Qu’est-ce qu’un courriel d’hameçonnage ?

Découvrez ce qu’est un courriel d’hameçonnage et comment vous protéger contre ce type de fraude en ligne.

Définition des courriels d’hameçonnage

L’hameçonnage est un type d’escroquerie en ligne où des criminels essaient de tromper des personnes pour qu’elles divulguent des informations sensibles, comme des mots de passe, des numéros de carte de crédit et des détails personnels. Pour ce faire, un criminel se fait passer pour une personne ou une entreprise de confiance, comme une banque, une agence gouvernementale ou un site web populaire.

Un courriel d’hameçonnage est un message frauduleux qui semble authentique. Il vous demande généralement de cliquer sur un lien, de télécharger une pièce jointe ou de fournir des informations personnelles dans le but de voler des informations précieuses. Ces courriels créent souvent un sentiment d’urgence, par exemple, en avertissant que votre compte est en danger ou en offrant une récompense limitée dans le temps, pour vous pousser à agir rapidement.

Principaux points à retenir

Les courriels d’hameçonnage sont conçus pour voler des informations personnelles en prétendant provenir de sources légitimes.
Les signes courants de courriels d’hameçonnage incluent des expéditeurs suspects, des demandes urgentes, des salutations génériques, des pièces jointes inattendues et des demandes d’informations sensibles.
Si vous interagissez avec un courriel d’hameçonnage, agissez rapidement en changeant vos mots de passe, en informant les parties concernées et en signalant le courriel.
Prévenez les attaques d’hameçonnage en restant vigilant, en utilisant de bonnes pratiques de sécurité et en maintenant vos logiciels à jour grâce à une protection antivirus et des filtres de messagerie.
Aidez à détecter et à prévenir l’hameçonnage grâce à un filtrage axé sur l'IA, à la détection des menaces en temps réel et aux outils d’authentification multifacteur de Sécurité Microsoft.

Pourquoi il est important de comprendre les courriels d’hameçonnage

Le monde est plus numérique que jamais, et les courriels d’hameçonnage sont l’une des plus grandes menaces en ligne. Les cybercriminels envoient des millions de courriels d’hameçonnage chaque jour, ciblant des particuliers, des entreprises et même des agences gouvernementales. Tomber dans le piège d’une cyberattaque, comme un courriel d’hameçonnage, peut conduire au vol d’identité, à des pertes financières et au piratage de comptes. Dans les lieux de travail, un clic au mauvais endroit peut compromettre des réseaux entiers, entraînant des violations de données et des dommages coûteux.

Reconnaître les courriels d’hameçonnage est une compétence clé pour vous protéger et protéger vos informations. Les attaquants parviennent de mieux en mieux à ce leurs escroqueries semblent réelles, mais connaître les signes d’alerte peut vous aider à les éviter.

Comprendre ce que l’hameçonnage ne vous aide pas seulement vous, cela aide également à protéger votre espace de travail, votre famille et vos amis. Plus il y a de personnes capables de repérer ces escroqueries, plus il devient difficile pour les cybercriminels de réussir.

L’évolution des courriels d’hameçonnage

L’hameçonnage a commencé dans les années 1990, lorsque des escrocs ont trompé des gens pour qu’ils révèlent leurs mots de passe AOL. Avec le développement de l’internet, les attaques par hameçonnage sont devenues plus sophistiquées. Les criminels ont commencé à copier l’apparence des vrais sites web pour voler des identifiants de connexion. Au fil du temps, l’hameçonnage a dépassé le cadre des courriels (phishing) pour s’étendre aux messages texte (smishing) et aux appels téléphoniques (vishing). Aujourd’hui, les attaquants utilisent des messages générés par l’IA et des tactiques d’ingénierie sociale pour rendre leurs escroqueries encore plus convaincantes.

Malgré les avancées en matière de cybersécurité, l’hameçonnage reste l’une des menaces en ligne les plus courantes. Reconnaître les courriels d’hameçonnage est une compétence importante pour rester en sécurité en ligne.

Comment fonctionnent les courriels d’hameçonnage

Les courriels d’hameçonnage sont conçus pour ressembler à des messages provenant d’entreprises et de personnes de confiance. L’objectif est de vous inciter à agir d’une certaine manière en recourant à la tromperie et à des astuces psychologiques.

Les cybercriminels conçoivent soigneusement les courriels d’hameçonnage afin qu’ils paraissent réels, et ce, de différentes manières :

En imitant des marques légitimes. Vous pouvez voir des logos officiels, des adresses de courriel similaires et des designs d’aspect professionnel.
En utilisant des informations personnels. Certaines escroqueries incluent votre nom, votre courriel ou d’autres informations pour rendre le message plus authentique.
En intégrant de faux liens. L’courriel peut contenir des liens qui semblent réels, mais qui mènent en réalité à de faux sites web conçus pour voler vos informations.
En ajoutant des pièces jointes malveillantes. Certains courriels d’hameçonnage contiennent des fichiers qui installent des rançongiciels ou d’autres types de logiciels malveillants s’ils sont ouverts.

Astuces psychologiques utilisées dans les courriels d’hameçonnage

Les courriels d’hameçonnage tirent parti des émotions des gens pour augmenter les chances de réussite de l’escroquerie. Les tactiques courantes incluent :

L’urgence. Par exemple, en menaçant de verrouiller l’accès à votre compte à moins que vous ne fassiez une certaine action.
La peur. Par exemple, en vous disant que votre compte a été piraté.
La curiosité. Par exemple, en vous envoyant un reçu ou une facture pour quelque chose que vous n’avez pas acheté.
Une incitation financière. Par exemple, en disant que vous avez gagné un cadeau ou une carte-cadeau.
L’autorité. Par exemple, en prétendant être quelqu’un du service informatique de votre entreprise.

Comment identifier un courriel d’hameçonnage

Les courriels d’hameçonnage peuvent être convaincants, mais ils présentent souvent des signes révélateurs. Voici ce à quoi faire attention :

Liens suspects. Placez le curseur sur les liens (sans cliquer) pour voir où ils mènent réellement. Les liens d’hameçonnage contiennent parfois des fautes d’orthographe, des caractères supplémentaires ou des domaines inconnus, par exemple, "micros0ft-support.com" au lieu de "microsoft.com." Si un lien semble étrange, ne cliquez pas dessus.
Pièces jointes inattendues. Soyez toujours prudent avec les pièces jointes de courriel, surtout si elles vous demandent d’activer des macros ou d’installer des logiciels. Les entreprises légitimes envoient rarement des pièces jointes que vous n’avez pas demandées.
Langage urgent ou menaçant. Les formulations qui imposent d’agir immédiatement sous peine de se voir infliger une suspension de compte vous poussent à agir par peur. Les escrocs comptent sur la panique pour obtenir des réponses rapides.
Demandes d’informations personnelles ou financières. Aucune entreprise légitime ne vous demandera de fournir des mots de passe, des numéros de carte de crédit ou des numéros de sécurité sociale par courriel. En cas de doute, contactez directement l’entreprise par des canaux officiels, pas en cliquant sur quoi que ce soit dans le courriel.
Salutations génériques et manque de personnalisation. Les courriels d’hameçonnage utilisent parfois des ouvertures génériques, comme « Cher client » ou « Cher utilisateur » au lieu de vous appeler par votre nom. Les vraies entreprises personnalisent généralement leurs courriels.
Mauvaise grammaire et fautes d’orthographe. De nombreux courriels d’hameçonnage contiennent des formulations maladroites, des fautes de frappe ou un phrasé inhabituel. Les organisations professionnelles relisent leurs courriels. Ces types d’erreurs doivent par conséquent vous alerter.
Adresses d’expéditeur non correspondantes. Vérifiez attentivement l’adresse de courriel de l’expéditeur. Les escrocs utiliseront des adresses qui ressemblent à de vraies mais avec de petites différences, comme « support@micr0soft.com » au lieu de « support@microsoft.com ».

Cinq exemples de courriels d’hameçonnage

Parcourez ces exemples d’escroqueries par courriel d’hameçonnage pour mieux comprendre à quoi ils ressemblent.

1. Fausse alerte de sécurité

Ligne d’objet : Tentative de connexion inhabituelle détectée—Action requise !

Un courriel d’hameçonnage prétendant provenir d’un service bien connu, comme votre banque ou votre fournisseur de messagerie, avertit qu’une personne a essayé d’accéder à votre compte. Il inclut un lien pour "sécuriser" votre compte, mais le lien mène à une fausse page de connexion conçue pour voler vos identifiants.

Signaux d’alerte :

L’courriel ne mentionne pas où la tentative de connexion a eu lieu (pas de détails sur l’emplacement ou l’appareil).
Le "lien pour sécuriser votre compte" mène à un domaine qui est légèrement différent du site web réel de l’entreprise.
L’adresse de l’expéditeur ressemble à quelque chose comme « security-alerts@accounts-support.com » au lieu du domaine officiel de l’entreprise.

2. Fausse facture ou demande de paiement

Objet : Facture #38491 jointe—Paiement dû immédiatement

Ce type de courriel d’hameçonnage prétend que vous devez de l’argent pour un service que vous n’avez jamais utilisé. Il vous incite à ouvrir une facture jointe ou à cliquer sur un lien pour examiner les frais. La pièce jointe peut contenir des logiciels malveillants, ou le lien pourrait mener à une fausse page de paiement.

Signaux d’alerte :

L’courriel est inattendu. Les entreprises légitimes n’envoient pas de factures surprises.
La facture est dans un format suspect, comme un fichier .ZIP ou un document vous demandant d’activer des macros.
Il n’y a pas d’informations claires sur la personne qui a envoyé la facture (pas de nom d’entreprise ni de coordonnées).

3. "Vous avez gagné un prix !" escroquerie

Objet : Félicitations ! Vous avez été sélectionné pour une carte-cadeau de 500 USD

Cet courriel d’hameçonnage indique que vous avez gagné un cadeau et que vous devez simplement "vérifier vos coordonnées" pour obtenir le prix. Il demande des informations personnelles ou vous dirige vers un formulaire qui vole vos données.

Signaux d’alerte :

Vous n’avez jamais participé à un concours, ce qui rend la victoire suspecte.
L’courriel demande des détails personnels, comme votre adresse, votre numéro de téléphone ou vos informations de carte de crédit.
L’adresse de courriel de l’expéditeur est un compte générique Gmail ou Yahoo au lieu d’un domaine d’entreprise.

4. Fraude au PDG (compromission de la messagerie professionnelle)

Objet : Demande rapide—Besoin de votre aide ASAP

Cette tentative d’hameçonnage au travail cible les collaborateurs d’une entreprise en prétendant provenir de leur patron, d’un cadre supérieur ou des ressources humaines. L’courriel demande au destinataire d’acheter des cartes-cadeaux, de transférer de l’argent ou de fournir des données sensibles de l’entreprise. Les attaquants usurpent souvent l’adresse de courriel d’un manager ou utilisent une adresse similaire avec une petite différence.

Signaux d’alerte :

L’courriel est urgent et vague, sans contexte préalable.
L’adresse de l’expéditeur est légèrement différente de celle du vrai cadre (par exemple, « ceo@companyname.co » au lieu de « ceo@companyname.com »).
La demande est inhabituelle : la plupart des entreprises ont des processus formels pour les transactions financières.

5. Fausse réinitialisation du mot de passe du service informatique

Objet : Avis du service informatique : votre mot de passe courriel expire aujourd’hui

Cet courriel provient supposément de l’équipe informatique de votre entreprise, vous demandant de réinitialiser votre mot de passe immédiatement. Le lien fourni mène à une fausse page de connexion qui vole vos identifiants.

Signaux d’alerte :

L’courriel ne suit pas le style de communication habituel du service informatique de votre entreprise.
L’adresse de courriel de l’expéditeur ne provient pas du domaine officiel de l’entreprise.
Le support informatique ne demande généralement pas aux collaborateurs de réinitialiser leurs mots de passe par des liens dans des courriels. Les entreprises ont tendance à utiliser des portails internes à la place.

Que faire si vous recevez un courriel d’hameçonnage

Si vous recevez un courriel d’hameçonnage, ne paniquez pas, mais n’interagissez pas non plus avec celui-ci. Suivez ces étapes pour vous protéger et protéger les autres.

1. Ne cliquez pas sur les liens et n’ouvrez pas les pièces jointes

Évitez de cliquer sur des liens, de télécharger des pièces jointes ou de répondre à le courriel.
Même si le courriel semble convaincant, interagir avec lui pourrait entraîner des logiciels malveillants ou le vol d’informations.

2. Vérifiez l’expéditeur

Vérifiez attentivement l’adresse de courriel de l’expéditeur. Si quelque chose semble suspect, comme une légère faute d’orthographe ou un domaine inconnu, il s’agit probablement d’une escroquerie.
Si le courriel prétend provenir d’une entreprise, rendez-vous directement sur le site officiel de l’entreprise au lieu d’utiliser les liens fournis.

3. Signalez le courriel d’hameçonnage

Si vous avez reçu le courriel au travail, transférez-le à votre équipe informatique ou de sécurité.
Aux États-Unis, signalez l’hameçonnage à la Federal Trade Commission (FTC) ou transférez le courriel à phishing-report@us-cert.gov.

4. Marquez le courriel comme spam et supprimez-le

De nombreux services de messagerie disposent d’une option « Signaler l’hameçonnage » qui aide à améliorer les filtres anti-spam. Si vous ne voyez pas cette option, signalez-le comme spam.
Si votre fournisseur de messagerie ne déplace pas automatiquement le courriel dans votre corbeille après l’avoir signalé, supprimez-le pour ne pas l’ouvrir accidentellement plus tard.

Étapes à suivre si vous avez interagi avec un courriel d’hameçonnage

Une fois que vous avez interagi avec un courriel d’hameçonnage, que ce soit en cliquant sur un lien, en téléchargeant une pièce jointe ou en fournissant des informations personnelles, vous devez agir rapidement pour limiter les dégâts. Voici ce qu’il faut faire.

1. Prenez note de ce que vous avez partagé

Si vous avez saisi votre mot de passe, vos coordonnées bancaires ou des informations personnelles, notez ce que vous avez partagé.
Cela vous aidera à déterminer ce qui doit être sécurisé et qui doit être informé.

2. Changez vos mots de passe immédiatement

Mettez à jour tous les mots de passe que vous avez pu partager, en particulier ceux des comptes bancaires, comptes de messagerie ou comptes professionnels.
Si vous utilisez le même mot de passe pour d’autres sites, changez-le également.
Utilisez des mots de passe forts et uniques et activez l’authentification multifacteur pour renforcer la sécurité.

3. Informez les personnes compétentes

Si le courriel d’hameçonnage ciblait votre compte professionnel, alertez votre équipe informatique ou de sécurité.
Si vous avez fourni des détails financiers, contactez votre banque ou votre société de carte de crédit pour surveiller les transactions et geler votre compte si nécessaire.
Informez vos amis, votre famille et vos collègues de ce qui s’est passé si l’escroquerie risque de les affecter (par exemple, si les attaquants peuvent utiliser votre compte compromis pour leur envoyer des courriels d’hameçonnage).

4. Signalez l’attaque par hameçonnage

Si vous avez perdu de l’argent ou si des données sensibles ont été volées, signalez l’attaque à la FTC.
Si une fraude financière a eu lieu, contactez les forces de l’ordre locales.
Marquez le message comme une tentative d’hameçonnage ou un spam via votre fournisseur de messagerie pour aider à bloquer des attaques similaires.

5. Attendez-vous à d’autres tentatives d’hameçonnage

Les escrocs ciblent souvent à nouveau les victimes en utilisant les données volées pour envoyer de nouveaux courriels, textos ou appels d’hameçonnage.
Soyez particulièrement prudent avec les messages qui prétendent vous aider à récupérer votre compte ou qui demandent plus d’informations personnelles.

Que se passe-t-il si vous avez été victime d’un hameçonnage ?

Être victime d’une attaque d’hameçonnage peut avoir de graves conséquences qui affectent à la fois les individus et les organisations. Voici quelques effets potentiels.

Vol d’identité

Les hameçonneurs volent des informations personnelles, telles que des numéros de sécurité sociale, des adresses et des dates de naissance, pour usurper l’identité des victimes. Cela peut les amener à ouvrir des comptes de crédit ou à commettre des délits sous le nom de la victime.

Perte financière

L’accès à des données financières privées, comme les détails de compte bancaire ou les numéros de carte de crédit, peut entraîner des transactions non autorisées et des pertes financières importantes. Par exemple, une arnaque sophistiquée d’hameçonnage par facture qui a ciblé Google et Facebook entre 2013 et 2015 a entraîné des pertes de 100 millions de dollars.

Informations sensibles compromises

Les attaques d’hameçonnage peuvent exposer des données confidentielles, y compris des secrets commerciaux et des communications personnelles. En 2021, un courriel d’hameçonnage conduit à l’attaque de Colonial Pipeline, qui a causé une importante perturbation de l’approvisionnement en carburant aux États-Unis.

Atteinte à la réputation

Les organisations victimes d’attaques par hameçonnage peuvent voir leur réputation durablement entachée. Les clients et partenaires peuvent perdre confiance, surtout si leurs données ont été compromises. Cette perte de confiance peut avoir des effets durables sur les relations commerciales, les finances et la perception du public.

Prévenir une attaque par courriel d’hameçonnage

Bien que les courriels d’hameçonnage puissent être convaincants, il existe encore des moyens de vous protéger en restant vigilant et en suivant les meilleures pratiques en matière de sécurité des courriels.

Soyez prudent avec tous les courriels qui vous demandent d’agir

Analysez toujours les courriels avec soin avant de cliquer sur des liens ou de télécharger des pièces jointes.
Posez-vous ces questions avant d’interagir :
- Cet courriel fait-il sens ? Est-ce que je l’attends ?
- L’adresse de courriel de l’expéditeur est-elle correcte ?
- Y a-t-il des demandes urgentes ou des menaces qui me pressent d’agir rapidement ?
- La grammaire et le ton semblent-ils professionnels ?
Si quelque chose semble suspect, vérifiez le courriel auprès de l’expéditeur en utilisant une méthode de contact de confiance.

Renforcez la sécurité du courrier électronique

Utilisez des filtres de messagerie pour bloquer les messages d’hameçonnage connus.
Marquez les courriels suspects comme spam pour améliorer le filtrage.
Ne cliquez jamais sur des liens et ne téléchargez pas de pièces jointes provenant de sources inconnues ou inattendues.

Gardez vos logiciels et outils de sécurité à jour

Installez un logiciel antivirus et assurez-vous qu’il est à jour pour aider à détecter les menaces d’hameçonnage.
Activez les mises à jour automatiques pour votre système d’exploitation, vos navigateurs web et vos applications de messagerie afin de corriger les lacunes en matière de sécurité.

Utilisez l’authentification multifacteur

L’authentification multifacteur pour vos comptes en ligne ajoute une couche de sécurité supplémentaire en exigeant une deuxième étape (comme un code envoyé à votre téléphone) avant de vous connecter.
Même si les attaquants volent votre mot de passe, ils ne pourront pas accéder à votre compte sans le deuxième facteur.

Gardez une longueur d’avance sur l’hameçonnage avec la Sécurité Microsoft

Les courriels d’hameçonnage deviennent de plus en plus sophistiqués à cause de l’IA, de l’ingénierie sociale et même de technologie des deepfakes. Par chance, les solutions de Sécurité Microsoft qui les détectent et les empêchent évoluent également.

En alliant la sensibilisation avec des outils de sécurité robustes, vous aiderez à éviter les courriels d’hameçonnage et à protéger vos données personnelles et professionnelles.

RESSOURCES

Découvrir plus d’informations sur Sécurité Microsoft

Une femme et un homme travaillant avec un onglet

Solution

SecOps unifiées et axé sur l'IA

Unifiez vos opérations de sécurité (SecOps) à travers la prévention, la détection et la réponse avec une plateforme basée sur l’IA.

Accédez au portail de protection contre les menaces

Comprenez comment les organisations utilisent la détection et la réponse étendues intégrées (XDR) et la gestion des informations et des événements de sécurité (SIEM) pour devenir plus résilientes face aux attaques.