On décode la tech’ – épisode #5

« Blockchain », « IA », « deep learning », « ransomware »… Le monde de la tech a son propre jargon et ses concepts qui, soyons honnêtes, laissent parfois un peu perplexe. Même si ces technologies font désormais partie de notre quotidien, leur fonctionnement reste souvent un mystère pour beaucoup (y compris vous, ne mentez pas). Dans cette série, nous retroussons nos manches en vulgarisant certaines de ces notions pour en comprendre l’essentiel. Alors, que vous soyez un geek en devenir ou un néophyte un peu perdu, embarquez avec nous dans les fascinants méandres de la tech’ !

Depuis que le numérique s’est invité dans nos vies, le phishing n’a jamais vraiment été très loin. Que ce soit par mail ou par SMS, il s’est glissé dans notre quotidien en devenant presque invisible… Alors oui, on pense tous le reconnaître, on se dit qu’on est assez avertis pour ne pas tomber dans le panneau… mais la vérité, c’est que même les plus aguerris peuvent se faire piéger. Car non, le phishing ne débarque plus avec ses gros sabots. Il s’habille d’une interface pro, mime parfaitement des outils familiers et s’appuie sur une mécanique bien rodée. Et ce n’est pas un hasard s’il demeure, année après année, l’une des méthodes d’attaque les plus répandues sur la toile. Alors, même si on sait que « vous faites attention » il est quand même temps de revenir sur ce phénomène qui continue de piéger (presque) tout le monde. Oui, même vous.

__

Une technique vieille comme le monde !

Le phishing est loin d’être un phénomène récent. Dès les premiers jours d’internet, il a toujours été plus ou moins dans le secteur. La première attaque par phishing remonte à l’époque des modems bruyants et des connexions capricieuses avec des tentatives d’hameçonnage de comptes AOL dans les années 1990. À l’époque, des mails très rudimentaires tentaient déjà de soutirer des mots de passe ou des informations personnelles. Depuis, le phishing a clairement glow up. Dans les années 2000, il passe la seconde avec des campagnes visant cette fois nos informations bancaires, avant de devenir aujourd’hui une arme numérique à part entière, capable de compromettre l’ensemble de nos données personnelles. Moins visible, plus travaillé, plus ciblé, on peut dire que l’hameçonnage s’est professionnalisé.

Mais avant d’aller plus loin, petit retour sur la définition et le fonctionnement de cette technique de pêche. Le phishing, ou hameçonnage en français, désigne une technique de fraude qui consiste à tromper un utilisateur sur l’identité ou la légitimité d’un message dans le but de lui soutirer des informations confidentielles. Concrètement, c’est une arnaque 2.0. Et attention, derrière ce terme se cache tout un éventail de méthodes. Faux mails, SMS douteux, liens frauduleux, fausses pages de connexion, formulaires piégés… Aujourd’hui, le phishing ne se contente plus de voler des identifiants, il cible l’ensemble de nos données. Coordonnées bancaires, infos perso, accès pro… Celles-ci peuvent ensuite être utilisées directement ou revendues sur le dark web. Eh oui, vous l’aurez compris, les hameçonneurs du web ont peaufiné leurs stratégies et leurs leurres fonctionnent bien plus qu’on ne croit…

Phishing
L’URL en tête ! © Jedha

__

Ça mord !

En 2023, le phishing a littéralement explosé tous les compteurs. Selon plusieurs rapports, c’est près de 1,76 milliard d’URL frauduleuses qui ont été diffusées à l’échelle mondiale. À l’échelle globale, le coût de ces attaques s’est élevé à 3,5 milliards de dollars en 2024. Une goutte d’eau pour les pirates mais un tsunami pour les victimes.

Et la Nouvelle-Calédonie n’est pas épargnée. Ces derniers mois, plusieurs campagnes de phishing ont frappé le territoire. Faux liens SharePoint, campagnes de smishing usurpant l’identité de la DGFIP ou de la Direction des Finances, des mails frauduleux se faisant passer pour Sud Pro, sans oublier les faux SMS de l’OPT prétendant provenir d’un « centre de distribution ». 

Phishing
Phishing
Plus vraies que nature !

Car oui, le phishing fonctionne, persiste et signe. Exit les mails bourrés de fautes et les promesses douteuses d’un héritage tombé du ciel, aujourd’hui, il s’est industrialisé. Il s’est même professionnalisé au point d’être devenu un business à part entière, accessible à tous (ou presque). Avec le phénomène du Phishing-as-a-Service (PhaaS), il est désormais possible de lancer sa propre campagne d’arnaque sur le web comme on commanderait une pizza.

Phising
Pas de jaloux, tout le monde y passe ! © Jedha

Alors non, les messages de prévention que vous voyez passer ne sont pas uniquement là pour faire joli. Ils sont nécessaires. Et pour le reste, c’est à vous de jouer en vérifiant l’expéditeur d’un mail suspect, en inspectant les liens que vous recevez et, en ne transmettant jamais d’infos personnelles… Et surtout : en cas de doute, ne faites rien. Comme dirait l’autre : « Quand il y a doute, y’a pas de doute » !

__

Restez à l’affût !

Le phishing, c’est un peu le caméléon de la toile, s’adaptant à son environnement et à ses évolutions. Et tant qu’il continuera à faire des victimes, il ne cessera de muter. Alors, si la tech’ avance, nos réflexes doivent suivre. Parce que dans cette pêche numérique, le meilleur moyen de ne pas mordre à l’hameçon, c’est encore de savoir qu’il est là ! 

__