Skip to main content

Hameçonnage : conseils utiles pour les médecins du Canada

Chat assis sur la bordure d’une fenêtre à côté d’une femme assise à un bureau et travaillant sur son portable.

Vous recevez un courriel du Collège des médecins de famille du Canada à propos d’une facture impayée. L’expéditeur du message vous invite à télécharger le relevé annexé pour obtenir les détails.

Autre exemple : vous recevez un courriel de l’Association canadienne de protection médicale vous sommant de payer vos frais d’adhésion sous peine de perdre votre protection. On vous demande de cliquer sur un lien pour en apprendre davantage.

Les deux courriels semblent urgents. Ce sont plutôt des tentatives de fraude dites « d’hameçonnage » de la part de cybercriminels qui espèrent que vous cliquerez sur les liens ou téléchargerez les pièces jointes.

Si vous le faites, ils pourraient avoir accès non seulement à votre compte bancaire, mais aussi à une foule de renseignements personnels. Ils pourraient notamment avoir accès aux renseignements de santé de vos patients, chiffrer vos dossiers et exiger une rançon pour vous en redonner le contrôle. (C’est ce qu’on appelle une attaque au rançongiciel.) Ces formes d’atteinte à la vie privée sont à la hausse et elles réussissent en raison de la propension des gens à cliquer sur les liens ou à télécharger les fichiers qui leur sont envoyés par courriel.

S’il est indispensable d’utiliser des outils technologiques robustes pour se protéger contre les cyberattaques, le principal et meilleur moyen de défense demeure l’éducation. Voici quelques notions fondamentales sur l’hameçonnage et des conseils pour éviter de tomber dans le piège.

Qu’est-ce que l’hameçonnage?

L’hameçonnage est une technique qui consiste, pour un cybercriminel, à expédier à une victime un courriel non sollicité, un commentaire sur les médias sociaux ou un message instantané en usurpant l’identité d’une entreprise ou d’une organisation digne de confiance afin d’inciter la victime à révéler des renseignements sensibles ou d’installer sur son ordinateur un logiciel malveillant.

Ces courriels ressemblent souvent à s’y méprendre à ceux d’un organisme public, d’un média social, d’une institution financière, d’un administrateur de TI, de votre association médicale provinciale ou territoriale ou de votre collège provincial des médecins et chirurgiens.

L’objectif est de vous convaincre de cliquer sur un lien, de télécharger un maliciel ou de divulguer des renseignements sensibles comme un code d’utilisateur ou un mot de passe, et des données sur votre compte ou votre carte de crédit.

Conseil : Assurez-vous de toujours avoir une copie de sûreté de vos fichiers sur un support extérieur (dispositif physique comme un disque dur USB ou le nuage). Si votre ordinateur est compromis et que vos fichiers sont chiffrés par un tiers ou corrompus, il vous suffira alors d’acheter un nouvel ordinateur et d’utiliser vos copies de sauvegarde. 

Comment détecter une attaque à l’hameçonnage?

Voici votre première ligne de défense : Ne cliquez jamais sur un lien et ne téléchargez jamais une pièce jointe que vous n’attendiez pas, même si le message semble provenir d’une source légitime.

Voici deux signes à surveiller pour détecter une éventuelle tentative d’hameçonnage :

Regardez l’adresse courriel de l’expéditeur. Il est possible de démasquer un expéditeur mal intentionné en regardant le nom de domaine de son adresse courriel (le segment qui suit le @). La plupart des entreprises utilisent le même nom de domaine pour leur adresse Web et leurs courriels, par exemple, www.md.ca et jane.doe@md.ca. Placez le curseur de votre souris sur le nom de l’expéditeur pour afficher son adresse courriel et vérifiez si le nom de domaine est bien celui de l’entreprise.

Examinez attentivement le lien joint à votre courriel. L’hyperlien peut sembler inoffensif (p. ex. « Voir votre relevé »), mais en plaçant le curseur de votre souris sur le lien, l’URL s’affichera et vous constaterez peut-être qu’il s’agit de celle d’un faux site Web.

Autres signes à surveiller :

  • Présence de coquilles et éléments graphiques bâclés. Les courriels venant d’entreprises et d’organisations légitimes sont rédigés, corrigés et relus par des professionnels avant d’être envoyés.
  • Demandes urgentes. L’auteur du courriel vous menace de restreindre l’accès à votre compte ou d’une autre conséquence grave pour vous alarmer ou créer un sentiment d’urgence. Si l’accès à votre compte vous préoccupe, communiquez directement avec l’entreprise en question.
  • Demandes de renseignements sur votre compte. Tout message qui vous demande de mettre à jour les renseignements de votre compte, ou qui vous demande des renseignements financiers, devrait être supprimé, même s’il semble venir de votre banque, de votre société de placement ou d’un gouvernement.

À quoi ressemble la ligne objet d’une tentative d’hameçonnage?

Souvent, le contenu de la ligne objet d’une tentative d’hameçonnage cherchera à créer un sentiment d’urgence, à vous alarmer ou à piquer votre curiosité. Voici quelques exemples des pièges les plus courants :

  • Veuillez changer votre mot de passe immédiatement.
  • Prière de consulter la facture ci-jointe.
  • Activité inhabituelle sur votre compte.
  • Votre document numérisé est prêt.
  • Mesures urgentes requises.
  • Votre colis a été expédié – bordereau de livraison ci-joint.

On peut aussi tenter de vous berner en mentionnant dans la ligne objet un sujet d’actualité : COVID-19, vaccins, passeports vaccinaux, résultats de tests de dépistage, etc.

Qu’arrive-t-il si vous cliquez sur un lien dans un message d’hameçonnage?

Si vous cliquez sur un tel lien ou téléchargez une pièce jointe à un message d’hameçonnage, vous pourriez par inadvertance installer sur votre ordinateur un logiciel malveillant qui perturbera son fonctionnement, l’endommagera ou donnera à des cybercriminels un accès non autorisé à un système informatique. Au cours d’une attaque d’hameçonnage, les pirates peuvent voler vos authentifiants, endommager votre ordinateur et infiltrer le reste du réseau.

Que faire si vous avez cliqué sur un lien dans un message d’hameçonnage?

Vous avez ouvert un courriel et, par mégarde, cliqué sur le lien ou téléchargé la pièce jointe avant de vous apercevoir qu’il s’agissait d’un message frauduleux? Que faire?

  • Débranchez immédiatement votre appareil du réseau pour empêcher le logiciel malveillant de contaminer d’autres appareils qui y seraient branchés.
  • Analysez votre ordinateur à la recherche de logiciels malveillants ou faites-le analyser par un professionnel.
  • Changez tous vos mots de passe immédiatement et, dans la mesure du possible, activez une fonction d’authentification à deux facteurs.

   

Pour en savoir plus sur l’hameçonnage, consultez le site du gouvernement du Canada ici : https://www.pensezcybersecurite.gc.ca/fr/hameconnage

L’information ci-dessus ne doit pas être interprétée comme des conseils professionnels en placements ou d’ordre financier, fiscal, juridique, comptable ou de nature similaire applicables en contexte canadien ou étranger, et elle ne saurait en aucun cas remplacer les conseils d’un fiscaliste, d’un comptable ou d’un conseiller juridique indépendant.