Icône de phishing en arrière-plan, derrière une femme d'affaire en train de lire un e-mail.

Sensibilisation à la cybersécurité

Spam ou phishing ? Quelle différence ?

11 août 2023 · 10 min de lecture

Tous les jours, des flots d’e-mails indésirables envahissent les boîtes de réception du monde entier… Parmi eux, certains sont malveillants, mais cachent très bien leur jeu. Aujourd’hui, plus que jamais, il est essentiel de vérifier l’authenticité des mails que nous recevons sans y répondre par d’autres messages. Or, la frontière entre courrier indésirable, mais inoffensif, et menace réelle est bien difficile à définir, d’autant qu’elle ne cesse d’évoluer. Pour ne pas être induit·e en erreur, il faut donc commencer par savoir différencier les spams des attaques de phishing.

Qu’est-ce qu’un spam ?

Le mot « spam » désigne une publicité électronique non sollicitée, envoyée par e-mail ou par SMS. Les spams sont aussi appelés « courriers indésirables » ou « pourriels » pour souligner le fait que ces communications sont envoyées en masse, sans l’accord des destinataires et sans que celles-ci ou ceux-ci en aient manifesté le désir. Spams et pourriels sont-ils donc simplement synonymes ? Non, les courriers indésirables ou pourriels sont généralement envoyés suite à des inscriptions sur des sites Internet, tandis que les spams cachent une intention de dérober des informations personnelles, voire de l’argent.

En règle générale, les expéditeurs ou « spammeurs » sont des entités commerciales qui envoient des spams pour faire la promotion de produits, inviter les destinataires à participer à des tirages au sort ou proposer des investissements attractifs. Si le RGPD ne réglemente pas les communications non sollicitées comme les spams, certains principes juridiques s’appliquent néanmoins en matière de collecte et de traitement des données à caractère personnel.

Écran d'ordinateur affichant un spam.

Les spammeurs ont recours à différentes méthodes pour se procurer des adresses e-mails : ils utilisent des outils automatisés qui moissonnent les adresses électroniques ou des programmes spécialisés qui passent les sites Internet au peigne fin, ils les achètent auprès d’autres sociétés, voire sur le dark net. Ils sont alors en mesure d’envoyer leurs spams simultanément à un très grand nombre d’utilisateurs. Inondés par ces contenus, les destinataires ont du mal à organiser leur boîte de réception. L’abondance d’e-mails indésirables devient une source d’irritation quotidienne et peut les pousser à relâcher leur vigilance.

  Voici quelques exemples fréquents de spams :

  1. E-mail non distribué : un message vous informe d’une erreur de distribution pour un e-mail que vous n’avez pas envoyé. Un lien malveillant peut être intégré dans le contenu.
  2. Fausse réponse : l’objet de l’e-mail est précédé de la mention « Re : » comme s’il s’agissait d’une réponse à une demande que vous n’avez jamais faite. Le contenu vous demande ensuite de partager des informations personnelles.
  3. Notifications de réseaux sociaux : de faux profils vous sollicitent sur les réseaux sociaux ou vous recevez des notifications provenant de plateformes sur lesquelles vous êtes ou n’êtes pas inscrit·e. Ces invitations cachent une intention de dérober vos données.

Qu’est-ce que le phishing ?

Le phishing est, pour ainsi dire, un type de spam, mais en plus dangereux. Plus de trois milliards d’e-mails sont envoyés chaque jour à des fins d’attaques de phishing. En usurpant l’identité des expéditeurs et en exploitant la confiance que les destinataires accordent à des marques de renom, à des supérieurs hiérarchiques ou même à des PDG de société, les auteurs de ces e-mails malhonnêtes poussent les utilisateurs à se mettre en danger. L’objectif des cybercriminels à l’origine des attaques de phishing est de tromper les personnes ou les sociétés pour s’enrichir financièrement.

 Ils utilisent une forme de manipulation psychologique, l’ingénierie sociale, pour amener leurs victimes à cliquer sur les liens contenus dans les e-mails et leur tendent des pièges afin qu’ils divulguent des données sensibles. Les cybercriminels « vont à la pêche » (« fish », en anglais) aux informations personnelles : ils collectent, par exemple, les identifiants et les mots de passe des comptes bancaires, profils de réseaux sociaux ou autres comptes en ligne à des fins malveillantes. Ils pourront ensuite revendre ces informations à des tiers ou sur le dark net. Le phishing s’avère être une stratégie d’ingénierie sociale redoutable : les hackers tirent parti des connaissances limitées des utilisateurs en cybersécurité et de leur tendance à cliquer sur les messages sans en analyser vraiment le contenu.

 Les cybercriminels peuvent aussi se faire passer pour des sociétés ou des institutions qui ont la confiance du public, telles que des banques. Aujourd’hui, ces messages sont devenus tellement sophistiqués qu’il est difficile de les distinguer d’e-mails authentiques. Ils peuvent alors prendre la forme de spear phishing, où des e-mails plus ciblés, visant un destinataire unique, essayent d’inciter celui-ci à répondre. Les auteurs de ce type de phishing mènent des recherches approfondies et exploitent leurs connaissances afin de réunir des informations très précises sur leur victime. Ils rédigent ensuite des contenus sur mesure qui sembleront avoir été envoyés par un correspondant de confiance. L’objectif final est toujours de faire pression sur l’utilisateur pour le pousser à cliquer sur une pièce jointe ou un lien corrompu.

Écran d'ordinateur affichant un e-mail de phishing.

Parmi les nombreuses variantes qui circulent sur le Web, voici quelques exemples de phishing : 

  1. Modification du mot de passe de votre compte e-mail : vous recevez des notifications semblant provenir de sources fiables vous incitant à modifier d’urgence le mot de passe de votre compte e-mail ou vous informant qu’il arrive à expiration.
  2. Partage de document : des expéditeurs que vous pensez connaître, ou que vous ne connaissez pas, vous envoient des liens vers Google Docs en vous invitant à cliquer dessus.
  3. Fraude au président : ces e-mails urgents paraissent provenir du directeur de votre société et vous demandent de partager des informations confidentielles, internes à l’entreprise.

Le phishing est-il plus dangereux que les spams ?

Si certains spams peuvent n’être que des publicités de masse, parfaitement inoffensives, le phishing est toujours intentionnellement malveillant.  Pendant le seul mois de décembre 2021, les spams ont représenté plus de 45 % du trafic e-mail, soit plus de 300 milliards de courriers indésirables. Ces chiffres soulignent, une fois de plus, l’énorme portée des spams, puisqu’ils sont envoyés en très grande quantité avec l’aide de botnets. Du fait de leur nature commerciale et du faible coût requis pour diffuser du contenu malveillant à très large échelle, ils sont particulièrement populaires parmi les utilisateurs peu scrupuleux.

Le spam de malware est une autre forme de phishing. Ces messages frauduleux contiennent des chevaux de Troie, des virus ou des vers informatiques. Si le destinataire, pensant qu’il s’agit d’un message promotionnel, clique sur la pièce jointe sans réfléchir, un malware est téléchargé sur son appareil. Il va infecter tout le système en propageant du code malveillant qui dérobe des données ou ouvre un accès à des personnes mal intentionnées.

Chaque spam apparemment inoffensif peut ainsi cacher une tentative de phishing. Plutôt que de se concentrer sur les différences entre tous les types de courriers indésirables, il est surtout primordial de savoir en quoi ces e-mails peuvent être nuisibles. Les utilisateurs devraient s’entraîner à repérer les messages suspects, qu’il s’agisse de spams ou de tentatives de phishing. Ils pourraient ainsi limiter au maximum toute interaction avec des contenus potentiellement malveillants, et les conséquences qui peuvent en découler sur le plan personnel et financier.

En bref : spam ou phishing

Les e-mails de phishing sont généralement considérés comme faisant partie des spams, dans la mesure où ce sont des courriers non sollicités, envoyés en masse. Pour récapituler les différences entre ces deux formes de messages, nous avons créé un petit tableau qui donne une vue d’ensemble :

  

  Spam  Phishing  
Définition  E-mails publicitaires indésirables envoyés en masse E-mails frauduleux envoyés dans l’intention de tromper, pour obtenir des données sensibles 
Objectif Généralement publicitaire, mais peut être utilisé pour la diffusion de malwares Collecter des données, tromper les personnes et les sociétés, s’enrichir financièrement 
Exemples Promotion de produits, tirages au sort, offre d’investissements  Blocage du compte bancaire, e-mail urgent provenant d’un supérieur hiérarchique  

   

Vous aimeriez plus de détails sur les différences entre les spams et le phishing ? Vous souhaitez savoir comment vous protéger ? Téléchargez notre livre blanc « Phishing ou spam ? » ici.

Fiche info :
spam ou phishing ?

Télécharger

Apprenez à identifier suffisamment tôt les dangers éventuels. Check-list incluse pour détecter les e-mails dangereux !

Quelques conseils pour vous protéger des spams et du phishing

Une des premières choses à faire pour préserver vos données est d’apprendre à détecter les signes avant-coureurs. Voici quelques mesures que vous pouvez mettre en place pour réduire le nombre d’e-mails malveillants entrants ou limiter leur impact :

Liste de conseils pour identifier des e-mails dangereux

Pire scénario possible : trois choses à ne surtout pas faire si vous recevez un e-mail suspect

  • Ne répondez pas aux spams ou aux e-mails de phishing : cela confirmerait au spammeur que cette adresse e-mail existe ou que le format d’adresse est bien utilisé. L’expéditeur pourrait alors essayer de cibler davantage d’employés de la société en reprenant le même modèle (p. ex., prenom.nom@societe.com).
  • Ne cliquez pas sur les liens ou les pièces jointes des e-mails envoyés par des personnes que vous ne connaissez pas. Si vous recevez des e-mails que vous n’attendez pas et qui proviennent de sources inconnues, étudiez-les attentivement avant de cliquer sur des liens ou des pièces jointes. Ne cliquez même pas sur le bouton « Se désinscrire » d’une newsletter sans avoir auparavant vérifié que le lien n’est pas dangereux.
  • Ne fournissez pas d’informations personnelles. Si vous recevez des e-mails qui cherchent à faire pression sur vous (même s’ils émanent de banques ou d’institutions « officielles »), soyez très prudent·e·s. Contactez l’expéditeur par téléphone pour vérifier.

« Restez prudents lorsque vous recevez des messages qui vous semblent suspects. Il est, dans ce cas, conseillé de contacter votre service informatique ou la banque, lorsque la situation s’y prête. Quoi qu’il arrive, ne cliquez jamais sur des liens ou des pièces jointes que vous n’avez pas sollicités. »

Source: ENISA

Sensibilisation sur le long terme : pourquoi les filtres anti-spams ne suffisent pas

Nous recevons régulièrement des spams ou des e-mails de phishing dans nos boîtes de réception. Mais, à part redoubler de vigilance, que peut-on faire pour se protéger de ces e-mails indésirables et potentiellement dangereux ? Les filtres anti-spams permettent un premier tri pour éviter que ces e-mails n’atterrissent dans votre boîte de réception : ils isolent tous les e-mails provenant d’adresses spécifiques dans votre dossier Spams.

Mais aucun filtre n’est parfait et le nombre de spams et d’e-mails de phishing en circulation augmente de jour en jour. Les cybercriminels améliorent leurs modèles de telle sorte qu’il est aujourd’hui difficile de faire la différence entre les e-mails authentiques et les courriers dangereux… même pour les filtres anti-spams.

L’idéal, pour réduire les risques, est d’adopter des habitudes saines dans la gestion des e-mails, que ce soit dans nos environnements personnels ou professionnels. Tester les connaissances des utilisateurs sur des exemples concrets est la meilleure manière de préparer chacun au pire scénario possible, sans prendre de véritables risques. Une formation de sensibilisation à la cybersécurité inspirée des sciences comportementales permet de couvrir tous les dangers potentiels : des modules d’apprentissage gamifiés et des simulations de phishing en continu assurent la construction d’une culture durable de la cybersécurité sur un mode à la fois ludique et efficace. À l’heure actuelle, c’est ce qui doit devenir notre priorité à tous.

Cyber Security Awareness Blog