L’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance.
L’essentiel
- L’objectif du phishing est de voler vos informations personnelles.
- Il peut revêtir plusieurs formes : envoi de faux messages, appels téléphoniques ou envoi de liens à cliquer.
- Ne communiquez jamais d’informations sensibles par messagerie ou par téléphone, et avant de cliquer sur un lien douteux, positionnez votre curseur sur ce lien (sans cliquer) afin d’afficher (et de vérifier) l’adresse vers laquelle il pointe réellement.
- Pour être conseillé en cas d’hameçonnage, contactez Info Escroqueries au 0 805 805 817 (numéro gratuit).
- Attention aux expéditeurs inconnus : soyez particulièrement vigilant sur les courriels provenant d’une adresse électronique que vous ne connaissez pas ou qui ne fait pas partie de votre liste de contact.
- Soyez attentif au niveau de langage du courriel : même si cela s’avère de moins en moins vrai, certains courriels malveillants ne sont pas correctement écrits. Si le message comporte des erreurs de frappe, des fautes d’orthographe ou des expressions inappropriées, c’est qu’il n’est pas l’œuvre d’un organisme crédible (banque, administration ...).
- Vérifiez les liens dans le courriel : avant de cliquer sur les éventuels liens, laissez votre souris dessus. Apparaît alors le lien complet. Assurez-vous que ce lien est cohérent et pointe vers un site légitime. Ne faites pas confiance aux noms de domaine du type impots.gouvv.fr, impots.gouvfr.biz, infocaf.org au lieu de www.caf.fr.
- Interrogez-vous sur la légitimité des demandes qui vous sont faites : aucun organisme n’a le droit de vous demander votre code carte bleue, vos codes d’accès et mots de passe. Ne transmettez rien de confidentiel même sur demande d’une personne qui annonce faire partie de votre entourage.
- L’adresse de messagerie source n’est pas un critère fiable : une adresse de messagerie provenant d’un ami, de votre entreprise, d’un collaborateur peut facilement être usurpée. Seule une investigation poussée permet de confirmer ou non la source d’un courrier électronique. Si ce message semble provenir d’un ami - par exemple pour récupérer l’accès à son compte - contactez-le sur un autre canal pour vous assurer qu’il s’agit bien de lui !
Les techniques d’attaque évoluent constamment. Les conseils suivants vous aideront à déterminer si un message est légitime ou non.
- Ne communiquez jamais d’informations sensibles par messagerie ou téléphone : aucune administration ou société commerciale sérieuse ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone.
- Utilisez un logiciel bloqueur de publicités, de filtre anti-pourriel, ou activer l’option d’avertissement contre le filoutage présent sur la plupart des navigateurs. Installez un anti-virus et mettez-le à jour.
- Au moindre doute, ne fournissez aucune information, n’ouvrez surtout pas les pièces jointes et ne répondez-pas. Supprimez le message puis videz la corbeille.
- Pour lever le doute, contactez si possible directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu.
- S’il s’agit de votre compte de messagerie professionnel : TRANSFÉREZ LE MESSAGE au service informatique et au responsable de la sécurité des systèmes d’information de votre entreprise pour vérification. Attendez leur réponse avant de supprimer le courrier électronique.
- Utilisez des mots de passes différents et complexes pour chaque site et application afin d’éviter que le vol d’un de vos mots de passe ne compromette tous vos comptes personnels. Vous pouvez également utiliser des coffres forts numériques de type KeePass pour stocker de manière sécurisée vos différents mots de passe.
- Si le site le permet, vérifiez les dates et heure de dernière connexion à votre compte afin de repérer si des accès illégitimes ont été réalisés.
- Chaque fois que c’est possible, activez la double authentification pour sécuriser vos accès.
- Si vous avez malencontreusement communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte : FAITES OPPOSITION IMMÉDIATEMENT auprès de votre organisme bancaire ou financier et déposez plainte au commissariat de police ou à la gendarmerie la plus proche.
- Si vous avez constaté que des éléments personnels servent à usurper votre identité, DÉPOSEZ PLAINTE au commissariat de police ou à la gendarmerie la plus proche.
- Si vous êtes victime d’une usurpation de votre adresse de messagerie ou de tout autre compte, CHANGEZ IMMÉDIATEMENT VOS MOTS DE PASSE.
- Si vous avez reçu un message douteux sans y répondre, SIGNALEZ-LE À SIGNAL SPAM (Signal-spam.fr).
Vous pouvez également SIGNALER UNE ADRESSE DE SITE D’HAMEÇONNAGE À PHISHING INITIATIVE (Phishing-initiative.fr) qui en fera fermer l’accès.
Pour être conseillé en cas d’hameçonnage, contactez INFO ESCROQUERIES au 0 805 805 817 (numéro gratuit).
Ce que dit la loi :
LES INFRACTIONS
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues
Code pénal :
- Usurpation d’identité (article 226-4-1) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est passible d’une peine d’un an d’emprisonnement et de 15.000 euros d’amende.
- Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300.000 euros d’amende.
- Escroquerie (article 313-1) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375.000 euros d’amende.
- Accès frauduleux à un système de traitement automatisé de données (article 323-1) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60.000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100.000 euros d’amende.
Code monétaire et financier :
Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4) : délit passible d’une peine d’emprisonnement de sept ans et de 750.000 euros d’amende.
Code de la propriété intellectuelle :
Contrefaçon des marques (logos, signes, emblèmes…) utilisées lors de l’hameçonnage (articles L.713-2 et L.713-3) : Délit passible d’une peine d’emprisonnement de trois ans et de 300.000 euros d’amende.
Pour en savoir plus :
- Le guide de prévention contre les arnaques
- Site www.cybermalveillance.fr
- Phishing-initiative.fr
- Signal-spam.fr
- Info escroqueries au 0 805 805 817 (numéro gratuit)
Je signale un problème ou veux résoudre un litige : Démarches et services en tant que consommateur