Alerte sur votre boîte aux lettres électronique : un courrier de votre banque vous annonce un incident sur votre compte. Le message vous invite à vérifier instamment l'opération frauduleuse. Pour vous faciliter la vie, un lien se propose même de vous conduire directement vers la page d'accès direct à vos comptes. Vous avez cliqué ? L'appât (vous, en l'occurrence) est accroché à la ligne du pirate, à qui il ne reste plus qu'à mouliner doucement pour remonter la prise...

Retour chez le poisson, devant votre ordinateur : la page d'accès à vos comptes s'ouvre en apparence normalement. En toute confiance, vous saisissez votre numéro de compte et votre code secret. Bizarrement, une erreur de connexion s'affiche alors et vous ramène à la page d'accueil du site.

Félicitations : même si votre deuxième tentative vous permet d'accéder à vos comptes (où vous constaterez vite que l'incident évoqué par l'e-mail originel n'est que pure fiction), vous venez de donner vos identifiants bancaires personnels à un escroc qui va s'empresser d'assécher votre compte.

Vous avez été la victime d'une arnaque de type phishing (mot construit à partir du verbe fish, pêcher en anglais, et de phreaking, qui fait référence aux premiers piratages des lignes téléphoniques).

Cette technique de fraude associe l'envoi d'un courrier électronique non sollicité et la mise en place d'un site Web illégal. Accessible le plus souvent au travers d'un lien dans le corps du message électronique, ce site-leurre imite au plus près l'apparence du site Web d'un organisme légitime (banque, site d'enchères, ONG...), et invite l'internaute à y saisir son numéro de carte de crédit ou ses coordonnées bancaires.

Le phishing est désormais une technique d'escroquerie bien rodée, mais, fort heureusement, elle s'appuie sur l'envoi massif de courriers électroniques. Dès lors, l'escroc ne peut personnaliser le message et son contenu ne vous est jamais adressé nommément (en dehors de votre adresse électronique) : jamais de « Bonjour David Martin »...

En outre, la grande majorité de ces messages sont rédigés en langue anglaise et proviennent de pays étrangers, où il y a peu de chances que vous possédiez un compte bancaire ou que vous ayez réalisé un achat en ligne. Lorsqu'ils sont rédigés en français, ils sont généralement truffés de fautes d'orthographe et de grammaire.

Autant d'éléments à même d'éveiller vos soupçons - même s'ils n'est aucunement exclu que certains pirates, du coup encore plus rusés, maîtrisent les règles de la langue française. Se prémunir du phishing revient à agir avec le plus élémentaire bon sens. Vous n'êtes pas concerné par le contenu du message ? Détruisez-le immédiatement.

L'actualité vient cependant parfois à point nommé pour permettre aux indélicats de décliner leur escroquerie. Ainsi, des donateurs crédules ont-ils été bernés après le récent tsunami en Asie du Sud-Est. À peine quelques heures après la catastrophe, des courriers électroniques imitant parfaitement ceux d'ONG ou d'organisations caritatives faisaient appel à leur générosité. Las, ils menaient tout droit vers des sites eux aussi contrefaits, dont le seul objectif était de soutirer les informations personnelles et bancaires (et surtout l'argent) des donateurs crédules...

Première précaution : ne cliquez jamais directement sur les liens contenus dans les courriers électroniques non sollicités (spams) que vous recevez. De même, ne donnez jamais votre numéro de compte bancaire, ni votre code secret, sur un site dont l'affichage a été obtenu depuis un lien d'un message électronique, même si le site vous paraît visuellement « normal ».

Lorsque vous souhaitez confier de telles informations à un site, saisissez directement son adresse dans votre navigateur Web, ou cliquez sur un lien sûr, auparavant placé dans vos Favoris.

De manière générale, ne faites jamais confiance aux formulaires qui s'affichent dans des fenêtres pop-up lorsque vous surfez sur le Web. Enfin, lorsque le site de votre banque ou de votre courtier en ligne ne répond pas comme à l'habitude, abstenez-vous.

En effet, les sites de commerce électronique, comme ceux des banques, des organismes financiers ou des courtiers en ligne sont toujours sécurisés. Si votre navigateur affiche une boîte de dialogue inhabituelle, indiquant « Cette page contient des éléments sécurisés et non sécurisés. Souhaitez-vous afficher les éléments non sécurisés ? », choisissez de n'afficher que le contenu sécurisé.

Vérifiez en outre la légitimité du site, matérialisée par la présence d'un cadenas jaune en bas à droite de la fenêtre de votre navigateur : ce symbole signifie que votre connexion au site (et donc les informations que vous échangez avec lui) est cryptée, donc sécurisée.