L’hameçonnage (phishing)

L’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.

But recherché :

Voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux.

L’hameçonnage (ou phishing en anglais) – Cybermalveillance.gouv.fr

1. Quelles sont les mesures préventives ?

• 1. Ne communiquez jamais d’informations sensibles par messagerie ou téléphone :
  Aucune administration ou société commerciale sérieuse ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone.
  
• 2. Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien (sans cliquer) ce qui affichera alors l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance ou allez directement sur le site de l’organisme en question par un lien favori que vous aurez vous-même créé.
  
• 3. Vérifiez l’adresse du site qui s’affiche dans votre navigateur.
  Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper. Au moindre doute, ne fournissez aucune information et fermez immédiatement la page correspondante.
• 4. En cas de doute, contactez si possible directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu.
  
• 5. Utilisez des mots de passe différents et complexes pour chaque site et application afin d’éviter que le vol d’un de vos mots de passe ne compromette tous vos comptes personnels. Vous pouvez également utiliser des coffres forts numériques de type KeePass pour stocker de manière sécurisée vos différents mots de passe.
  
• 6. Si le site le permet, vérifiez les date et heure de dernière connexion à votre compteafin de repérer si des accès illégitimes ont été réalisés.
  
• 7. Si le site vous le permet, activez la double authentification pour sécuriser vos accès.

2. Que faire si vous êtes victime d’hameçonnage (ou phishing) ?

1. Au moindre doute, contactez l’organisme concerné :
   En cas de doute, contactez si possible directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu.
   
2. Faites opposition immédiatement :
   Si vous avez malencontreusement communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites opposition immédiatement auprès de votre organisme bancaire ou financier.
   
3. Conservez les preuves et, en particulier, le message d’hameçonnage reçu.
   
4. Déposez plainte :
   Si vous avez constaté que des informations personnelles servent à usurper votre identité ou si vous constatez des débits frauduleux sur vos comptes bancaires, déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal de grande instance dont vous dépendez en fournissant toutes les preuves en votre possession.
   
   Si vous êtes un particulier,vous pouvez être accompagné gratuitement dans cette démarche par une association de France Victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h.
   
5. Changez immédiatement vos mots de passe :
   Si vous avez malencontreusement communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis (tous nos conseils pour gérer au mieux vos mots de passe).
   
6. Signalez tout message ou site douteux à Signal Spam : 
   Si vous avez reçu un message douteux, ne cliquez par sur les pièces jointes ou sur le lien suspect. Si le message comporte un lien, positionnez le curseur de votre souris sur ce lien (sans cliquer). Cela affichera alors la véritable adresse vers laquelle il redirige afin d’en vérifier la vraisemblance.
   Si vous avez cliqué sur le lien, vérifiez l’adresse du site Internet qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper.
   Ne répondez pas à ces messages suspects et signalez-les à Signal Spam qui est associé à la CNIL pour identifier les principaux émetteurs de spams et mener les actions de luttes nécessaires.
   
7. Signalez l’adresse d’un site d’hameçonnage à Phishing Initiative : 
   Vérifiez l’adresse du site Internet qui s’affiche sur votre navigateur. Si elle ne correspond pas exactement au site concerné, il s’agit très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper. Face à un site suspect, vous pouvez le signaler à Phishing Initiative qui bloquera l’adresse de ce site et demandera sa suppression.
   
8. Besoin de plus de conseils ? 
   Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits de 9h à 18h30 du lundi au vendredi).

« La minute Info » sur le thème de l’hameçonnage (phishing) réalisée en partenariat avec l’Institut National de la Consommation

Si vous faîtes le choix de déposer plainte, cette démarche devra obligatoirement s’appuyer sur la bonne qualification d’infraction sous peine de classement sans suite de votre demande. En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

• Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.

• Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.

• Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.

• Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.

• Usurpation d’identité (article 226-4-1 du code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende.

• Contrefaçon des marques (logos, signes, emblèmes…) utilisées lors de l’hameçonnage, prévu par les articles L.713-2 et L.713-3 du Code de la propriété intellectuelle. Délit passible d’une peine d’emprisonnement de trois ans et de 300 000 euros d’amende.

Contenu issu du site Internet

---

Les conseils de notre Expert Denis JACOPINI :

Vous souhaitez vous former ou vous sensibiliser à la cybersécurité ?
Vous souhaitez découvrir les bonnes pratiques à mettre en oeuvre au quotidien ?
Vous souhaitez avoir un coup d’avance sur les pirates informatiques ?
C’est par ici que vous trouverez des informations.

Si vous êtes victime d’arnaque ou d’escroquerie ou même de tentative, voici mes conseils :

1. Procéder d’abord à un signalement sur le site ministériel https://www.internet-signalement.gouv.fr. Il s’agit d’un site Internet destiné à collecter et traiter les signalements en autres d’escroqueries, d’arnaques etc.
   
2. La plateforme gouvernementale cybermalveillance.gouv.fr peut accompagner les personnes victimes de malveillance sur Internet. En fonction de la situation, elle propose les contacts d’organismes et de spécialistes proches de chez vous susceptibles de vous aider. Elle met en ligne des fiches pratiques dispensant de nombreux conseils pour éviter d’être victime de ce type de pratique.

2. Ensuite, il est important d’aller déposer plainte au bureau de Police ou de Gendarmerie dépendant de votre lieu de résidence ou du lieu de l’infraction. Ceci est le point de départ à la fois de la reconnaissance de votre statut de victime et également le seul moyen permettant d’accéder à des informaitons qui pourraient aboutir à l’identification et la localisation de l’individu en cause, et probablement à votre dédomagement.

Pour que la plainte soit recevable et ait une suite satisfaisante, il est important qu’elle soit déposée avec la ou les bonnes qualifications (il est possible de cumuler les infractions) :

• Escroquerie (article 313-1 du code pénal) ;
• Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) ;
• Usurpation d’identité (article 226-4-1 du code pénal) ;
• Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) ;
• Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) ;
• Contrefaçon des marques (logos, signes, emblèmes…) utilisées lors de l’hameçonnage, prévu par les articles L.713-2 et L.713-3 du Code de la propriété intellectuelle.

Si votre interlocuteur Policier ou Gendarme cherche à vous dissuader de déposer plainte, notamment en raison de l’absence ou l’insuffisance de preuves, demandez leur qu’ils vous en l’indiquent par écrit. En effet, très souvent, sans preuve, les officiers de Police Judiciaire ne souhaitent pas prendre des plaintes. N’hésitez pas à leur expliquer que vous souhaitez justement déposer plainte pour que l’enquêteur puisse accéder aux preuves auxquelles les simples citoyens n’ont pas accès (interroger les opérateurs ou les fournisseurs de services Internet, retrouver les origines des connexions, récolter de nouvelles preuves) et ainsi leur permettre de remonter jusqu’à l’auteur.

En cas de difficulté pour déposer plainte ou en cas de suite insatisfaisante à votre demande, n’hésitez pas à écrire au Procureur de la République dont dépend ce professionnel de la force publique en précisant bien son nom et les raisons qu’il a évoqué pour refuser de prendre votre plainte. Vous pouvez bien évidemment également vous rapprocher d’un avocat. Si vous disposez d’une protection juridique (faisant souvent partie des contrats d’assurance habitation), de nombreux frais de justice pourraient bien être pris en charge par votre assurance.

---

Moi, Denis JACOPINI, je ne suis qu’Expert en Informatique assermenté (vous pouvez avoir plus d’informations sur moi en consultant cette page).
Je ne suis ni avocat, ni enquêteur, ni policier, ni magistrat et ma seule rénumération est le fruit de mon travail. Nos démarches se font dans un cadre légal et sont la plupart du temps liées à ces professionnels.
Elles consistent souvent, à la demande de la justice, des avocats, des entreprises ou des particuliers tels que vous à trouver des preuves sur Internet, dans des téléphones, des ordinateurs ou toutes sortes de supports numériques (preuves souvent indispensables pour la bonne marche des procédures judiciaires que vous initierez) et à les vulgariser afin que les destinataires de nos travaux, non techniciens, puissent les comprendre pour mieux les exploiter.
Nos démarches consistent aussi parfois à vous aider à accéder à rechercher des preuves dans des équipements numériques (ordinateurs, smartphones…) afin d’accéder à des informations auxquelles vous n’arrivez pas à avoir accès. Nos démarches se font en respectant les cadres légaux.

Contrairement au dépôts de plaintes, nos démarches ne sont pas sans frais. 

Conseil pouvant s’avérer très utile :

Rien ne vaut une bonne sensibilisation pour éviter ce genre de situation. Pour info, CYBERARNAQUES (le livre !)

https://www.amazon.fr/Cyberarnaques-Denis-JACOPINI-ebook/dp/B07C9DHWH8
https://livre.fnac.com/a11267131/Denis-Jacopini-Cyberarnaques

Vous souhaitez compléter ces informations ?
Vous souhaitez commenter cet article ?
Laissez-nous un commentaire. Nous nous ferons un plaisir de le lire et pourquoi pas, de le diffuser 😉

---

Vous souhaitez faire un signalement ? | Comment retrouver des escrocs ? | Comment vous faire dédommager ?

Vous êtes un particulier ou une petite entreprise ?
pensez à la protection de vos postes de travail, tablettes et smartphones.

Sous Windows, MAC ou Android ces produits sont conseillés par notre Expert en Cybersécurité
De plus, en fonction de votre choix, 1 licence peut protéger plusieurs appareils

ESET Internet Security

Protection multiplateforme
Windows / macOS / Android

Protection multicouche

• Antivirus & Antispyware
• Bouclier Anti-Ransomware
• Machine Learning Avancé
• Analyse pendant le téléchargement des fichiers
• Analyse de l’état d’inactivité
• Exploit Blocker
• HIPS
• Analyse de la mémoire avancée
• Scanner WMI
• Analyse dans le Cloud
• Analyse de la base de registre
• Protection des attaques via script
• Scanner UEFI

Léger et facile à utiliser

• Faible Empreinte Système
• Mode Gamer
• Support pour ordinateur portable
• Mises à jour silencieuses du produit
• Solution en un clic
• Rapport de sécurité
• ESET SysInspector®
• Paramètres pour les utilisateurs avancés

Protection étendue

• Anti-hameçonnage
• Contrôle des appareils
• Protection des opérations bancaires et des paiements
• Contrôle Parental
• Protection de la webcam
• Pare-Feu
• Surveillance des objets connectés
• Protection contre les attaques réseaux
• Protection contre les botnets
• Antispam

ESET Smart Security Premium

Protection multiplateforme
Windows / macOS / Android

Protection multicouche

• Antivirus & Antispyware
• Bouclier Anti-Ransomware
• Machine Learning Avancé
• Analyse pendant le téléchargement des fichiers
• Analyse de l’état d’inactivité
• Exploit Blocker
• HIPS
• Analyse de la mémoire avancée
• Scanner WMI
• Analyse dans le Cloud
• Analyse de la base de registre
• Protection des attaques via script
• Scanner UEFI
• LiveGuard

Léger et facile à utiliser

• Faible Empreinte Système
• Mode Gamer
• Support pour ordinateur portable
• Mises à jour silencieuses du produit
• Solution en un clic
• Rapport de sécurité
• ESET SysInspector®
• Paramètres pour les utilisateurs avancés

Protection étendue

• Anti-hameçonnage
• Contrôle des appareils
• Protection des opérations bancaires et des paiements
• Contrôle Parental
• Protection de la webcam
• Pare-Feu
• Surveillance des objets connectés
• Protection contre les attaques réseaux
• Protection contre les botnets
• Antispam
• Protection des données (chiffrement)
• Gestionnaire de mots de passe

ESET CONTRÔLE PARENTAL
pour Android

Protections de vos enfants

• Contrôle des applications
• Limitation de temps sur les divertissements et jeux
• Budget temps accordé sur les divertissements et jeux
• Rapports basiques sur l’utilisation du web
• Blocage instantané

Et en plus en version Premium

• Fonctions de filtrage Web
• Recherche sécurisée
• Localisation de l’enfant
• Géorepérage
• Rapports d’activité complets détaillés

Denis JACOPINI, Expert informatique, a jugé utile de partager cette information avec vous.

Denis JACOPINI est Auditeur / Formateur / Consultant en RGPD et en CYBER. Contactez-nous.

AUDITEUR :
• Etats des lieux RGPD & CYBER
• Analyse de risques, PIA, DPIA
FORMATEUR :
• Sensibilisation / Formation des Dirigeants ;
• Formation des informaticiens ;
• Sensibilisation / Formation des utilisateurs ;
CONSULTANT :
• Mises en conformité RGPD ;
• Expertises numériques (matérielles, logicielles et Internet) ;
• Recherche de preuves / Forensic ;
• Investigation numérique pénale ;
• Mise en place de PSSI ;
• Expertises de systèmes de Votes électroniques ;
• Récupération de données supprimées (Smartphones/Ordinateurs/SI) ;
• Expertises pénales, administratives et civiles ;
• Expertises privées (collecte et rapport d’Expertise avant procès).

---

Notre métier en RGPD et en CYBER : Auditer, Expertiser, Accompagner, Former et Informer

---

ARNAQUES & PIRATAGES un service offert par LE NET EXPERT
Expertises Numériques – Recherche de logiciels Espions – Formations
Mise en conformité RGPD Expertises d’Élections par Internet

Les informations figurant dans ce site Internet sont données à titre d’exemple et ne représentent en rien un contenu exhaustif et une incitation à l’utilisation des techniques abordées. Il n’a pour seul but de sensibilier de manière préventive les lecteurs.