Savoir-faire

Cinq conseils pour ne pas tomber dans le piège du phishing

Le phishing ou hameçonnage est l’escroquerie numérique par excellence. Il connaît un grand essor en cette période de pandémie. Marcel Zumbühl, responsable Sécurité de l’information à la Poste, nous donne cinq conseils pour identifier les e-mails qui constituent des tentatives de phishing.

Marcel Zumbühl, Chief Information Security Officer de la Poste.

Les criminels profitent de la situation exceptionnelle et essaient d’escroquer à leur insu des personnes déjà déstabilisées en recourant à des techniques de phishing ou en infectant leur ordinateur. Le nombre d’e-mails ainsi envoyés a augmenté de manière exponentielle. Leur objectif: dérober des données personnelles sensibles (par exemple, un numéro de carte de crédit ou les données d’accès à l’e-banking) ou infecter les ordinateurs et les smartphones avec des logiciels malveillants grâce à des liens et à des pièces jointes. «Aucune personne, institution ou entreprise n’est à l’abri de telles tentatives d’escroquerie», déclare Marcel Zumbühl, responsable Sécurité de l’information à la Poste. «Par principe, la Poste ne demande jamais à sa clientèle de lui fournir par e-mail, par SMS ou par téléphone des éléments de sécurité personnels comme des mots de passe ou des numéros de carte de crédit.» Marcel Zumbühl, expert pour toutes les questions liées au phishing, nous donne ici quelques astuces pour identifier les e-mails de phishing.

  • Vous recevez un e-mail sans motif particulier: les entreprises ne contactent jamais leur clientèle sans but précis et ne demandent jamais de données personnelles sensibles par e-mail. Méfiez-vous aussi des e-mails non personnalisés (Cher client, nous vous prions d’indiquer ici votre numéro de carte de crédit), de ceux au ton intimidant (Si vous ne nous indiquez pas ces informations, nous serons dans l’obligation de clôturer votre compte) ou ceux requérant une action dans un délai très bref. Supprimez immédiatement de tels e-mails.
  • Vous recevez un e-mail de la part d’un expéditeur qui vous semble légitime: comparez le nom de l’expéditeur avec l’adresse e-mail en passant la souris sur l’adresse. Par mesure de sécurité, vérifiez dans votre boîte de réception si vous avez déjà reçu des e-mails dignes de confiance de la part de cet expéditeur. Les e-mails renseignant sur le statut d’un envoi postal proviennent, par exemple, toujours de l’adresse «notifications@poste.ch», sont signés avec DKIM et ne contiennent aucune pièce jointe XLS.
  • Vérifiez le lien: avant d’ouvrir un lien, vérifiez si l’adresse web indiquée correspond vraiment à celle vers laquelle le lien vous dirige. Il vous suffit pour cela de passer la souris sur le lien (sans toutefois cliquer dessus!). Vérifiez si le domaine cible (p. ex. xxxx.domaine-nom.ch/xxxx) correspond à l’expéditeur.
  • HTTPS ou HTTP: si vous avez tout de même ouvert le lien, voici un contrôle rapide et important à effectuer avant de saisir des données personnelles sensibles de votre e-banking, de boutiques en ligne ou de comptes de réseaux sociaux: vérifiez qu’il s’agit d’une connexion HTTPS sécurisée et non pas d’une connexion HTTP normale. Pour ne pas être victime d’escroquerie, il est préférable de saisir à chaque fois manuellement dans le navigateur l’adresse e-mail d’un espace de connexion.
  • Un mot de passe à toute épreuve: le problème des mots de passe identiques est récurrent. Mais rendez-vous ce service: utilisez toujours des mots de passe sécurisés comportant des majuscules, des minuscules, des chiffres et des caractères spéciaux.

Vous êtes malgré tout tombé dans le panneau? Que faire?

Si vous avez déjà indiqué vos données sur une page d’hameçonnage, vous devez immédiatement changer les codes d’accès utilisés pour vos prestations postales dans le centre clientèle et, éventuellement, faire bloquer votre carte de crédit.
Signalez les tentatives de phishing à la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) de la Confédération ou au Service à la clientèle de la Poste.

Vous trouverez des informations complémentaires ici.