L’hameçonnage (phishing)
hameçonnage phishing sensibilisation phishing
L’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc.
But recherché :
Voler des informations personnelles ou professionnelles (comptes, mots de passe, données bancaires…) pour en faire un usage frauduleux.
1. Quelles sont les mesures préventives ?
2. Que faire si vous êtes victime d’hameçonnage (ou phishing) ?
- Au moindre doute, contactez l’organisme concerné : en cas de doute, contactez si possible directement l’organisme concerné pour confirmer le message ou l’appel que vous avez reçu.
- Faites opposition immédiatement : si vous avez malencontreusement communiqué des éléments sur vos moyens de paiement ou si vous avez constaté des débits frauduleux sur votre compte, faites opposition immédiatement auprès de votre organisme bancaire ou financier.
- Conservez les preuves et, en particulier, le message d’hameçonnage reçu.
- Déposez plainte : si vous avez constaté que des informations personnelles servent à usurper votre identité ou si vous constatez des débits frauduleux sur vos comptes bancaires, déposez plainte au commissariat de police ou à la brigade de gendarmerie dont vous dépendez. Vous pouvez également adresser votre plainte par écrit au procureur de la République du tribunal judiciaire dont vous dépendez en fournissant toutes les preuves en votre possession.
Si vous êtes un particulier, vous pouvez être accompagné gratuitement dans cette démarche par une association de France Victimes au 116 006 (appel et service gratuits), numéro d’aide aux victimes du ministère de la Justice. Service ouvert 7 jours sur 7 de 9h à 19h. - Changez immédiatement vos mots de passe : si vous avez malencontreusement communiqué un mot de passe, changez-le immédiatement sur le site ou service concerné, ainsi que sur tous les autres sites ou services sur lesquels vous utilisiez ce mot de passe compromis (tous nos conseils pour gérer au mieux vos mots de passe).
- Signalez tout message ou site douteux à Signal Spam : si vous avez reçu un message douteux, ne cliquez par sur les pièces jointes ou sur le lien suspect. Si le message comporte un lien, positionnez le curseur de votre souris sur ce lien (sans cliquer). Cela affichera alors la véritable adresse vers laquelle il redirige afin d’en vérifier la vraisemblance.
Si vous avez cliqué sur le lien, vérifiez l’adresse du site Internet qui s’affiche dans votre navigateur. Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper.
Ne répondez pas à ces messages suspects et signalez-les à Signal Spam qui est associé à la CNIL pour identifier les principaux émetteurs de spams et mener les actions de luttes nécessaires. - Signalez l’adresse d’un site d’hameçonnage à Phishing Initiative : vérifiez l’adresse du site Internet qui s’affiche sur votre navigateur. Si elle ne correspond pas exactement au site concerné, il s’agit très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper. Face à un site suspect, vous pouvez le signaler à Phishing Initiative qui bloquera l’adresse de ce site et demandera sa suppression.
- Besoin de plus de conseils ?
Pour être conseillé dans vos démarches, contactez la plateforme Info Escroqueries du ministère de l’Intérieur au 0 805 805 817 (appel et service gratuits de 9h à 18h30 du lundi au vendredi).
Témoignage d’une victime d’hameçonnage :
« Quand j’étais en arrêt maladie, j’ai reçu un mail de la sécurité sociale qui m’annonçait un remboursement de plus de 200 euros de frais de santé que j’attendais. J’ai cliqué sur le lien et je suis arrivé sur un site qui avait l’air officiel. Ce site me proposait d’être remboursé immédiatement si je donnais mon numéro de carte bancaire. Je ne me suis pas méfié et je l’ai fait mais le remboursement n’est jamais arrivé. J’ai contacté la sécurité sociale pour me renseigner et le conseiller m’a annoncé que je m’étais fait arnaquer. J’ai immédiatement prévenu ma banque pour bloquer ma carte, mais plusieurs prélèvements avaient déjà été faits sur mon compte. »
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :
• Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. Délit passible d’une peine d’emprisonnement de cinq ans et de 375 000 euros d’amende.
• Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : une telle collecte constitue un délit passible d’une peine d’emprisonnement de cinq ans et de 300 000 euros d’amende.
• Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.
• Contrefaçon et usage frauduleux de moyen de paiement (articles L163-3 et L163-4 du code monétaire et financier) : délit passible d’une peine d’emprisonnement de sept ans et de 750 000 euros d’amende.
• Usurpation d’identité (article 226-4-1 du code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est passible d’une peine d’un an d’emprisonnement et de 15 000 euros d’amende.
• Contrefaçon des marques (logos, signes, emblèmes…) utilisées lors de l’hameçonnage, prévu par les articles L.713-2 et L.713-3 du Code de la propriété intellectuelle. Délit passible d’une peine d’emprisonnement de trois ans et de 300 000 euros d’amende.
Pour aller plus loin :

L’hameçonnage (phishing)
Apprenez à repérer et vous prémunir hameçonnage grâce à notre fiche réflexe consacrée au sujet.
Publié le 02/04/2020PDF 229 KoTéléchargerEn synthèse :

L’hameçonnage en fiche mémo
Retrouvez la synthèse de la fiche réflexe sur l’hameçonnage au format mémo.
Publié le 15/10/2020PDF 213 KoTéléchargerPour informer et sensibiliser les publics sur les menaces numériques, Cybermalveillance.gouv.fr met à disposition divers contenus thématiques : des supports variés pour comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre sécurité numérique.
> Consulter la liste de l’ensemble des ressources mises à disposition par le dispositif.
Vous pensez être victime d'un acte de malveillance numérique ?
Lancer le diagnosticAutres Fiches réflexes
Le piratage de compte
Le piratage de compte désigne la prise de contrôle par un individu malveillant d’un compte (messagerie, réseau social…) au détriment de son propriétaire légitime. Il peut avoir différentes conséquences comme l’usurpation d’identité, le vol de données bancaires…
Faire face aux arnaques au faux support technique
Votre appareil semble bloqué et on vous demande de rappeler d’urgence un numéro de support technique ? L’arnaque au faux support technique consiste à effrayer la victime pour ensuite la convaincre de payer un pseudo-dépannage informatique et/ou à acheter des logiciels inutiles, voire nuisibles.
Les rançongiciels (ransomwares)
Un rançongiciel (ransomware en anglais) est un logiciel malveillant qui bloque l’accès à l’appareil ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès. Dans la majorité des cas, les cybercriminels exploitent des vulnérabilités connues dans les logiciels, mais dont les correctifs n’ont pas été mis à jour par les victimes.