Back to Navigation

Hameçonnage ou phishing

Transcription d’un balado sur le hameçonnage, la chasse à la baleine, le harponnage et l’attaque de point d’eau; ce que c’est et comment vous en protéger.
Animateurs :   PB : Phil Brown, DW : David Whelan

PB : Bonjour, ici Phil Brown en compagnie de David Whelan. Aujourd’hui, nous allons discuter de l’hameçonnage (phishing), de la chasse à la baleine (whaling), du harponnage (spear fishing) et des attaques de point d’eau (water holing).

DW : Eh oui, et vous n’avez même pas besoin de bateau pour tout ça. Ce sont toutes des attaques qui peuvent venir dans votre courriel et qui dépendent de la nature de la menace que vous recevez et dans quelle catégorie vous vous situez. 

PB :  Alors, avant que nous définissions chaque terme pour un avocat ou un parajuriste, une des choses que vous devez prendre en compte, c’est la gestion de votre courriel – les courriels que vous recevez à votre cabinet ou ceux que vous recevez chez vous. Je pense qu’une question peut être : « est-ce qu’un filtre de pourriel suffit? » 

DW : Probablement pas. Ce qui est intéressant avec toutes ces techniques, c’est qu’elles ne sont pas réellement des pourriels. Quelques-unes d’entre elles peuvent ressembler à un pourriel lorsqu’on les définit.  Ce qui est intéressant avec ces courriels, c’est qu’ils sont personnalisés pour ressembler un peu à un vrai courriel et les courriels les mieux écrits ressemblent plus à ceux qui proviennent de quelqu’un que vous connaissez. Par exemple, le courriel peut contenir une pièce jointe que vous vous attendez à recevoir. Ainsi, c’est vraiment quelque chose que votre filtre de pourriels et probablement votre logiciel antivirus, entre autres, ne vont pas nécessairement détecter. 

PB :  Alors débutons par ce que les gens connaissent le mieux : l’hameçonnage ou phishing en anglais.

DW : Oui. Phishing (hameçonnage), s’écrit avec « ph », comme le groupe de rock nord-américain Phish. L’hameçonnage est la version la plus générale de ce type d’arnaque. C’est un courriel qui est envoyé à plusieurs adresses de courriel, avec un sujet et du texte écrit dans le courriel qui vous demande de faire quelque chose. Par exemple, vous pouvez penser à une ligne de texte qui vous demande de mettre à jour vos renseignements bancaires avec des instructions comme « Veuillez svp cliquer sur ce lien pour confirmer le nom d’utilisateur et le mot de passe de votre compte de banque ». C’est assez général et il est présumé que la banque indiquée dans leur courriel sera celle d’un certain nombre de vrais clients de cette banque et un certain pourcentage de ces personnes cliqueront sur le lien et iront à la page qui ressemble à celle de cette banque.

PB :  Quand vous regardez la page et l’adresse URL utilisée, il y a habituellement quelques différences significatives.

DW : C’est exact. La page elle-même peut sembler identique à celle que vous voyez quand vous allez sur le site Web de votre banque. Si vous cliquez sur un lien comme ça et qu’il n’y a rien qui vous dit que vous ne devriez pas le faire, ça vous semble normal que ce soit un vrai lien à une banque. Mais, si vous examinez l’adresse URL de la page Internet correspondant à ce lien sur lequel vous avez cliqué, dans la plupart des cas, ce ne sera pas l’adresse d’une banque – ce sera une adresse qui vous amène ailleurs.

PB : C’est exact. Et il y aura habituellement d’autres liens sur la même page du genre « Contactez-nous » ou « Mettez à jour vos renseignements personnels » ou tout autre type de liens. Si vous cliquez sur ces autres liens au lieu de simplement mettre à jour vos renseignements personnels, vous découvrirez alors qu’ils ne fonctionnent pas.

DW : C’est ça. Parce que les gens ont seulement copié le site Web . Ils sont souvent trop paresseux pour le remplir afin qu’il fonctionne comme un vrai site. Encore une fois, l’hameçonnage est caractéristique d’une arnaque nigériane où vous sentez que quelque chose ne va pas. Mais l’hameçonnage ressemble assez à quelque chose que vous feriez parce que cela semble être un compte que vous pourriez avoir. Vous pouvez encore examiner le courriel pour voir s’il vient de votre banque et aussi rechercher les erreurs de typographie, entre autres, que vous ne retrouveriez pas dans un courriel de société ou du genre de courriel que vous recevez.   

PB :  Tout le monde est vulnérable à ce genre d’invitations. Récemment, le ministère de la Justice du Canada a eu une expérience avec les courriels d’hameçonnage qui ont été générés à l’interne uniquement pour un contrôle de sécurité.

DW : Ce fut toute une histoire parce qu’environ 2 000 employés du ministère de la Justice ont cliqué et activé la fraude d’hameçonnage, alors cela a été un bon test pour voir combien de personnes… combien? C’était un pourcentage important des gens qui avaient reçu le courriel.

PB :  C’était environ 37 %. Maintenant, comme exemple, il y a une statistique qui suggère qu’environ 160 millions de ces courriels circulent sur Internet chaque année dans le monde.

DW : Oui, c’est un gros chiffre. Je regarde dans mon dossier pourriel et souvent, j’y trouve ces courriels-là. J’examine la source, et les adresses Internet proviennent de partout.

PB :  Alors voilà, en résumé, ce qu’est l’hameçonnage. Parlons de quelques autres types d’hameçonnage : le  harponnage, l’attaque de point d’eau, la chasse à la baleine et ce qu’ils veulent dire.

DW : Le harponnage et la chasse à la baleine sont en fait la même chose. Le harponnage est un courriel ciblé dans lequel il y a de l’information qui vous correspond. Ainsi, si vous avez un profil sur LinkedIn par exemple, et que vous indiquez le nom de la compagnie pour qui vous travaillez ou le genre de clients avec qui vous faites affaire, alors, quelqu’un peut vous avoir déjà ciblé. Le courriel que vous recevez semble provenir de vos clients ou de quelqu’un d’autre de votre compagnie qui vous parle de vos clients, et là, il y a plus de détails qui vous indiquent comment ils vous ont choisi. Ce n’est pas uniquement un essai en passant, voulant dire « J’espère que quelqu’un cliquera sur le lien » comme dans un hameçonnage standard. La chasse à la baleine est un type de harponnage dans lequel vous êtes identifié comme une personne importante, un DG par exemple, alors, non seulement vous êtes visé, mais vous êtes ciblé d’une manière très précise, et fondamentalement, c’est la même chose pour les deux catégories.

PB :  Certainement. Alors, il peut s’agir des associés d’un cabinet d’avocats plutôt qu’un avocat salarié ou autre.

DW : C’est sûr, et c’est ce qui est arrivé à un avocat de la Pennsylvanie très récemment. Il a reçu un courriel qui ressemblait à quelque chose qui pouvait provenir de son cabinet et qui avait une pièce jointe ressemblant à une messagerie vocale qui provenait d’un système de boite vocale. Lorsque la personne a cliqué sur la pièce jointe, celle-ci a infecté son ordinateur avec un logiciel de rançonnage.

PB :  Nous discuterons du logiciel de rançonnage dans un autre balado, alors gardez l’œil ouvert. Qu’est-ce qu’est l’attaque de point d’eau?

DW : L’attaque de point d’eau est un mélange intéressant. C’est similaire au harponnage, car vous êtes identifié comme une cible, mais plutôt que de vous envoyer un courriel et espérer que vous allez cliquer sur un lien, c’est le site Web sur le lequel vous allez régulièrement qui est infecté. Par exemple, les avocats en Ontario vont probablement consulter le site Web « Canadian Lawyer » pour lire le magazine en ligne ou d’autres publications juridiques, ou encore, consulter le site Web du Barreau du Haut-Canada. Quelqu’un qui veut attaquer au point d’eau infectera ce site Web, et quand vous irez le consulter, vous serez infecté simplement parce que vous l’aurez consulté. Ce n’est pas la même chose que le courriel, mais vous êtes quand même ciblé de la même façon.

PB :  Alors, quelle est la meilleure façon de combattre ces types de problèmes ? 

DW : Bien, dans la plupart des cas, c’est une affaire de bon sens. Mais même si tout semble être évident maintenant, on peut toujours se faire prendre. Il faut vraiment penser au lien sur lequel on clique. Un avocat lors d’un récent séminaire m’a demandé si cela pouvait arriver en ouvrant un courriel : oui, cela peut se produire. Si vous ouvrez un courriel et qu’il s’affiche comme une page Web en format HTML et si un programme est en marche ou est appelé par ce courriel, il peut alors immédiatement commencer à télécharger quelque chose sans que vous ne le sachiez. Alors, ce que vous pouvez faire, c’est de désactiver les courriels HTML, les pièces jointes ou les images, pour que vous puissiez lire un courriel lorsqu’il est reçu, mais sans nécessairement l’activer. La deuxième chose que vous pouvez faire est de surveiller les liens sur lesquels vous cliquez. Si vous recevez un courriel, même s’il provient de quelqu’un que vous connaissez, placez votre pointeur de souris sur le lien pour l’afficher sans cliquer dessus, et une petite fenêtre apparaitra pour vous indiquer ce qu’il contient et vers où le lien vous dirige. Si ça ne va pas vers où vous pensez, alors, ne le cliquez pas. L’autre chose à faire lorsque le lien présente quelque chose d’important, comme une banque, et qu’on vous indique qu’on veut vérifier votre nom d’utilisateur ou un mot de passe (c’est très rare qu’une banque vous demande de faire ça dans un courriel), mais si c’est le cas, alors fermez votre courriel, allez dans votre navigateur et tapez l’adresse URL de la banque et puis, essayez de vous connecter dans votre compte sur ce site, pour voir si vous obtenez la même demande de mise à jour de vos renseignements personnels. Ne cliquez pas sur le lien qui vous a été fourni pour ne pas vous retrouver sur le site Web d’hameçonnage.

PB :  C’est exact. Je sais que nous en avons discuté dans d’autres balados, c’est là que votre politique sur l’utilisation d’internet de votre cabinet d’avocats s’avère très utile.  

DW : C’est vrai. C’est vraiment surprenant de penser que c’est la formation, plus que toute autre chose, qui vous protégera d’une attaque d’hameçonnage, ou encore d’être victime d’une attaque de point d’eau. Habituez votre personnel et vous-même à vous méfier de ces liens, et même de liens bizarres sur des pages Web étranges. J’écoutais de la musique sur mon ordinateur portatif et soudainement, un lien est apparu sur mon écran qui me disait que mon lecteur devait être mis à jour, alors j’ai cliqué sur le lien qui a ouvert une page Web qui ressemblait à la page de téléchargement de Adobe Flash. J’ai examiné l’adresse URL et elle n’avait rien à voir avec celle d’Adobe, mais la page avait été entièrement copiée. Je ne sais pas exactement quelle était la provenance de ce lien, à part qu’il venait du site Web qui m’envoyait de la musique. Vous devez être vigilant en tout temps et savoir que cela peut se produire –vérifiez tous les indices du site Web et l’endroit où vous êtes, et assurez-vous que vous allez où vous êtes censés aller. 

PB :  C’est bien. Alors, pensez avant de cliquer. 

DW : Voilà la réponse.

PB : Bon, ceci conclut notre tour d’horizon sur l’hameçonnage, la chasse à la baleine, le harponnage et l’attaque du point d’eau.  Merci beaucoup David.

DW : Merci Phil.

Explication des termes et concepts