Phishing: déjouez les pièges des cybercriminels
Faux e-mails ou SMS trompeurs: les attaques par hameçonnage (phishing) sont toujours plus sophistiquées et difficiles à détecter. L’essor de l’intelligence artificielle n’est pas étranger à ces développements inquiétants. L’une des tendances les plus sournoises est l’attaque homographique. Fort heureusement, le respect de quelques règles de base permet d’éviter le pire.

Recommander l'article
La Suisse a été la cible de quelque 6,7 millions d’attaques par hameçonnage en 2024. Ce chiffre donne le vertige. Les cybercriminels ne reculent devant rien pour accéder aux données de leurs victimes. Ces données sont par exemple les données de carte de crédit ou celles utilisées pour se connecter à l’e-banking ou au compte client d’une plateforme de streaming ou d’un commerce en ligne.
Le mode opératoire des cybercriminels est toujours le même: ils envoient un faux e-mail qui demande à la victime de cliquer sur un lien pour, par exemple, actualiser des données de connexion ou de paiement, débloquer un compte ou participer à un concours. Ce lien redirige la victime vers une page web qui ressemble à s’y méprendre à la page originale.
Aidés par l’intelligence artificielle, les cybercriminels lancent des attaques par hameçonnage toujours plus efficaces. Pour les personnes visées, il devient toujours plus difficile de détecter les messages frauduleux. Les textes sont formulés de manière plus crédible qu’il y a quelques années encore et les messages sont souvent parfaitement identiques à ceux de l’entreprise.
Sur le plan technique aussi, les faussaires se montrent toujours plus rusés. Les faux messages peuvent par exemple contenir des liens qui renvoient vers le bon service à la clientèle, faisant croire aux destinataires que le message est authentique. Le but est toujours le même: rassurer et inciter à cliquer sur le lien d’hameçonnage.
L’attaque homographique, nouveau phénomène inquiétant
Le dernier phénomène en date, l’attaque homographique, rend la détection des faux messages encore plus ardue. Pour simuler une fausse identité, les cybercriminels utilisent un ou plusieurs caractères d’imprimerie pratiquement identiques à ceux utilisés par l’entreprise. Ils enregistrent une adresse Internet qui ressemble de prime abord à l’adresse originale, mais qui en diffère par quelques lettres ou chiffres.
Un exemple simple: la lettre O et le chiffre 0 de même que le I majuscule et le l minuscule se ressemblent beaucoup. Les lettres a, c, e, o, p, x et y sont, dans l’alphabet cyrillique identiques ou presque à celles de l’alphabet latin. À l’œil nu, les différences sont pratiquement indétectables. Par contre, elles ont des conséquences d’une toute autre ampleur.

Légende: le ''a'' cyrillique est visuellement identique au ''a'' latin. Les cybercriminels enregistrent des adresses Internet qui mêlent des lettres de différents alphabets. Pour les utilisateurs, l’adresse semble identique à l’adresse originale. Le problème, c’est qu’elle conduit à un faux site Web.
Les cybercriminels envoient des liens qui redirigent vers une page d’hameçonnage (p.ex. Banque-x.com avec x cyrillique). Ils peuvent aussi envoyer des e-mails avec une adresse d’expédition qui ressemble à l’original (p.ex. chef [at] xyz.ag.ch avec a cyrillique). Les destinataires croient qu’ils reçoivent un message authentique ou qu’ils se trouvent sur la bonne page Web.
Comment vous protéger
Les développeurs de navigateurs et les fournisseurs d’adresses Internet essaient de se protéger et de protéger les utilisateurs des attaques homographiques. Certains interdisent d’enregistrer des noms de domaine qui contiennent des lettres de différents alphabets. Il existe aussi des logiciels de sécurité capables dans certains cas de détecter et de bloquer des messages indésirables ou des e-mails de phishing. Les logiciels de sécurité modernes analysent également les adresses Internet sous l’angle de l’homographie. La meilleure protection reste toutefois la vigilance des utilisatrices et des utilisateurs.
Nos principaux conseils
- Ne pas communiquer de données sensibles
Aucune banque, aucun établissement de cartes de crédit, aucun prestataire sérieux ne vous invitera, par e-mail, téléphone, Whatsapp, SMS ou tout autre canal, à communiquer des données confidentielles telles que mots de passe, numéros de cartes de crédit ou données de connexion à l’e-banking. Ne communiquez jamais ces données, même si la personne qui vous le demande vous paraît sérieuse et inspire confiance. Faites preuve de méfiance. - Ne pas céder à la pression
Ne cliquez pas sur les liens contenus dans des e-mails douteux. Idem si quelque chose vous paraît bizarre et ne vous inspire rien de bon. Même si on vous annonce que c’est urgent, ne vous laissez jamais mettre sous pression. - Utiliser l’appli
Un e-mail vous demande-t-il de débloquer un accès ou d’actualiser vos moyens de paiement? Ne cliquez pas sur le lien, mais connectez-vous directement sur le site Web pour vérifier ce qu’il en est. Entrez l’adresse manuellement dans la ligne d’adresse. Mieux encore: utilisez l’appli de votre banque ou du commerce en ligne. - Ne pas réagir
Quelque chose vous semble étrange? Ne réagissez pas à des appels louches. Dans le doute, prenez contact avec votre banque ou le commerce en ligne. - Actualiser le logiciel
Installez un programme de sécurité et actualisez-le régulièrement, de même que votre navigateur. Dans la mesure du possible, activez les mises à jour automatiques. Assurez-vous de mettre à niveau les applis sur votre smartphone. - Prudence avec les SMS et les appels téléphoniques
Les cybercriminels peuvent falsifier le nom qui s’affiche à l’écran et simuler un faux expéditeur ou un faux appelant.
Vous voulez savoir comment reconnaître les tentatives de fraude? Vous avez d’autres questions sur le thème de la cybersécurité? Commandez notre fiche technique sans frais consacrée à ce sujet ou prenez contact avec votre conseiller: il se fera un plaisir de vous aider.