Une technique frauduleuse : Hameçonnage (ou phishing en anglais)

Nos messageries réceptionnent souvent des courriels provenant de personnes malintentionnées qui ont pour objectif de mettre la main sur nos données personnelles. Ces attaques reposent sur un principe d'usurpation d'identité d'une personne morale ou physique proche de nos sphères privées ou professionnelles pour duper notre vigilance. Ces messages invitent à ouvrir une pièce jointe suspecte ou à suivre un lien vers un site web malveillant.

En cas de message « indésirable» appelé spam ou pourriel, l’utilisation d’un logiciel de messagerie (type Thunderbird ou Outlook…) permet de mettre en œuvre un filtrage efficace. Voir aussi : la messagerie académique, c'est automatique

Quelques bonnes pratiques

• Choisissez un mot de passe robuste pour sécuriser votre messagerie.
• Séparez bien vos activités professionnelles et personnelles en utilisant des adresses email bien distinctes.
• Ne vous fiez pas de manière aveugle au nom de l’expéditeur, même si vous le connaissez.
• Ne répondez jamais à une demande d’informations confidentielles, quel que soit l’émetteur. Si tel est le cas, vérifiez la demande par un autre canal. Interrogez-vous toujours sur la légitimité de la demande même si elle provient d'une personne de votre entourage.
• Ne cliquez jamais sur des liens en lesquels vous n'avez pas entièrement confiance. En passant la souris au-dessus du lien proposé (mais sans cliquer), vous pouvez repérer s’il pointe bien vers l’adresse du site annoncée dans le message. Si l’adresse est différente, soyez méfiant, et évitez de cliquer sur le lien.
• Au moindre doute, abstenez-vous d’ouvrir certaines pièces jointes : elles peuvent contenir des virus ou des logiciels espions.
• Soyez attentif à la syntaxe des messages : des fautes d’orthographe, un français approximatif sont souvent signes d’une tentative d’escroquerie. Néanmoins, cela s'avère de moins en moins vrai.
• Ne répondez ni ne relayez jamais les messages de type chaîne porte-bonheur ou pyramide financière, appel à solidarité, gains à la loterie...
• Prenez l’habitude quand vous envoyez un message d’ajouter dans le corps du message l’objet précis de la pièce jointe ainsi que son nom avec l’extension (par exemple : « compte rendu de la réunion du … »»). Ainsi un message ne comportant pas une indication de ce type paraîtra suspect chez votre correspondant.

Si vous avez un doute sur un message reçu sur votre messagerie professionnelle, prenez contact avec le service informatique de l'académie qui vérifiera auprès du responsable de la sécurité des systèmes d'information (RSSI) la crédibilité de l'émetteur et du contenu.

Pour donner toutes les informations techniques, il est essentiel de transférer ce message en pièce jointe à dsi-assistance@ac-paris.fr.

Pour aller plus loin :

• CNIL (Commission nationale de l'informatique et des libertés) : Phishing, détecter un message malveillant
• ANSSI (Agence nationale de la sécurité des systèmes d'information) : 5 réflexes à avoir lors de la réception d'un courriel
• CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) : Mesures de prévention relatives à la messagerie