Identifier un e-mail de phishing

Un e-mail de phishing se fait passer pour un courrier envoyé par un expéditeur légitime afin de tromper les utilisateurs et de les amener à divulguer des informations sensibles.

Objectifs d’apprentissage

Cet article s'articule autour des points suivants :

  • Expliquer comment les e-mails sont utilisés dans le cadre d'attaques par phishing.
  • Identifier les éléments courants d'un e-mail de phishing.
  • Découvrir les stratégies permettant d'éviter les e-mails de phishing.

Copier le lien de l'article

Qu'est-ce que le phishing par e-mail ?

Le phishing (ou hameçonnage) est une cyberattaque au cours de laquelle un acteur malveillant dissimule sa véritable identité afin de tromper la victime et de la pousser à effectuer une action souhaitée. Comme pour la pêche, le phishing utilise un « appât » (une adresse e-mail d'apparence légitime, la promesse d'un gain monétaire, une menace inscrite dans un certain laps de temps, etc.) pour piéger une victime (qui se trouve dès lors « hameçonnée ») et l'amener à révéler des informations sensibles ou à accorder l'accès à des ressources protégées, comme le réseau d'une entreprise.

Une attaque par phishing s'appuie souvent sur un e-mail pour convaincre les cibles qu'un message provient bien d'une source de confiance, comme une institution financière réputée ou un employeur. Comme le message semble légitime, l'utilisateur se révèle plus susceptible de partager de précieuses données de compte ou d'interagir avec des logiciels malveillants, qui se présentent généralement sous la forme d'une pièce jointe ou d'un lien camouflé au sein de l'e-mail.

Quel est l'objectif d'une attaque par phishing ?

Les attaques par phishing visent généralement à duper un utilisateur afin de l'amener à révéler des informations confidentielles, à interagir avec des logiciels malveillants ou à accorder l'accès à un compte ou à une application. Lorsqu'elle est réussie, une tentative de phishing permet aux pirates de dérober des identifiants utilisateur, d'infiltrer un réseau, de voler des données ou de prendre des mesures plus radicales contre une victime (p. ex. procéder à une attaque par rançongiciel).

Pour en savoir plus sur les techniques de phishing, consultez la page Qu'est-ce qu'une attaque par phishing ?

Comment les e-mails sont-ils utilisés pour conduire une attaque par phishing ?

Lors d'une tentative de phishing par e-mail (un terme générique désignant toutes les formes de phishing reposant sur l'utilisation du courrier électronique), l'acteur malveillant envoie un e-mail en se faisant passer pour un expéditeur honorable, comme une organisation gouvernementale ou une entreprise bien connue.

Certaines techniques de phishing tentent de recueillir des informations directement auprès du destinataire en prétendant qu'un compte a fait l'objet d'une violation sous une forme ou une autre (p. ex. en lui présentant une requête de réinitialisation de mot de passe frauduleuse) ou en lui proposant une récompense monétaire (p. ex. de fausses cartes-cadeaux).

Les autres e-mails de phishing contiennent des logiciels malveillants sous forme de pièces jointes ou de liens intégrés au corps de l'e-mail. En interagissant avec ces logiciels malveillants (par exemple, en ouvrant ou en téléchargeant une pièce jointe contenant une charge utile malveillante), l'utilisateur peut, sans en avoir conscience, infecter son appareil ou son réseau et ainsi permettre aux pirates d'accéder à des applications et des données protégées.

Identifier un e-mail de phishing

Comme les e-mails de phishing sont conçus pour imiter des individus et des organisations légitimes, ils peuvent s'avérer difficiles à identifier au premier coup d'œil. Vous trouverez ci-dessous quelques signaux d'avertissement courants à surveiller :

  • L'e-mail ne passe pas les tests SPF, DKIM ou DMARC. Trois enregistrements DNS sont utilisés pour authentifier l'origine d'un e-mail : Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication Reporting and Conformance (DMARC). Un e-mail qui ne parvient pas à passer l'un ou plusieurs de ces tests est souvent identifié comme spam et peut même ne pas être remis du tout à son destinataire prévu. C'est la raison pour laquelle il s'avère inhabituel de trouver des e-mails légitimes dans les dossiers de courrier indésirable.
  • L'adresse e-mail de l'expéditeur n'est pas associée à un nom de domaine légitime. Le domaine doit correspondre au nom de l'organisation dont l'e-mail prétend provenir. Ainsi, si toutes les adresses e-mail légitimes de la société Legitimate Internet Company se présentent sous le format « employe@legitinternetcompany.com », un e-mail falsifié pourrait être envoyé d'une adresse au format similaire, comme « employe@legitinternetco.com ».
  • Une formule générale de salutation est utilisée à la place d'un nom. Les entrées en matière du type « Cher client », « Cher titulaire de compte » ou « Bonjour » peuvent constituer un signe indiquant que l'e-mail a été envoyé dans le cadre d'une tentative de phishing de masse plutôt qu'en tant que message personnel envoyé par un expéditeur légitime.
  • L'e-mail comporte une limite de temps ou exprime un sentiment d'urgence inhabituel. Les e-mails de phishing génèrent souvent un faux sentiment d'urgence afin de convaincre les utilisateurs d'agir. Ils peuvent, par exemple, promettre une carte-cadeau si l'utilisateur répond dans les 24 heures ou invoquer une violation de données pour amener l'utilisateur à modifier son mot de passe. Il est rare que ces tactiques soient liées à de véritables échéances ou conséquences, car elles sont conçues pour submerger un utilisateur afin de l'inciter à agir précipitamment, avant qu'il ne commence à avoir des soupçons.
  • Le corps du message est truffé d'erreurs. Une accumulation de fautes de grammaire, d'orthographe et de syntaxe peut suggérer qu'un e-mail ne provient pas d'une source honorable.
  • Les liens figurant dans le corps du message ne correspondent pas au domaine de l'expéditeur. Dans la majorité des cas, les requêtes légitimes n'orienteront pas les utilisateurs vers un site web sans rapport avec le domaine de l'expéditeur. À l'inverse, les tentatives de phishing redirigent souvent les utilisateurs vers un site malveillant ou dissimulent les liens malveillants dans le corps de l'e-mail.
  • L'appel à l'action comporte un lien vers le site web de l'expéditeur. Les liens peuvent tout à fait rediriger les victimes vers un site malveillant ou déclencher le téléchargement d'un logiciel malveillant, même lorsqu'ils semblent pointer vers des sites web légitimes. La plupart des organisations réputées ne demanderont pas aux utilisateurs de divulguer des informations sensibles (p. ex. le numéro d'une carte de paiement) en cliquant sur un lien.*

En règle générale, plus une tentative de phishing se révèlera sophistiquée, moins ces éléments seront susceptibles de figurer dans un e-mail. Ainsi, certains e-mails de phishing utilisent les logos et les éléments graphiques d'entreprises bien connues pour donner l'impression que leur message est légitime, tandis que d'autres pirates peuvent coder l'intégralité du corps de l'e-mail afin qu'il se comporte comme un hyperlien malveillant.

*Les exceptions à cette règle peuvent inclure les demandes de réinitialisation de mot de passe et la vérification de compte. Toutefois, les tentatives de phishing peuvent également falsifier ce type de requêtes. Il peut donc s'avérer judicieux de contrôler à nouveau l'adresse e-mail de l'expéditeur avant de cliquer sur quoi que ce soit.*

Prévention des attaques par phishing

Comme pour n'importe quelle sorte de courrier électronique non sollicité (que l'on désigne souvent sous le nom de « spam »), les e-mails de phishing ne peuvent être totalement éliminés par un outil de sécurité ou un service de filtrage. Les utilisateurs peuvent toutefois prendre plusieurs mesures pour diminuer les chances qu'une telle attaque réussisse :

  • Évaluer les e-mails à la recherche d'éléments suspects. Les en-têtes d'e-mail peuvent laisser apparaître des noms d'expéditeur ou des adresses e-mail à la formulation trompeuse, tandis que le corps de l'e-mail peut comporter des pièces jointes et des liens dissimulant du code malveillant. Les utilisateurs doivent prendre le maximum de précautions lors de l'ouverture d'un message provenant d'un expéditeur avec lequel ils sont peu familiers.
  • Ne jamais partager d'informations personnelles. Même lorsque vous communiquez avec une personne de confiance, n'échangez jamais de données personnelles (p. ex. numéros de sécurité sociale, informations bancaires, mots de passe, etc.) dans le corps d'un e-mail.
  • Bloquer le courrier indésirable. La plupart des clients de courrier électronique disposent de filtres antispam intégrés, mais les services de filtrage tiers peuvent proposer des fonctionnalités de contrôle des e-mails plus précises aux utilisateurs. Les autres recommandations permettant d'éviter le courrier indésirable incluent la désinscription des listes de diffusion, le fait de ne pas ouvrir les e-mails de spam et la conservation du caractère privé des adresses e-mail (p. ex. en ne les faisant pas figurer sur le site web public d'une entreprise).
  • Utiliser des protocoles de sécurité des e-mails. Diverses méthodes d'authentification du courrier électronique, comme les enregistrements SPF, DKIM et DMARC, permettent de vérifier la source d'un e-mail. Les propriétaires de domaine peuvent configurer ces enregistrements de manière à compliquer la tâche des acteurs malveillants qui tentent de se faire passer pour eux lors d'une attaque par usurpation de domaine.
  • Exécuter un service d'isolation de navigateur. Les services d'isolation de navigateur isolent et exécutent le code du navigateur dans le cloud, afin de protéger les utilisateurs contre l'activation des liens et des logiciels malveillants susceptibles d'être véhiculés (sous forme de pièces jointes, par exemple) via les clients de courrier électronique basés sur le web.
  • Filtrer le trafic nuisible à l'aide d'une passerelle web sécurisée. Une passerelle web sécurisée (Secure Web Gateway, SWG) inspecte les données et le trafic réseau à la recherche de logiciels malveillants connus, avant de bloquer les requêtes entrantes en fonction de politiques de sécurité prédéterminées. Elle peut également être configurée de sorte à empêcher les utilisateurs de télécharger des fichiers (comme ceux qui pourraient figurer en pièces jointes dans un e-mail de phishing) ou de partager des données sensibles.
  • Confirmer l'envoi du message auprès de l'expéditeur. Si un e-mail vous semble toujours suspect, il peut s'avérer nécessaire de confirmer, de manière indépendante, que le message a bien été envoyé par un individu ou une organisation légitime. Plusieurs méthodes de vérification sont à votre disposition pour ce faire, comme un appel téléphonique ou l'envoi d'un SMS. En cas de doute, demandez à l'expéditeur s'il existe un moyen plus sécurisé de transmettre les informations sensibles éventuellement demandées par ce dernier.

Comment les solutions Cloudflare vous protègent-elles contre le phishing par e-mail ?

La solution de sécurité des e-mails Cloudflare Area 1 détecte et bloque les tentatives de phishing en temps réel. Elle explore le réseau Internet de manière proactive à la recherche d'infrastructures et de campagnes d'attaques, dévoile les tentatives de fraude par e-mail et assure de la visibilité sur les comptes et les domaines compromis.

Découvrez comment bloquer les attaques par phishing grâce à Cloudflare Area 1.