«Phishing»: comment ne pas mordre à l'hameçon

PRATIQUE Les escroqueries sur Internet se multiplient, mais il suffit d'être vigilant pour ne pas se faire avoir...

Maud Descamps

— 

Depuis début octobre, la caisse d'allocations familiales (CAF), mais aussi les services des impôts mettent en garde le contribuable face à des tentatives d'escroqueries sur Internet. Des fraudeurs tentent d'extorquer des numéros de carte bancaire en se faisant passer pour ces institutions. Cette technique est appelée le phishing. Quelques conseils pour déjouer l'arnaque.

Ne jamais fournir de données sensibles
Qu'il s'agisse, soi-disant de votre banque, de votre centre des impôts ou d'un service de prestations sociales, il ne faut jamais partager de données sensibles par email, par exemple vos coordonnées bancaires. «La plupart du temps, ces données sont demandées lorsqu'on se connecte directement sur le site de notre banque ou de notre centre des impôts», note Raphaël Richard de la société Néodia, qui informe les entreprises sur les risques du phishing. «De plus, les banques communiquent souvent par courrier pour ce genre de données sensibles et non par email», ajoute le spécialiste.

Vérifier l'adresse email de l'expéditeur
Lorsque vous recevez un email de votre banque ou de tout autre établissement auprès duquel vous êtes enregistré, vérifiez l'adresse de l'expéditeur. De plus, demandez-vous comment cet établissement s'est procuré votre adresse email. Si vous ne lui avez pas fourni, il se peut qu'il s'agisse d'une tentative de phishing.

Vérifier l'adresse du site sur lequel on vous renvoie
Comme pour l'adresse email, vérifier l'URL du site vers lequel on vous renvoie, c'est-à-dire l'adresse inscrite dans la barre de navigation. Certains copient des sites déjà existants et «ne change qu'une lettre par rapport à la vraie version», prévient Raphaël Richard. «De même, vérifier qu'il n'y a pas de lettres ou de signes en plus avant ou après l'adresse du site», ajoute le spécialiste. Autre conseil, il est préférable lorsqu'un email vous renvoie vers un site Internet, de ne pas cliquer sur le lien fourni dans l'email mais de retaper l'URL soi-même dans la barre de navigation.

Le petit cadenas ne sert à rien en cas de phishing
Lorsque l'on se trouve sur un site dit «sécurisé», un petit cadenas apparaît en bas de la page. Il assure que les données saisies par l'utilisateur ne pourront pas être récupérées entre le moment où elles sont saisies et le moment où elles arrivent sur le site destinataire. Il est donc important que ce petit cadenas apparaisse lorsque vous payez en ligne, par exemple. Mais dans le cas du phishing, «ce cadenas ne sert à rien, explique Raphaël Richard, puisque c'est le site destinataire qui est le site arnaqueur». Les données ont beau être protégées entre le moment où elles sont saisies et le moment où elles parviennent à destination, cela n'empêche pas le destinataire de faire ce qu'il veut avec par la suite.

Tout de suite prévenir sa banque
Si vous vous rendez compte que vous avez été victime de phishing, prévenez immédiatement votre banque afin de bloquer tout prélèvement. «Il existe un délai dit "de répudiation", qui donne plusieurs mois à la personne victime de phishing pour dénoncer une opération frauduleuse», souligne Raphaël Richard.

KEY-LOGGING

Le «key logging» est une forme de phishing face à laquelle les internautes ne peuvent rien faire. Il s'agit d'un logiciel espion qui enregistre les données saisies sur le clavier. De cette manière, les fraudeurs peuvent se procurer les mots de passe de certains utilisateurs. Seul le site visé par ce type de phishing peut réagir.