Détecter le phishing et la fraude sur Internet

La maitrise de quelques éléments techniques est indispensable pour échapper à une grande partie des tentatives de fraude sur la toile.

A. Savoir identifier le nom de domaine

Maitriser la notion de nom de domaine est crucial si l’on veut échapper aux fraudes sur internet.

En effet, un nom de domaine appartient à une entité (personne physique, entreprise, association, gouvernement). Il est quasiment impossible d’exploiter de façon frauduleuse le nom de domaine d’une entité légitime. Le fraudeur va donc devoir utiliser des noms de domaines alternatifs, ressemblant généralement au nom de domaine légitime.

Un coup d’œil sur le nom de domaine permet donc de savoir si un site ou une adresse e-mail est frauduleux.

Lisez attentivement ce qui suit pour apprendre à reconnaître et distinguer les noms de domaines, sous-domaines et path.

a. Le nom de domaine

Un nom de domaine est un nom suivi par un point “.” et une extension, utilisé pour nommer un site, par exemple :

  • mediavacances.com

b. Les sous-domaines

Un sous-domaine peut être placé devant le nom de domaine, obligatoirement séparé par un point “.” comme :

  • pay.mediavacances.com”

  • www.mediavacances.com”

Les sous-domaines peuvent en contenir d’autres, toujours séparés par des points “.”. Exemple :

  • https://console.cloud.google.com

Les noms de domaines et sous-domaines se lisent de gauche à droite avec une signification d’appartenance donnée par le point “.“. Ainsi l’exemple ci-dessus doit se lire : “console” appartient à “cloud” qui appartient à “google,” qui appartient aux domaines en “.com”.

Puisque les sous-domaines appartiennent au nom de domaine, si ce dernier est légitime, les sous-domaines le sont aussi.

c. Le chemin (“path”)

Le chemin (“path” en anglais), c’est-à-dire le reste de l’adresse qui suit le nom de domaine et commence par un “/”, indique le chemin précis de la page au sein du domaine et éventuellement du sous-domaine.

Par exemple :

  • https://www.mediavacances.com/locations-vacances-promotion.php


indique que le navigateur doit trouver la page “locations-vacances-promotion.php” dans “www” qui appartient à “mediavacances.com“.

Le chemin appartient au nom de domaine. Il ne permet pas de définir la légitimité d’une adresse web.


B. Seul le nom de domaine donne une indication du risque de fraude

Lorsque nous cherchons à savoir si une adresse web est légitime, seul le nom de domaine a une réelle importance. Par conséquent, savoir localiser le nom de domaine dans une adresse web est un réflexe indispensable si l’on veut échapper aux arnaques sur Internet.


Néanmoins, nous expliquons plus bas que les sous-domaines et le chemin associés à un nom de domaine frauduleux dans une adresse web peuvent être utilisés par les cybercriminels pour induire leurs victimes en erreur.

C. Les techniques utilisées par les fraudeurs

Les fraudeurs ne peuvent pas utiliser les noms de domaine légitimes comme mediavacances.com ou airbnb.com ou encore societegenerale.fr. Ils doivent donc utiliser des noms de domainesdifférents tout en induisant en erreur l’utilisateur à l’aide de certaines techniques bien connues :

1. Nom de domaine ressemblant au nom de domaine légitime

Les cybercriminels utiliseront les techniques suivantes imiter le nom de domaine légitime :

  • Un tiret “-“ (seul caractère spécial autorisé dans un nom de domaine) : “mediavacances.com” ou “societegenerale.fr”

  • Une autre extension : “mediavacances.net” ou “airbnb.travel“,

  • Des chiffres : “mediavacances2.com”

  • éventuellement des caractères accentués

  • Ou en supprimant/ajoutant/remplaçant certaines lettres :“airbandb.com”, “airbb.com”, “mediavacance.com”, etc

2. Utilisation de sous-domaines

Prenons cet exemple :

  • https://societegenerale.fr.euro-bankin.ru/login.html

Le nom de domaine “euro-bankin.ru” est frauduleux. Les sous-domaines “fr” et “societegenerale” ont été créés par le fraudeur pour obtenir “societegenerale.fr” avant le nom de domaine et faire croire à un site légitime.

3. Utilisation du “chemin”

Ici c’est le chemin, c’est-à-dire la partie de l’adresse qui est à droite du nom de domaine après le slash “/”, qui est utilisée pour induire l’internaute en erreur :

  • http://euro-bankin.ru/societegenerale_fr/login.html

Pour se prémunir efficacement contre la fraude, il faut donc s’assurer que le nom de domaine est exactement celui du site légitime.

D. Utiliser le nom de domaine pour évaluer la légitimité d’un email

Vous pouvez aussi vous servir des noms de domaine pour vérifier la légitimité de l’expéditeur d’un e-mail.

Pour rappel, les e-mails de phishing sont à l’origine de 90% des fraudes informatiques.

Vérifier l’expéditeur

L’adresse de l’expéditeur est composé de 2 éléments :

  • Le nom de l’expéditeur (par ex. “Locations Airbnb“)
    Ce nom n’est pas fiable, car il est librement défini par l’expéditeur

  • L’adresse email par ex. airbnb-booking@gmail.com,
    Seul le nom de domaine (encore lui!) situé après le @ est fiable


Dans cet exemple, nous avons donc l’adresse complète suivante :

  • “Réservation Airbnb” airbnb-booking@gmail.com


Cet expéditeur indique un e-mail frauduleux, car le nom de domaine du serveur (“gmail.com”) n’est pas celui de l’entité légitime (“airbnb.com”). La plupart du temps, seuls les particuliers et les petites entreprises utilisent une adresse Gmail.

Lorsque l’on évalue la légitimité de l’expéditeur d’un email, seul le nom de domaine de l’adresse email doit être pris en compte

Vérifier les liens contenus dans l’email

L’immense majorité des emails de phishing visent à vous rediriger vers un site de phishing, sur lequel les cybercriminels pourront vous demander de saisir vos données de connexion, données bancaires, etc.

L’analyse des liens contenus dans un email est donc très instructive.

Il suffit de :

  • Passer la souris sur les liens les plus visibles* (sans cliquer)
    Les emails de phishing mixent parfois les liens légitimes et les liens frauduleux. Ce sont cependant ces derniers qui sont mis en avant dans l’email.

  • Localiser le nom de domaine dans l’URL (voir ci-dessus)

  • Vérifier que que le nom de domaine est exactement le même que celui de l’entité légitime
    Si ce n’est pas le cas, il s’agit d’un email de phishing.

Exemple d’e-mail avec expéditeur et lien frauduleux

L’exemple ci-dessous vous présente un e-mail de phishing bancaire. Un simple contrôle du nom de domaine de l’expéditeur (“client7845bred.fr”) et de l’adresse de destination du lien (“porjefatkenj.com”) permet de détecter facilement un e-mail frauduleux.

E. Le protocole sécurisé “https”

Qu’est ce que le protocole “https” ?

Le “https” est une version sécurisée (“s”) du protocole “http” qui permet d’afficher des pages web. Il permet, en particulier, de crypter les données envoyées par le site et d’authentifier dans une certaine mesure l’auteur du contenu. Tous les sites légitimes de location de vacances ont une adresse utilisant le protocole “https“. Le protocole apporte une faible protection contre les sites de phishing (voir plus bas).

Quel est le niveau de risque des sites en “http” et “https” ?

L’utilisation du protocole simple “http” est un indicateur fort d’un site de phishing. Attention cependant, l’existence du protocole sécurisé ne garantit pas la légitimité du site. En effet, 60% des sites de phishing parviennent à utiliser le protocole https.

Pour résumer :

  • “http” : risque important

  • “https” : risque diminué mais existant

Comment savoir si l’on est en présence d’un protocole standard ou sécurisé ?

Il suffit de regarder la barre d’adresse du navigateur qui doit afficher “https” et/ou un cadenas.

F. Testez vos connaissances !

Vous avez tout compris ? Bravo. Vous pouvez maintenant tester vos connaissances sur cette page.