monde de mettre ce que l’on veut, contrairement au champ de l’adresse e-mail.

Exemples concrets

Voici un exemple d’un e-mail frauduleux que j’ai reçu et qui a directement été signalé comme spam. Il s’agit soi-disant d’un e-mail m’informant que j’ai un colis en attente de livraison (ah bon?) qui n’a pas pu être livré et je dois simplement cliquer sur un bouton pour confirmer mon adresse :

Cet e-mail essaie de paraître crédible en inventant même un numéro de suivi et une adresse postale (au Texas, alors que j’habite en Suisse 😄), mais si on jette un simple coup d’oeil à l’expéditeur, on s’aperçoit tout de suite de la supercherie.

Dans le champ de l’expéditeur (« De : »), le nom affiché est « Post-Tracking » qui paraît légitime, mais ensuite, entre <> apparait l’adresse e-mail XUnuPsOR@fweyt.ch qui…

  • … contient une suite de lettres qui ne veut rien dire
  • … a fwezt.ch pour nom de domaine, alors que le nom de domaine de la Poste suisse est post.ch

Voici un autre exemple du même acabit mais qui est quand même mieux fait :

Super ! Un remboursement des impôts ! Pour une fois que c’est eux qui me doivent de l’argent ! Et en plus, le montant est de seulement 184.37 euros. Si c’était du phishing, le montant affiché serait mirobolant et ne serait pas aussi précis ! Et regarde, y a même le logo et l’adresse du site web du Gouvernement français ! C’est légitime. Et puis, j’ai jusqu’au 18 octobre pour faire ma demande, je vais pas passer tout mon temps à hésiter. Allez hop ! JE CLIQUE !

Eh ben non, gros malin ! L’adresse e-mail qui se cache derrière « ImpôtsGouv.fr » est noreply@magazineluiza.com.br. Très gouvernementale comme adresse, non ?

« Oooh, moi qui croyais… 😢 »

Bien sûr, je rigole, mais tout le monde peut se faire avoir. Il suffit d’être un peu moins attentif, un peu moins réveillé, un peu plus impulsif et réactif et on peut vite cliquer et regretter. Un clic, c’est si instantané, après tout !

Dans l’exemple ci-dessous, une adresse e-mail figure dans le nom affiché de l’expéditeur et une différente se trouve entre les <>. C’est bien cette dernière qui fait foi. Le champ de l’expéditeur contient toujours soit seulement une adresse e-mail soit une adresse e-mail entre <> précédée du nom affiché de l’expéditeur qui, rappelons-le, peut-être facilement rempli avec n’importe quoi.

Génial, ça ! Eh regarde, chéri-e ! Mon entreprise offre un bonus de Noël d’une valeur de 500 €. Cet e-mail a l’air professionnel, il n’est pas rempli d’emojis et de points d’exclamation et, en plus, c’est la période des fêtes donc ça me parait raisonnable. Allez hop ! *DOUBLE-CLIC SUR LA PIÈCE JOINTE*

… Perdu. 🎱

L’adresse e-mail HR@portail-collaborateurs.com paraît même normale. Mais c’est bel et bien une tentative de phishing, non seulement à cause de l’e-mail masqué, mais à cause du lien qui s’affiche quand on survole le « document » figurant en bas de l’e-mail avec le curseur de la souris. Nous y reviendrons plus loin avec un autre exemple.

Voici encore un autre exemple avec un e-mail se faisant passer pour Lidl et qui nous propose de cliquer sur un bouton pour répondre (à quoi exactement ?) et gagner un tout nouveau KitchenAid :

Il s’agit bien du logo de Lidl et de ses couleurs. L’e-mail possède bien l’apparence d’un e-mail qui pourrait être envoyé par Lidl — aucun signe flagrant d’arnaque. Mais dès qu’on regarde l’expéditeur, on voit qu’il s’agit d’une adresse GMail. Les grandes entreprises comme Lidl n’envoient jamais d’e-mails à partir d’adresse GMail, Yahoo, Live ou autre ! Ça sera plutôt une adresse de type @lidl.com ou @lidl.fr ou @lidl.de en fonction du pays, bref @ suivi du nom de domaine officiel de l’entreprise. Les seules exceptions peuvent être les petits entrepreneurs n’ayant pas de site internet ou pas très familiers avec le branding en ligne.

L’objet de l’e-mail

Les objets (le titre) d’e-mails frauduleux sont souvent alarmants ou tentants, pour te pousser à ouvrir le message. C’est comme un inconnu qui te dit qu’il a trouvé ton portefeuille pendant que tu marches. Tu serais forcé de réagir et lui offrir ton attention. Si une offre semble trop belle pour être vraie, elle l’est probablement.

Exemples d’objets suspects

Voici quelques exemples d’objets d’e-mails frauduleux typiques qui jouent sur les émotions :

  • FÉLICITATIONS ! Tu as gagné 99’999 € !
  • URGENT ! Confirmation de mot de passe requise avant DEMAIN !
  • Taylor Swift a vraiment dit ça ?? 😱
  • Tu as reçu 99 nouveaux ₿itcoins 💰
  • Confirmation d’héritage
  • ⚠️ UN VIRUS A INFECTÉ TA BOÎTE MAIL ⚠️
  • DONNA jeune étudiante, veux t’étudier, grr 😏💋
  • etc.

Parfois, ils sont plus subtils que ça. Embrayons donc sur…

Le contenu de l’e-mail et les leviers émotionnels

Pour pouvoir t’amener à cliquer sur un lien malveillant ou à divulguer des informations confidentielles, il ne faut surtout pas que tu ais l’esprit clair, rationnel et vigilant. Mais le hic, c’est qu’on est une différente personne en cas de stress. On devient plus impulsif, irréfléchi et prompt à faire quelque chose qu’on regrettera. Par conséquent, quel meilleur moyen pour solliciter notre cerveau reptilien que de jouer sur nos émotions ? Ce genre de technique de manipulation fait typiquement partie du registre de l’ingénierie sociale.

Les leviers émotionnels les plus courants que vont exploiter les fraudeurs en ligne sont :

  • La peur 😱
  • Le désir 🤩

La peur

La peur peut tout aussi bien être la peur de perdre quelque chose, de faire face à des conséquences graves ou encore de manquer une opportunité alléchante.

L’une ou l’autre de ces émotions vont te mener au sentiment d’urgence dans lequel tu vas te sentir obligé d’agir TOUT DE SUITE !

Dans l’exemple ci-dessous, une amie a reçu cet e-mail frauduleux à l’adresse e-mail de son travail :

« Violation de politique ! Suspension de compte imminente ! Violation de contrat ! Oh mon dieu, mais quelle gaffe as-tu faite ? 😨 La non-vérification de la détection gna gna gna entraînera la suspension de votre compte… OK OK, c’est bon je vérifie mon compte ! » *CLIC*

Tu t’es encore fait avoir !

La peur t’a fait manquer l’adresse e-mail de l’expéditeur alert@easysharefolder.com.

Voici encore un autre exemple qui peut t’effrayer et te pousser à agir tout de suite :

Celui-ci m’a fait bien rire car « Vos photos et vidéos seront supprimées !! » est écrit avec la police d’écriture Comic Sans. C’est une police d’écriture qui était à la base utilisée pour des bandes dessinées et autres informations non sérieuses. Tu l’as sûrement vue un peu partout sur le web ou dans les toilettes à ton job où le service de nettoyage t’invite à ne pas saloper les installations sanitaires. Aucune entreprise qui se veut sérieuse n’utiliserait Comic Sans pour communiquer un message grave et sérieux de ce genre. 😄 De plus, l’adresse de l’expéditeur n’est même pas celle d’iCloud.

Mais il y a encore d’autres exemples qui jouent sur la peur et qui ne sont carrément pas drôles du tout et même très graves. En voici un exemple, qui a été d’ailleurs signalé par le Gouvernement français :

Source : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/campagnes-de-messages-darnaque-au-tueur-a-gages

On reçoit carrément des menaces de mort à moins qu’on n’envoie de l’argent à « L’ange de la mort » 💀. Que faire dans cette situation ? Envoyer de l’argent et être tranquille ou prendre le risque d’ignorer en considérant que c’est probablement du spam ? Et s’il y avait la moindre chance que ça soit vrai, devrais-je vraiment risquer ma vie ?

Le désir

L’autre levier émotionnel utilisé dans le phishing est le désir qui peut prendre plusieurs formes et dont la plus courante est l’opportunité à ne pas manquer (désir + sentiment d’urgence).

En voici un exemple avec un e-mail qui tente de faire croire qu’on a gagné un iPhone 15 Pro pour l’anniversaire de la société de télécommunications Orange :

Certains sont tellement gros comme une maison qu’ils en deviennent drôles. Comme ce magnat des affaires de Hong Kong dont le passe-temps favori est de distribuer son argent à des personnes qu’il ne connait pas :

Fais surtout attention durant les périodes de fêtes car ces dernières constituent une opportunité en or pour les spammeurs de sévir. Par exemple, Noël est une très bonne excuse pour faire déguiser des cyberattaques en cadeaux :

Les liens

Si un email contient un lien vers un site web que tu ne connais pas, ou qui te semble étrange, ne clique pas dessus. C’est comme si un inconnu te tendait un objet enveloppé, tu ne le prendrais pas directement sans faire attention, non ? Même chose pour les e-mails.

Donc avant toutes choses, au moindre doute, NE CLIQUE PAS SUR LE LIEN !!!


Exemple d’e-mail contenant un lien frauduleux

Voici un e-mail qui contient une offre alléchante, mais qui parait tout à fait inoffensif :

L’e-mail est plutôt sobre et a l’air conforme à ce qu’on pourrait s’attendre d’un e-mail envoyé par un club de fitness. L’adresse e-mail parait, à premier abord, plus ou moins OK. On pourrait à la rigueur penser que le club de fitness a fait appel à une agence en ligne « Holiday Gift Online » pour diffuser ses coupons de réduction. Tout en bas de l’e-mail, on voit une icône d’un document PDF à télécharger qui est censée contenir les offres du club de fitness. Détail important : il ne s’agit pas d’une pièce jointe, mais d’un lien. Comment faire la différence ?

Comment reconnaître un lien déguisé en pièce jointe ?

Eh bien, c’est facile. Si une pièce jointe est attachée à un e-mail, une icône de trombone 📎 figure dans l’e-mail (et non dans le corps du mail, ni dans son objet !).

Sur GMail, la plateforme de messagerie de Google, ça se présente comme ça :

Et après le corps de l’e-mail, on trouve également la ou les pièce(s) jointe(s) :

Dans Outlook, l’icône 📎 figure à droite d’un e-mail :

Et quand on ouvre l’e-mail, la ou les pièces jointes apparaissent juste en dessus du corps de l’e-mail :

Vérifier l’URL d’un lien

Bon, maintenant, revenons à notre exemple d’e-mail frauduleux qui contient un lien sous forme d’icône de document PDF. On peut voir qu’il s’agit d’un lien car quand on survole l’icône avec le curseur de la souris (sans cliquer dessus !), l’adresse du lien apparait (ici en blanc sur noir en bas) :

L’adresse d’un lien s’appelle une URL (de l’anglais, Uniform Resource Locator = localisateur uniforme de ressource, en français).

Clique ici pour savoir comment faire apparaitre le lien depuis un smartphone ou une tablette.
  1. Appuie de manière prolongée sur le lien (si tu relâches ton doigt tout de suite, ça va ouvrir le lien, ce que tu ne veux pas faire !) que tu souhaites inspecter. Cela peut faire apparaître un menu contextuel avec différentes options.
  2. Sélectionne « Copier l’adresse du lien » ou « Partager le lien », selon l’option disponible.
  3. Colle le lien dans un endroit où tu peux le voir en entier, comme dans la barre d’adresse d’un navigateur (sans presser ENTRÉE !) ou dans une application de prise de notes.

De manière simplifiée, une URL est composée des éléments principaux suivants :

https://www.comprendre-informatique.com/articles/

  1. Le protocole, qui est le « langage » utilisé par le navigateur web pour accéder à la ressource. Si l’URL pointe vers un site web, le protocole sera soit http (connexion non sécurisée) ou https (connexion sécurisée — de nos jours, l’immense majorité des sites utilisent le protocole HTTPS).
  2. Le sous-domaine, qui représente une partie spécifique d’un site web.
  3. Le domaine, qui est le nom de base d’un site web.
  4. Le chemin d’accès à la ressource, qui permet au navigateur de localiser l’emplacement de la ressource (document, page web, image, etc.) sur le site web.

Le domaine est la partie de l’URL la plus importante à vérifier. Il faut qu’elle corresponde à un site web légitime et de confiance.

Si une URL a l’air bizarre, par exemple, son domaine est un site que tu ne reconnais pas ou si elle contient plein de caractères spéciaux et de symboles, ou qu’elle fait 3 km de long, considère-la comme suspecte et à risque.

Je t’invite vivement à lire mon article ➡️ Comment reconnaître un lien frauduleux ? ⬅️ qui t’explique les différents signes d’un lien frauduleux qui ne trompent pas. À la base, je voulais tous les expliquer dans cet article, mais il y avait tellement de choses à dire qu’il était plus commode de les traiter dans un article séparé.

Mais revenons à nos moutons ! Dans l’e-mail ci-dessus, il y a 2 choses suspectes au sujet de ce « document attaché » :

  1. L’expéditeur essaie de nous faire croire qu’il s’agit d’un document PDF en pièce jointe alors qu’en réalité, il s’agit d’une image avec un lien vers une ressource d’un site web.
  2. L’adresse du lien ne comporte même pas le nom du fichier (« Offres du centre de remise en forme.pdf »).

Remarque : Il est à noter que si le fichier qu’on aimerait envoyer par e-mail à quelqu’un est volumineux en terme d’espace disque (en général, au-delà de 10, 20, 50, … Mégaoctets selon le serveur de messagerie), il est plus intelligent de placer un lien vers ce fichier dans l’e-mail que de l’y joindre.

Autre exemple de lien frauduleux

Si on reprend l’exemple de l’e-mail que j’ai reçu sur l’iPhone gagné, quand on examine l’URL qui se cache derrière le bouton « Confirmez ici » qui est un lien, voici ce qu’on voit :

« https://storage.googleapis.com » suivi de tout un charabia, oui oui oui… Ça ressemble tout à fait à l’adresse du site d’Orange (https://www.orange.fr) à quelques caractères près, n’est-il pas ? 😉

Il faut toujours vraiment faire gaffe aux liens avant de cliquer dessus. Et la première chose à s’assurer est que le domaine de l’URL (nom du site après le « https:// ») corresponde à un site web légitime, reconnu et de confiance.

Comment évaluer le risque d’un site web ?

En cas de doute sur un site web, il existe plusieurs sites qui permettent d’en évaluer le risque en fonction de plusieurs critères. Pour ce faire, tu peux copier l’URL suspecte (sans cliquer, j’ai dit ! ;-)) et la coller dans un de ces sites d’évaluation de risque en ligne.

En voici quelques exemples :

  • Google Safe Browsing :
    • Google Safe Browsing permet de vérifier si un site web est répertorié comme dangereux par Google.
  • Norton Safe Web :
    • Norton Safe Web, de Symantec, analyse les sites web pour détecter les menaces en ligne et fournit des informations sur leur sécurité.
  • Web of Trust (WOT) :
    • WOT propose des évaluations communautaires sur la sécurité des sites web en se basant sur les expériences des utilisateurs.
  • URLVoid :
    • URLVoid permet de scanner un site web contre plusieurs moteurs d’antivirus et de sécurité en ligne.
  • Sucuri SiteCheck :
    • Sucuri SiteCheck offre une analyse de la sécurité d’un site web, y compris la détection de logiciels malveillants.
  • PhishTank :
    • PhishTank se concentre sur la détection de sites web de phishing. Vous pouvez y vérifier si un site est signalé comme une tentative de phishing.
  • VirusTotal :
    • VirusTotal analyse les fichiers et les URL en utilisant plusieurs antivirus et d’autres outils de détection de logiciels malveillants.

Les pièces jointes

Plus haut, je t’ai montré comment faire la différence entre les pièces jointes d’un e-mail et les images-liens déguisés en pièces jointes. Mais ce n’est pas tout ! Une pièce jointe contenu dans un e-mail frauduleux peut être très dangereuse car elle peut potentiellement contenir un logiciel malveillant comme un virus ou encore un ransomware (ou « rançongiciel » en français). Un ransomware est un logiciel malveillant qui crypte tes données (les rend illisibles et inutilisables). Et pour que tu puisses à nouveau y accéder (les décrypter), tu dois payer une rançon aux malfaiteurs. Tes données sont ainsi « prises en otages ».

Vérifie l’extension du fichier

La première chose à vérifier dans une pièce jointe est l’extension du fichier. L’extension, c’est une suite de 2 à 4 lettres (parfois, elle contient même un chiffre) préfixé d’un point qui se trouve à la fin du nom d’un fichier et qui sert à indiquer le type de ce fichier (document texte, image, vidéo, programme, etc.).

Voici quelques exemples :

  • .docx ou .doc : document Word
  • .xlsx ou .xls : document Excel
  • .pdf : document au format PDF
  • .exe : programme
  • .zip : archive ZIP
  • .jpg ou .jpeg : image au format JPEG
  • .mp4 : vidéo au format MP4
  • etc.

Pour ta curiosité, voici une liste plus complète des extensions de fichier (Wikipédia).

Certaines extensions courantes à risque incluent les fichiers exécutables (programmes ou scripts) tels que .exe, .bat, .com, ainsi que les fichiers contenant des macros tels que .docm, .xlsm, et .pptm. Il est également recommandé de faire preuve de prudence à l’égard des fichiers avec des extensions moins courantes telles que .jar, .vbs, .scr, .app, .js, .ps1, .lnk, .application et .pif (liste non exhaustive)1. Ces types de fichiers peuvent être utilisés pour propager des logiciels malveillants. Il est conseillé de ne pas ouvrir de telles pièces jointes à moins d’être certain de leur provenance et de leur sécurité.

Ce type d’attaque à la pièce jointe se fait de plus en plus rare de nos jours où la technologie Internet a beaucoup évolué et il est souvent plus commode et efficace d’envoyer un lien vers un site qui exécute un script malveillant à ton insu.

Un exemple historique : le virus ILOVEYOU

Un cas qui a beaucoup fait parler de lui le 5 mai 2000 était le virus ILOVEYOU aussi connu sous le nom de Love Bug. Il s’agissait d’un e-mail contenant une lettre d’amour d’un admirateur secret ou d’une admiratrice secrète en pièce jointe. 💌 Mais lorsque la victime ouvrait cette lettre et s’attendait à recevoir un déferlement d’amour, c’est plutôt le déferlement de son ordinateur qui se produisait. Le virus corrompait d’importants fichiers systèmes, ce qui rendait l’ordinateur complètement inopérant et la plupart de ses données perdues. 💥

En seulement 10 jours, il a infecté plus de 50 millions d’ordinateurs et a causé des dégâts d’un montant de plus de 10 milliards de dollars américains2. À l’époque, il était même entré dans le Guinness Book du virus le plus virulent de tous les temps3. Il a été détrôné par d’autres depuis.

L’e-mail contenait simplement le texte « kindly check the attached LOVELETTER coming from me. » (traduction de l’anglais : « Consulte la lettre d’amour ci-jointe que je t’ai envoyée. ») suivi d’une pièce jointe « LOVE-LETTER-FOR-YOU.TXT.vbs« . Si on ne fait pas bien attention, on voit que l’extension du fichier est « .TXT » (fichier texte) car elle saute aux yeux en majuscules, mais la vraie extension est « .vbs » qui est un fichier exécutable contenant un script écrit en Visual Basic (langage de programmation). Quand on ouvre la pièce jointe, le script malveillant contenu dans le fichier est exécuté et BOUM… 💥 K.O. l’ordinateur ! 🥊

Le rôle d’un logiciel antivirus

Tu l’as sûrement entendu plein de fois, mais il est essentiel de disposer d’un logiciel antivirus sur ton ordinateur. La plupart des logiciels antivirus permettent d’analyser, détecter et bloquer les pièces jointes malveillantes. Par exemple, Windows est fourni avec Defender, qui est son logiciel antivirus de base, et macOS intègre l’outil de sécurité XProtect. Ces deux logiciels fournissent une protection de base contre les pièces jointes malveillantes. Mais comme de nouvelles menaces surgissent constamment, il est très important de bien les mettre à jour. Et garde à l’esprit que ces protections de base ne sont pas parfaites et il peut être prudent d’installer une solution antivirus tierce pour une protection supplémentaire.

Un conseil : comme les logiciels antivirus ne sont pas parfaits, ne te repose entièrement dessus pour identifier les menaces potentielles. Il est important que tu saches les reconnaître et les identifier par toi-même.

Mais qu’est-ce qui se passe si je clique sur un lien ou ouvre une pièce jointe malveillant-e ?

C’est la question à 1 million !

Cliquer sur un lien ou ouvrir une pièce jointe malveillante peut entraîner plusieurs conséquences indésirables voire dangereuse, notamment :

  1. 🦠 Infection par des logiciels malveillants : Les liens et pièces jointes malveillants sont souvent utilisés pour propager des virus, des ransomwares ou d’autres types de logiciels malveillants. Une fois que ton système est infecté, tes données personnelles peuvent être compromises, tes fichiers peuvent être cryptés, ou ton ordinateur peut être utilisé à des fins malveillantes.
  2. 💽🚫 Perte de données : Certains logiciels malveillants sont conçus pour voler, supprimer ou corrompre tes données. Cela peut entraîner la perte permanente d’informations importantes.
  3. 🔓 Violation de la confidentialité : Les logiciels malveillants peuvent également être utilisés pour espionner tes activités en ligne, voler des identifiants de connexion, et compromettre la confidentialité de tes communications.
  4. 👥⬅️👤➡️👥 Propagation à d’autres contacts : Si ton système est infecté, le malware peut se propager automatiquement à d’autres personnes de ta liste de contacts, causant ainsi une propagation en chaîne.
  5. 👨‍💻😈 Prise de contrôle de l’ordinateur : Certains logiciels malveillants permettent aux attaquants de prendre le contrôle de ton ordinateur, ce qui peut être utilisé à des fins diverses, telles que l’envoi de spam, la participation à des attaques par déni de service, ou l’utilisation de ton ordinateur comme partie d’un botnet (réseau d’ordinateurs infectés et contrôlés à distance par des criminels).

Donc si tu s tombé dans le panneau, je te recommande de suivre les étapes de l’article « Vous avez cliqué sur un lien phishing, que faire maintenant ? » de metacompliance.fr.

Résumé

En somme, pour protéger toi contre les emails frauduleux, pense à vérifier les éléments suivants :

  1. L’expéditeur de l’e-mail est-il légitime ?
  2. L’objet de l’e-mail est-il tourné de manière à créer un sentiment d’urgence ?
  3. L’e-mail contient-il un ou plusieurs liens suspects ?
  4. Contient-il une ou des pièces jointes suspectes ?

C’est un peu comme distinguer un bon fruit d’un fruit pourri ou recevoir un colis d’un inconnu, tu agirais avec prudence. Sois vigilant, et n’hésite pas à poser des questions si tu n’es pas sûr. En suivant ces conseils, tu auras déjà fait un grand pas pour protéger ta boîte email et tes informations personnelles !

Conclusion

Internet, c’est comme une immense jungle où abondent toutes sortes de créatures, certaines sont innocentes et d’autres malintentionnées. C’est à toi de rester vigilant et de reconnaître ces dernières. Et n’oublie pas, tu n’y connais rien en informatique ? Ce n’est pas grave, nous sommes là pour t’accompagner.

Références

  1. Sécurisation des e-mails : les pièces jointes, oppidumsecurity.com ↩︎
  2. This 20-Year-Old Virus Infected 50 Million Windows Computers In 10 Days: Why The ILOVEYOU Pandemic Matters In 2020, Forbes ↩︎
  3. The 8 Most Famous Computer Viruses of All Time, Norton ↩︎
Cet article t'a plu ? Partage-le !

David

15 réponses à “Comment reconnaître un e-mail frauduleux : guide complet”

  1. Merci pour ces précieux conseils. En levier, j’aurai aussi mis la curiosité. Tiens je clique au cas où. C’est une variante du désir que tu décris. Pour le fan des Monthy Python, l’article aurait pu s’appeler Spamalot😉

    Répondre

    • Merci pour ton commentaire, Freddy ! Absolument, la curiosité est aussi un levier émotionnel exploitable. Et merci pour la référence montypythonienne, haha

      Répondre

  2. On pourrait croire qu’aujourd’hui il n’y a plus besoin d’alerter sur les pratique d’envoi de mails frauduleux. Mais comme tu l’expliques si bien, leur conception joue sur les leviers émotionnels. Leviers émotionnels qui fonctionnent toujours, j’ai d’ailleurs beaucoup aimé l’utilisation de tes exemples. Personnellement je jette très régulièrement des mails et spams en tout genre, et dès que j’ai un doute je n’ouvre pas, c’est direction la poubelle.

    Répondre

    • Merci pour ton commentaire, Anne-Sophie ! Oui, c’est le bon réflexe. Parfois, il suffit d’un moment où on est plus sensibles que d’habitude, plus fatigués voire stressés et on est plus susceptible de tomber dans le panneau sans repérer les « red flags ». Les leviers émotionnels nous aveuglent égelement.

      Répondre

  4. Merci pour ce guide complet sur la reconnaissance des e-mails frauduleux ! Grâce à toi, je me sens maintenant comme un détective numérique, scrutant chaque e-mail suspect avec suspicion. Qui aurait cru qu’un jour je serais capable de déjouer les plans diaboliques des cybercriminels avec juste quelques clics ? 😎

    Répondre

  5. Merci pour cette revue complète et détaillé. J’ai vu les ravages de l’époque des chaines sur les réseaux sociaux (mails et WA) avec des PPT et des PDF infectés…
    Être vigilant ne fait pas tout et les personnes malveillantes sont de plus en plus sophistiqués mais un minimum de précautions parait être le minimum à faire.

    Répondre

    • Tout à fait ! D’ailleurs, pour ce qui est des réseaux sociaux et outils de messagerie, mon prochain article sur la série du phishing y sera entièrement consacré. Merci pour ton retour. 🙂

      Répondre

  6. et bien je suis ravie d’être tombé sur ton article car on n’est jamais trop prudent. Je suis récemment tombé dans le panneau en pensant échanger avec un client important. Ce qui m’ a alerté c’est quand il m’a demandé d’installer un logiciel pour discuter par vidéo, cette histoire m’a clairement refroidie ET je fais maintenant très attention. Merci pour ce rappel qui n’en est pas un car tellement dans l’actualité.

    Répondre

    • Oula ! Il est tellement facile de tomber dans le panneau. Mais heureusement que tu n’as pas installé ce logiciel. Merci pour ton commentaire, Soraya! 🙂

      Répondre

  7. Je tenais à vous remercier chaleureusement pour cet article extrêmement informatif sur la reconnaissance des e-mails frauduleux. Votre guide complet est une ressource précieuse pour quiconque souhaite se protéger des menaces en ligne et prévenir les escroqueries par e-mail.

    Ce que j’ai particulièrement aimé dans votre article, c’est la manière détaillée dont vous avez expliqué les signes avant-coureurs d’un e-mail frauduleux. Les exemples concrets que vous avez fournis, tels que les fautes d’orthographe, les adresses d’expéditeur suspectes et les demandes de données personnelles, sont extrêmement utiles pour sensibiliser les lecteurs à ces tactiques d’escroquerie.

    Votre section sur la vérification des liens et des pièces jointes est particulièrement cruciale dans un monde où les cybercriminels sont de plus en plus habiles. Les étapes que vous avez décrites pour vérifier l’authenticité des liens et des fichiers joints sont des conseils pratiques que tout le monde devrait suivre.

    En outre, je tiens à saluer votre engagement envers la sécurité en ligne en rappelant l’importance de la sensibilisation et de la prudence. Votre article encourage les lecteurs à rester vigilants et à signaler tout e-mail suspect, ce qui contribue à renforcer la sécurité en ligne pour tous.

    En résumé, merci pour cet excellent guide qui aide à protéger la communauté en ligne. Votre expertise en matière de sécurité informatique est inestimable, et je suis sûr que de nombreux lecteurs apprécieront cette ressource pour rester en sécurité en ligne.

    Répondre

  8. Je suis souvent stressée à savoir si je reconnaîtrais un email frauduleux. Merci de m’avoir donné tous ces trucs. Je sais que je ne dois surtout pas cliquer sur les liens !

    Répondre

Laisser un commentaire