Restaurants fermés, hôtels vides… La pandémie de coronavirus paralyse la France. Elle oblige les entreprises à prendre rapidement le tournant du digital. Cela a des conséquences sur l’utilisation de l’e-mail, qui a fortement augmenté depuis le début de la crise. En principe, cette évolution n’est pas un problème, mais les cybercriminels profitent de la situation. Dans ce contexte, les usagers des institutions publiques ne sont pas épargnés et sont notamment la cible de ce qui est appelé le «phishing».
Qu’est-ce que le « phishing »?
Le « phishing » ou « hameçonnage » est aujourd’hui l’un des principaux vecteurs de la cybercriminalité. Il consiste à obtenir le plus souvent du destinataire d’un e-mail d’apparence légitime des données permettant de lui dérober de l’argent. Des coordonnées bancaires ou des identifiants de connexion à un service financier par exemple.
Parfois, ce type de pratiques est utilisé dans des attaques plus ciblées envers une administration. Dans ce cas, la démarche consiste à obtenir d’un agent ses identifiants d’accès au réseau interne auquel il a accès.
Pour être crédible, l’e-mail frauduleux reprend les logos et les chartes graphiques des institutions les plus connus. Son message consistera à informer l’usager d’un retard de paiement, d’impôts par exemple. Il sera alors invité à régulariser la situation sous peine de pénalités de retard voire de saisine de la justice. Aussi, ce message peut l’informer d’un trop-perçu, d’une allocation notamment. Dans ce cas, il sera prié de suivre certaines indications pour procéder au remboursement.
Comment protéger les usagers?
Face à ce risque, comment protéger les usagers des institutions publiques ? Contribuables, allocataires de la CAF… La CNIL nous donne quelques règles d’or, que nous vous invitons à leur partager :
- Ne jamais communiquer d’informations importantes (numéro de carte bancaire, mot de passe, etc.) en cliquant sur un lien reçu par courrier électronique ;
- Ne jamais répondre aux messages suspects. Une administration ne vous demandera jamais de lui communiquer vos coordonnées bancaires par simple e-mail ;
- Toujours partir de la page d’accueil d’un site pour accéder aux autres pages, notamment celles où sont demandés des identifiants ;
- Vérifier que le chiffrement des données est activé. L’adresse du site doit commencer par « https:// » (et non « http:// ») avec un petit cadenas affiché sur la gauche ou en bas de votre navigateur ;
- Prendre directement contact par téléphone, en cas de doute, avec l’administration concernée.
Les plus de Sarbacane !
En plus de ces quelques règles fondamentales, nous vous donnons tout d’abord un conseil supplémentaire à partager avec vos usagers : vérifier le format de l’adresse e-mail de l’expéditeur.
Une adresse e-mail se constitue de trois éléments dans cet ordre :
- La partie locale, qui identifie généralement une personne (jean, jean.dupont, jdupont) ou un nom de service (info, communication). Mais attention, cela risque de ne pas être suffisant lorsque l’expéditeur est une institution. Bien souvent, elles utilisent des outils d’envois groupés comme Sarbacane et se servent pour cela d’une adresse e-mail unique. Cette adresse n’aura donc pas vocation à faire l’objet de réponses de la part des destinataires. Dans ce cas, elle pourra aussi commencer par « ne-pas-repondre ». L’usager sera alors, par exemple, invité dans le corps de l’e-mail à passer par la messagerie sécurisée mise à sa disposition sur le site de l’institution pour communiquer avec elle ;
- Le caractère séparateur @ (arobase), qui reste commun quelle que soit la nature de l’expéditeur ;
- L’adresse du serveur, qui est un nom de domaine identifiant l’institution qui héberge l’adresse e-mail (exemple.fr). C’est ici que bien souvent tout se jouera ! Les cybercriminels utilisent de faux domaines (ex : financesfrance.net) ou des adresses créées sur des webmails bien connus comme Gmail, Outlook ou encore iCloud. Voici donc une liste des domaines des principales institutions auxquels il faut se fier :
- Caisses d’Allocations Familiales : @caf(département).cnafmail.fr
- Caisse Primaire d’Assurance Maladie : @info.ameli.fr
- Finances publiques : @dgfip.finances.gouv.fr
- Pôle emploi : @pole-emploi.fr
- URSSAF : @urssaf.fr
Et pour que vous puissiez partager ces conseils à vos usagers en toute simplicité, nous avons le plaisir de mettre à votre disposition un modèle d’email de prévention reprenant l’ensemble de ces règles.
Je découvre en cliquant ici