Phishing
Phishing
Le phishing, ou hameçonnage en français, est une cyberattaque reposant sur l’usurpation d'identité et l'ingénierie sociale pour inciter une personne à divulguer des informations sensibles. Ce phénomène constitue une menace majeure pour la sécurité informatique dans la fonction publique comme dans le secteur privé. Le phishing vise notamment les agents de la fonction publique d'État, de la fonction publique territoriale ou de la fonction publique hospitalière, ciblant parfois des institutions telles que le Ministère de l’Intérieur, le Ministère des Finances, la DGFiP, ou encore l’ANSSI.
Origine et définition
Le terme « phishing » est apparu dans les années 1990 et provient du mot anglais fishing (pêche), reflétant la tentative de "pêcher" des données personnelles ou confidentielles telles que des identifiants, des mots de passe, ou des données bancaires. En France, l’ARCEP et la CNIL publient régulièrement des alertes sur ce type d’attaques.
Fonctionnement d’une attaque
Le phishing repose généralement sur l’envoi de courriers électroniques massifs contrefaits semblant provenir d’organismes officiels tels que la CAF, la sécurité sociale, ou même la DGSI. Ces messages comportent souvent des logos officiels, des URL imitant celles de sites institutionnels (comme impots.gouv.fr) et demandent à la victime de cliquer sur un lien ou d’ouvrir une pièce jointe. Les méthodes utilisées incluent :
- Faux sites Internet ou sites de phishing imitant des portails comme FranceConnect, PayPal, ou La Poste.
- Appels téléphoniques ou vishing (phishing vocal), se faisant passer pour un service de préfecture, banque, ou un agent du CNFPT.
- Messages SMS trompeurs (smishing), se faisant passer pour l'Assurance maladie, la banque postale, ou la Police nationale.
| Type | Cible(s) courante(s) | Exemple d'entité usurpée |
|---|---|---|
| Email (courrier électronique) | Agents, usagers | Éducation nationale, Trésor public |
| Smishing (SMS) | Usagers, agents | Ameli, CAF, Numéros courts officiels |
| Vishing (appel vocal) | Agents, directions financières | Banque de France, Services de paye |
| Spear phishing (ciblé) | Cadres, informaticiens, gestionnaires RH | DAJ, DRH, DSI |
Objectifs et conséquences
Les attaques de phishing visent principalement :
- Le vol de données personnelles ou professionnelles (identité, n° Sécurité sociale, informations bancaires).
- L'accès à des intranets ou systèmes sensibles des administrations, pouvant conduire à des rançongiciels (ransomware).
- L'usurpation d'identité des agents publics ou des usagers.
- La propagation de malwares via des pièces jointes (ex : trojan, spyware, keylogger).
Les conséquences peuvent être graves : fuite de données confidentielles, usurpation d’identité, fraude financière, paralysie des systèmes informatiques, ou atteinte à la réputation d’une administration.
Exemples d’organismes de prévention en France
De nombreux organismes français luttent contre le phishing :
- ANSSI : propose des campagnes de sensibilisation et des guides de cybersécurité.
- CNIL : reçoit les déclarations d’incidents de fuite de données.
- Police nationale et Gendarmerie nationale : via la PHAROS pour les signalements.
- FranceNum, Cybermalveillance.gouv.fr : accompagnement des collectivités et des usagers.
Comment se prémunir du phishing ?
Des mesures de prévention sont recommandées, notamment dans la fonction publique, conformément aux recommandations de l’ANSSI, de la DINUM et de la CNIL.
- Bonnes pratiques pour les agents publics
- Ne jamais communiquer d’informations personnelles par email ou téléphone sans vérification.
- Vérifier soigneusement l’adresse expéditrice de l’email.
- Ne pas cliquer sur des liens suspects, ni ouvrir des pièces jointes issues de sources inconnues.
- Se connecter toujours via l’URL officielle d’un service (ex : service-public.fr).
- Utiliser l’authentification à deux facteurs (2FA) pour les accès sensibles.
- Signaler tout courriel ou incident suspect à la DSI ou au RSSI.
| Ressource | URL |
|---|---|
| Cybermalveillance.gouv.fr | https://www.cybermalveillance.gouv.fr/ |
| PHAROS (signalement) | https://www.internet-signalement.gouv.fr/ |
| ANSSI – Guide de bonnes pratiques | https://www.ssi.gouv.fr/guide/ |
Procédure en cas de phishing dans la fonction publique
- En cas de suspicion ou d’incident avéré
- Informer immédiatement le RSSI ou un responsable cybersécurité.
- Changer ses mots de passe sur tous les services concernés.
- Rassembler et conserver les preuves (emails reçus, captures d’écran).
- Déposer un signalement sur PHAROS et auprès de la CNIL si besoin.
- Être attentif à toute usurpation d’identité ultérieure.
Jurisprudence et cadre légal
Le phishing est réprimé par plusieurs articles du Code pénal (art. 323-1 et suivants), relatifs à l’accès frauduleux à un système de traitement automatisé de données et à l’usurpation d’identité. La CNIL peut prononcer des sanctions en cas de défaut de protection des données à caractère personnel. Le RGPD (Règlement général sur la protection des données) impose des obligations de notification et de protection contre ce type d’attaques, y compris pour les collectivités territoriales.