Chaque jour, nous recevons tous des spams et tentatives de phishing parmi nos emails. Les arnaques potentielles par email sont devenues légion et il est désormais très important d’adopter les bons réflexes pour s’en prémunir.
On vous explique dans cet article quelques bons réflexes à adopter en cas de doute sur l’authenticité d’un email et ainsi éviter de se faire pirater.
Principe du Phishing
Le Phishing a pour but de vous « hameçonner » via un email afin de créer un lien entre votre ordinateur et/ou un compte en ligne que vous posséderiez et le pirate. Il peut s’agir d’introduire un trojan (cheval de troie) dans votre ordinateur ou vous subtiliser les identifiants sur une plateforme spécifique. Voler ces identifiants pourraient donner accès à des achats en ligne si une carte de crédit est liée, permettre un vol de données, une demande de rançon etc.
Méthodologie du Phishing
Les campagnes de Phishing sont généralement très bien ficelées. Le pirate prend grand soin d’obtenir des informations parfois très confidentielles afin de retirer tout doute sur la véracité de l’email. Par exemple, en ce moment (juillet 2022), de nombreuses campagnes de phishing sévissent chez les grands hébergeurs web tels que OVH et Infomaniak. En effet, nous avons été informés par ces deux géants du secteur sur les campagnes en cours.
Ces campagnes se composent d’un email que vous recevez et qui vous indique, la plupart du temps, que votre nom de domaine va expirer ou est déjà expiré. Les pirates vont jouer sur l’aspect urgent de la chose et vous mettre en panique en sous-entendant que vous allez perdre votre nom de domaine et donc votre site web.
Les données de nombreux noms de domaine et l’hébergeur utilisé sont publiques. C’est pour cela que vous pouvez recevoir un email très précis, affichant l’image de marque de l’hébergeur (par exemple Infomaniak), sur la bonne adresse email et avec le bon nom de domaine. Ces données sont disponibles dans ce que l’on appelle le « WHOIS ». Il est donc facile pour eux de créer des robots qui vont scanner les registres officiels des noms de domaine pour ensuite créer des campagnes d’arnaques en se faisant passer pour OVH, Gandi ou Infomaniak.
Comment se protéger du Phishing ?
Activer l’anti-spam
La base pour se protéger des courriers indésirables, dont les emails de phishing, est d’activer un anti-spam sur le serveur mail et éventuellement aussi sur votre ordinateur. Des logiciels de messagerie peuvent intégrer directement un anti-spam mais l’idéal est d’avoir un filtre avant même de le recevoir. Pour cela, demandez conseil à votre hébergeur ou gestionnaire d’emails.
Dans le cas où vous avez un service classique d’emailing, tel que celui proposé gratuitement ou à faible coût avec votre hébergement de site web, il faut savoir que les options seront limitées. Un service d’emails professionnel coûte environ 5€ htva/mois/email et c’est généralement une dépense que les TPE et PME ne font pas. Vous pouvez dès lors au minimum activer ou faire activer l’anti-spam sur le serveur mail.
Sur le PC ou MAC, un logiciel anti-spam, livré avec votre antivirus par exemple, pourrait faire l’affaire.
Vérifier l’authenticité de l’email en profondeur
Comme vous avez pu le constater sur la capture d’écran plus haut, le premier réflexe est de vérifier l’expéditeur de l’email. Malheureusement, les nouveaux logiciels email vont juste vont montrer le nom de l’envoyeur. Ce nom peut être indiqué manuellement par le pirate, c’est pourquoi vous ne pouvez pas lui faire confiance. Il faut impérativement cliquer sur le nom pour voir apparaître l’adresse email complète. Les pirates vont bien entendu utiliser des emails très proches des noms de domaine officiels. Vous aurez donc des emails du type support@paaypal.com par exemple (Paypal s’écrivant avec un seul A mais dans l’urgence vous pourriez ne pas le voir).
Il faut donc toujours redoubler de vigilance et, en cas de doute, contacter votre conseiller technique.
Faites confiance à votre agence web
Si vous avez confié le renouvellement de votre hébergement à votre agence web, il est plus que probable que celle-ci fasse le nécessaire pour vous. En cas de doute, vous pouvez bien entendu vérifier les services proposés dans votre contrat. Gardez toujours à l’esprit que si l’agence vous dit gérer le renouvellement, c’est donc sa responsabilité d’assurer cela de manière infaillible. Il est donc peu probable que l’agence web ne renouvelle pas votre nom de domaine et le laisse expirer.
De plus, il existe ce que l’on appelle la quarantaine. Cette quarantaine place votre nom de domaine expiré en pause et permet au détenteur du domaine, ainsi qu’éventuellement à son prestataire technique, de le renouveler moyennant des frais additionnels. Le DNS est donc bloqué durant cette quarantaine et personne ne peut vous le voler. Cependant, il est en pause et votre site web peut ne plus apparaître en ligne. Veillez à ne jamais laisser un site web « en panne » sous peine de subir des pénalités de la part de Google d’un point de vue référencement naturel.
Choisir un email professionnel ++
La plupart d’entre nous n’a aucun besoin d’utiliser une adresse email très performante. Les emails fournis avec l’hébergeur sont souvent amplement suffisants. Si vous désirez toutefois augmenter la qualité de vos boîtes mail, nous vous conseillons de contacter votre informaticien pour lui demander conseil.
Les solutions de type Exchange ou encore Google Mail pro peuvent être des choix judicieux mais forcément plus onéreux. Les coûts restent cependant limités et à mettre en balance avec les besoins et la sécurité. Dans tous les cas, dites-vous bien qu’aucun système n’est infaillible. Même des géants du web ont des failles et des problèmes techniques. Prenez par exemple le data center d’OVH qui a pris feu il y a deux ans et dont les données ont pour la plupart été perdues étant donné que même les sauvegardes ont été détruites.
On ne peut que répéter encore une fois d’être ultra vigilant avec ses données et de faire des sauvegardes régulières que vous pourrez placer en lieu sûr. Une double sauvegarde sur un Cloud + une solution physique telle un disque dur constituent déjà une bonne approche sécuritaire pour une TPE/PME.