De nombreux lecteurs de Freenews nous font souvent parvenir ce qu’on appelle des « alertes phishing ». Ce type de news, assez populaires au demeurant, ne correspond pas à notre éthique sur le site, c’est pourquoi nous avons décidé depuis assez longtemps de ne pas les relayer. Explications.
Phi-quoi ?
Le phishing est le nom donné à une forme d’escroquerie très célèbre sur le net. Elle consiste à se faire passer auprès des internautes pour une société célèbre, à laquelle il a de grandes chances d’être client (exemple : une banque, un fournisseur d’accès à internet, un service web courant comme PayPal ou eBay…), par exemple en lui envoyant un mail.
Généralement le mail prétextera une erreur de compte client, un changement quelconque… nécessitant une intervention du client. Le résultat escompté est que l’utilisateur clique alors sur un lien afin d’arriver sur un site et de remplir ses informations client (identifiant, mot de passe…).
Tout le piège se situe là : le lien intégré dans ces mails ne redirige pas réellement vers le site du prestataire, mais vers une version copiée à l’identique, appartenant à l’escroc. Lorsque vous enverrez vos informations personnelles, ce sera donc le faussaire qui les recevra… et les collectera à des fins malhonnêtes !
Pourquoi ne pas parler des campagnes de phishing ?
Nous pensons en vérité que l’important n’est pas de savoir quand une tentative de phishing est perpétrée à grande échelle (cela peut arriver à tout moment), mais plutôt de savoir automatiquement comment les reconnaître et, du même coup, s’en prémunir à tout jamais. En cela, les alertes phishing n’aident pas l’internaute, au contraire.
Relayer des alertes phishing peut avoir un effet pervers. Mal informé, un utilisateur néophyte pourra croire qu’un mail n’est pas une tentative de phishing, si ses sites habituels ne l’ont pas relayé en tant que tel. Cela peut arriver si l’escroquerie est très récente, ou bien à petite échelle, voire… ciblée ! Car on oublie souvent que le phishing peut aussi être utilisé à toute petite échelle contre une personne ou un groupe de personnes en particulier, afin d’obtenir leurs identifiants Free, MSN, PayPal, etc.
En résumé les alertes phishing, au lieu d’apprendre aux internautes à reconnaître eux-mêmes les tentatives d’escroquerie, ne font que les conditionner et les rendent finalement vulnérables à toutes les tentatives qui échapperaient à la vigilance des sites.
A l’image de la célèbre maxime de Confucius, quand un homme a faim, mieux vaut lui apprendre à pêcher que de lui donner un poisson… nous pensons qu’il vaut mieux aider les utilisateurs à comprendre ce qu’est le phishing, pour qu’ils soient définitivement immunisés contre cette forme d’escroquerie !
Comment se protéger des tentatives de phishing ?
Bien que ce type de mail soit régulièrement repérable à des kilomètres (orthographe et grammaire chaotiques, formulations maladroites, prétextes abracadabrantesques…), ce n’est pas une vérité générale et certaines tentatives de phishing peuvent être remarquablement bien rédigées. De même, il est très simple de prendre l’apparence d’une entreprise connue, y compris dans le champ « Expéditeur » du mail ; vous ne devez pas vous y fier.
Bien souvent, les tentatives de phishing sont envoyées en masse à un maximum d’adresses mail. Ainsi, vous pourrez recevoir des mails provenant soi-disant de PayPal ou d’Orange, alors que vous ne disposez d’aucun compte chez ces entreprises… cela ne laisse aucun doute quand à l’origine frauduleuse du courrier !
Le meilleur moyen de se protéger contre toute tentative de phishing est d’ignorer, purement et simplement, tout mail vous demandant de vous connecter à tel site pour changer telle ou telle chose. Si votre banque a vraiment besoin d’informations de votre part, elle vous contactera très probablement par courrier postal ou par téléphone – pas par mail. Idem pour la grande majorité des sociétés dont vous êtes client. De toute façon, avoir besoin de changer des informations de toute urgence, et ce via le web, est une situation tout à fait improbable car très peu de services peuvent rompre votre contrat sous ce prétexte.
D’une manière générale, lorsque vous voulez vous connecter à votre interface Free, tapez vous-mêmes dans la barre d’adresse www.free.fr, ne cliquez pas sur les liens. La même règle est valable pour tout autre site. Cela vous évitera de tomber sur des sites contrefaits, absolument impossibles à différencier des véritables sites si ce n’est de par leur adresse (exemple : un lien pointant vers security.free.fr au lieu de www.free.fr sera à coup sûr une tentative de phishing !).
Il arrive aussi que le mail vous demande de répondre directement en fournissant certaines données confidentielles, prétextant par exemple une défaillance technique. Il va de soi qu’aucune société ne vous demandera jamais de communiquer de la sorte votre mot de passe, votre numéro de carte bleue, etc.
Le maître-mot est : prudence ! N’importe qui peut se faire passer pour n’importe qui sur le net, et abuser de la crédulité d’utilisateurs peu avertis. Mais en suivant ces quelques règles de base, vous devriez être à l’abri de toute tentative de récupération de vos données. N’hésitez pas à faire suivre ce mini-guide à vos contacts néophytes, ou à faire vous-mêmes preuve de pédagogie à ce sujet envers vos connaissances.