Insights Header image
Insights Header image
Insights Header image

Sécurité des données – la menace croissante de l’hameçonnage téléphonique

Le 16 septembre 2022 Bulletin sur la protection de la vie privée Lecture de 4 min

Si vous possédez un téléphone, vous avez probablement déjà reçu un appel douteux d’un numéro inconnu visant à vous soutirer des renseignements confidentiels. Il se trouve que ces appels sont de plus en plus nuisibles aux entreprises.

Qu’entend-on par hameçonnage téléphonique?

L’hameçonnage téléphonique (aussi appelé hameçonnage vocal) est une technique par laquelle un hameçonneur tente d’obtenir d’une personne ses renseignements confidentiels en se faisant passer pour quelqu’un d’autre[1], par exemple un employé de la banque ou du service de TI d’une entreprise, ou un fonctionnaire. Les renseignements personnels ainsi soutirés serviront ensuite d’autres fins, comme détourner l’identité et l’argent de la victime, ou attaquer par rançongiciel le système informatique d’une entreprise[2].

Les hameçonneurs se font souvent passer pour des fonctionnaires de l’Agence du revenu du Canada (« ARC »). L’ARC présente des transcriptions d’arnaques téléphoniques dans ses alertes à l’arnaque. Les fraudeurs tentent de faire peur aux gens, par exemple en prétendant que des poursuites criminelles sont intentées contre eux, qu’un privilège sera inscrit sur leurs biens, ou que des actions en justice seront prises à leur encontre[3].

Une technique en hausse

Ces dernières années, les fraudeurs ont raffiné leurs techniques d’hameçonnage téléphonique et emploient des outils de plus en plus sophistiqués pour convaincre les gens de leur révéler des renseignements. Il peut s’agir par exemple de modifier l’identité de l’appelant pour qu’un numéro officiel figure à l’écran, ou encore de cloner une voix au moyen d’algorithmes d’apprentissage automatique et de technologie de voix pour reproduire la voix d’une personne de confiance[4].

En janvier 2021, dans un avis au secteur privé, le FBI mettait en garde contre une hausse du nombre d’attaques par hameçonnage téléphonique visant des réseaux d’entreprise[5], et plus particulièrement d’attaques hybrides, qui combinent attaques ciblées (« harponnage ») et hameçonnage téléphonique[6]. L’efficacité de ces attaques hybrides est inquiétante : des tests d’IBM ont révélé qu’elles sont trois fois plus efficaces que les attaques par harponnage uniquement (taux de clic de 53,2 %) [7].

Mesures de prévention et d’atténuation

Le Centre canadien pour la cybersécurité, le FBI et le département de la Santé et des Services sociaux des États-Unis ont publié des lignes directrices pour protéger les gens et les entreprises de telles menaces :

  • Utilisez les fonctions intégrées de protection des téléphones intelligents[8].
  • Efforcez-vous de bloquer les appels automatisés ou les appels provenant de numéros inconnus.
  • Méfiez-vous des comportements ou éléments douteux, par exemple :
    • la sollicitation d’information sensible;
    • les tactiques de peur ou les demandes urgentes;
    • les offres trop belles pour être vraies;
    • les éléments inhabituels pour l’entreprise ou le ministère ou organisme dont il est prétendument question, par exemple des appels de piètre qualité, un interlocuteur à la voix robotique ou au débit inhabituel[9].

Les entreprises ont tout intérêt à former leur personnel sur l’hameçonnage téléphonique, les nouvelles formes d’hameçonnage et la manière d’y réagir[10]. Il est également bon de mettre régulièrement les employés à l’épreuve par des simulations afin de déterminer s’il y a lieu d’offrir davantage de formation ou d’information sur le sujet. Mais comme il est impossible de se prémunir entièrement du risque d’hameçonnage, mieux vaut adopter une approche de sécurité multiniveaux. Voici quelques mesures d’atténuation pertinentes :

  • Mettez en place l’authentification multifactorielle (MFA) pour l’accès aux comptes employés afin de réduire les risques de compromission initiale [11]. Privilégiez les mots de passe à usage unique plutôt que les notifications poussées (qui sont parfois acceptées sans que soit connue la source, par lassitude devant les notifications répétées)[12].
  • Accordez aux nouveaux employés des droits d’accès minimaux[13].
  • Analysez et surveillez activement les réseaux pour détecter les accès et modifications non autorisés[14].
  • Segmentez votre réseau en plusieurs petits réseaux de manière à mieux en contrôler le trafic[15].
  • Dotez les administrateurs de deux comptes : un compte avec accès administrateur avec lequel il est possible d’apporter des changements au système, et un compte pour l’envoi de courriels, la gestion des mises à jour et la production de rapports[16].

Si vous avez des questions sur les risques croissants d’hameçonnage téléphonique et la conception de programmes et politiques de cybersécurité, communiquez avec un membre du groupe Protection de la vie privée et des données.

[1] Centre canadien pour la cybersécurité, Qu’est-ce que l’hameçonnage vocal? – ITSAP.00.102 (25 juillet 2022)
Il existe également de l’hameçonnage par texto et par code QR.
[2] Centre canadien pour la cybersécurité, Ne mordez pas à l’hameçon : Reconnaître et prévenir les attaques par hameçonnage –00.101 (août 2022)
[3] Gouvernement du Canada, Exemple d’arnaque au téléphone (17 mai 2022)
[4] Qu’est-ce que l’hameçonnage vocal?, Comment fonctionne l’hameçonnage vocal?
[5] Federal Bureau of Investigation, Cyber Division, Private Industry Notification 20210114-001, en anglais seulement (14 janvier 2021).
[6] Rodika Tollefson, Spearphishing meets vishing: New multi-step attack targets corporate VPNs, en anglais seulement (15 décembre 2020).
[7] IBM, X-Force Threat Intelligence Index 2022 , page 5 (février 2022).
[8] Qu’est-ce que l’hameçonnage vocal?, Conseils pour repérer l’hameçonnage vocal et éviter de tomber dans le piège.
[9] Ne mordez pas à l’hameçon, Il pourrait y avoir anguille sous roche si.
[10] Qu’est-ce que l’hameçonnage vocal?, Conseils pour repérer l’hameçonnage vocal et éviter de tomber dans le piège.
[11] FBI Private Industry Notification, page 2.
[12] Une technique en hausse, page 2.
[13] Précité, note 11.
[14] id.
[15] id.
[16] id.

Par Robbie Grant, Vaughan Rawes (stagiaire en droit) et Zijian Yang (étudiant d’été)

Mise en garde

Le contenu du présent document ne fournit qu’un aperçu du sujet et ne saurait en aucun cas être interprété comme des conseils juridiques. Le lecteur ne doit pas se fonder uniquement sur ce document pour prendre une décision, mais devrait plutôt obtenir des conseils juridiques précis.

© McMillan S.E.N.C.R.L., s.r.l. 2022

Perspectives (5 Posts)Voir Plus

Featured Insight

Comprendre le nouveau règlement québécois sur le traitement des plaintes dans le secteur financier

Ce bulletin résume le nouveau règlement québécois sur le traitement des plaintes dans le secteur financier qui entrera en vigueur le 1er juillet 2025.

Lire plus
17 Juil, 2024
Featured Insight

Mise en garde : l’acceptation d’une offre d’emploi par courriel peut créer un contrat d’emploi valide

Les employeurs doivent s’assurer que toutes les conditions des contrats d’emploi se retrouvent dans l’offre d’emploi initiale de manière à empêcher la conclusion, par inadvertance, d’un contrat comportant des conditions manquantes.

Lire plus
16 Juil, 2024
Featured Insight

Le projet de loi C-59 étend la portée du terme « pratiques commerciales trompeuses » de la loi sur la concurrence : l’écoblanchiment et comment rester à l’écart des fausses représentations en matière d’environnement

Orientations concernant les dispositions sur les pratiques commerciales trompeuses de la Loi sur la concurrence visant à réprimer l’écoblanchiment.

Lire plus
15 Juil, 2024
Featured Insight

Imposition de tarifs : le gouvernement du Canada lance des consultations sur les tarifs à imposer aux véhicules électriques chinois

Cette mesure témoigne de l’engagement du gouvernement à s’attaquer à une série d’allégations de pratiques commerciales déloyales et à protéger les travailleurs et les chaînes d’approvisionnement de VE du Canada.

Lire plus
10 Juil, 2024
Featured Insight

Réglementation finale sous la loi 96 – le statu quo l’emporte, sauf lorsqu’il s’agit de prédominance visuelle

C’est le 26 juin 2024 qu’a été publié un Règlement visant à clarifier et appuyer certaines modifications apportées à la Charte de la langue française en vertu du projet de loi 96

Lire plus
9 Juil, 2024