Hameçonnage : reconnaître, réagir et prévenir

De quoi parle t-on ?

Le hameçonnage ou phishing est un message malveillant visant à voler des données personnelles (identifiants de connexion, numéros de carte bancaire, etc.). Il représente une menace importante, autant pour les particuliers que pour les organisations. À l'Unistra, chacun et chacune se doit d'être particulièrement vigilant afin de prévenir l'usurpation de son compte ou l'infection de son équipement informatique, incidents qui mettent en danger les services et les données auxquelles vous accédez et potentiellement le reste du système d'information.

**Est-ce du spam ?

Un spam est un message indésirable ou non sollicité. L'hameçonnage est une forme de spam malveillant.

Reconnaître un hameçonnage

Un bon réflexe

Lorsque vous êtes confronté·e à un message douteux, ne l'ouvrez pas, ne téléchargez pas et n'ouvrez pas les pièces jointes.

Sans ouvrir le message, vous pouvez effectuer un certain nombre de vérifications de base

Celles-ci sont autant d'indices pour confirmer ou infirmer la nature du message. En effet, de nombreux messages frauduleux sont aisément reconnaissables : noms d'expéditeurs fantaisistes, titres publicitaires, logos erronés, caractères étranges, textes en anglais ou criblés de fautes de syntaxe, signature suspecte.

Expéditeur

🔍 L'expéditeur est composé d'un nom (généralement nom et prénom de la personne) ainsi que d'une adresse courriel. Il convient de vérifier les deux informations et leur cohérence.
📂 Dans le webmail Partage, l'expéditeur est visible dans la colonne "De". Survoler à la souris le nom de l'expéditeur pour voir l'adresse associée.

Ici, ràs, les informations sont cohérentes

🧐 L'adresse courriel vous semble t-elle légitime (adresse interne ou d'une entité avec qui vous êtes en contact) ? Le nom affiché est-il en cohérence avec cette adresse ? Soyez attentif·ve à toute variation (par ex. "onistra" pour "unistra" ou ...)

Ce message est clairement illégitime : il se prétend du support de l'Unistra mais vient d'une adresse de Grenoble...

💣 Limites : cette vérification ne suffit pas toujours car il est très facile d'envoyer un courriel en modifiant son nom d'affichage ou en usurpant l'adresse d'une autre personne

Objet et aperçu du contenu du message

📂 Dans le webmail Partage, l'objet (ou titre) est visible dans la colonne "Objet". Pour consulter un aperçu du contenu du message sans l'ouvrir, survoler à la souris l'objet du message, sans cliquer. Cet aperçu suffit parfois à confirmer un doute.

L'aperçu du début du message rassure ici sur sa légitimité

🧐 Toute indication d'urgence, de secret, d'obligation doit être perçue comme un signal d'alerte. En effet, c'est en agissant dans l'urgence qu'on commet le plus d'erreur d'appréciation. Un texte en anglais ou criblé de fautes d'orthographe est aussi un indice de message frauduleux, bien que certaines arnaques soient plus soigneuses.

Un livreur de colis est-il censé m'écrire sur cette adresse ? Et avec cette adresse d'expéditeur ? Avec ce caractère d'urgence et un lien cliquable, toutes les alertes sont au rouge !

Pièce jointe

📂 Dans le webmail Partage, la colonne "trombone" vous signale la présence d'un fichier joint à un message.

🧐 La présence d'une pièce jointe est fréquente dans les messages d'hameçonnage. Cela peut être un document inoffensif ou au contraire un piège redoutable. Les fichiers bureautique (dont classeurs de tableurs) sont très utilisés pour cacher des programmes malveillants. N'ouvrez pas ces pièces jointes.

Vérifications plus avancées...

📂 Si vous êtes familier·e de la lecture des en-têtes complets : dans le webmail Partage, en faisant un clic droit sur le message, choisir "Montrer l'original". Ceci affichera la source du message, contenant ses en-têtes et son contenu, au format texte brut (sans risque pour vous et votre équipement). Sous les champs "Content-", vous devriez trouver le contenu complet du message.
🧐 Tout message contenant un lien vous invitant à vous connecter ou à renseigner/compléter des informations est suspect. Personne au support numérique ou à la Direction du numérique ne vous demandera jamais vos identifiants et mots de passe.
🧐 Vous pouvez aussi regarder les champs de destinataire : champs "to:" et "cc:". Logiquement, vous devriez faire partie des destinaires : votre nom et courriel ou une liste de diffusion à laquelle vous appartenez. À moins que vous ayez un usage particulier de la copie cachée, si vous ne figurez pas explicitement dans les destinataires et que par ailleurs le message vous semble illégitime, il l'est probablement.
Si la source ne vous permet pas de trancher ou si vous n'êtes pas suffisamment à l'aise avec le maniement de ces informations, contactez le support en leur copiant-collant l'intégralité de la source du message (avec les en-têtes) ou demandez une confirmation du message à son émetteur avant d'entreprendre toute action qui vous serait demandée.

Réagir face à une tentative d'hameçonnage ?

Avant d'ouvrir le message

Si vous identifiez un message d'hameçonnage sans même l'ouvrir : parfait !

Si vous avez reçu ce message dans la journée (date et heure de reception dans Partage), nous vous invitons, si possible, à faire un signalement (qui pourra aider à réduire sa diffusion) puis à supprimer le message.
- Signalement à Partage : dans le webmail Partage, clic droit sur le message, puis choisir "Marquer comme spam".
- Signalement au support numérique : dans le webmail Partage, clic droit sur le message, choisir "Montrer l'original". Copiez l'ensemble de ces informations et collez-les dans un message adressé au support, via le formulaire ou par courriel (https://support.unistra.fr/#contact).
- Suppression : dans tous les cas, supprimez le message frauduleux sans l'ouvrir.
Si le message est plus âgé, il n'est plus très utile de l'envoyer à Partage ni au support : supprimez-le directement sans l'ouvrir.

Si vous avez ouvert la pièce jointe du message

Informez-en au plus vite votre informaticien·ne local·e, votre correspondant·e sécurité (CSSI) ou, à défaut, le RSSI de l'établissement (rssi@unistra.fr).