Qu’est-ce que le phishing et comment s’en protéger ?

C’est quoi au juste le phishing ?

Le mot phishing est issu de la contraction des mots password et fishing et veut littéralement dire « pêche aux mots de passe ».

En français, on parle d’ « hameçonnage ». Plus concrètement, il s’agit de courriels frauduleux dont le but est de dérober les identifiants des personnes les plus crédules, par retour d’email ou via un formulaire web généralement hébergé sur un site piraté.

Le but final est de disposer d’accès privilégiés dans notre système d’information afin d’envoyer du SPAM ou d’accéder à des ressources protégées. Toutes ces tentatives présentent, la plupart du temps, des caractéristiques communes :

  • Elles insistent sur l’urgence des démarches à entreprendre et/ou sur le risque de perdre des données ou des courriels si vous n’agissez pas rapidement,
  • La signature du courriel est générique et impersonnelle. Toutes les communications officielles de la VPSI sont signées par l’un de ses collaborateurs, qui se tient à votre disposition (via le Service Desk – 1234) pour vous confirmer la légitimité du message,
  • Les communications officielles sont, dans la mesure du possible, rédigées dans les deux langues couramment utilisées à l’école (le français et l’anglais),
  • Bien que cette information soit facilement falsifiable, on remarque encore souvent que l’adresse email de réponse ou  celle de l’expéditeur n’est pas celle d’un collaborateur de l’EPFL,
  • Finalement, dans le cas où l’on vous demanderait de transmettre vos identifiants par le biais d’une page web, on constate que cette dernière n’est pas hébergée à l’EPFL (l’adresse du site ne se termine pas par .epfl.ch)

Si vous ne deviez retenir qu’une seule chose, souvenez-vous simplement que personne ne vous demandera jamais de transmettre vos identifiants personnels par retour de courriel, par téléphone ou par le biais d’un site externe à l’EPFL. Dans le doute, contactez le Service Desk de la VPSI par téléphone au +41 21 693 1234 ou par email à [email protected].

Pour plus d’informations, se connecter à l’Intranet de la Sécurité IT.