Qu'est-ce qu'une attaque par hameçonnage exactement ?

L'hameçonnage — phishing en anglais — désigne toute tentative de récupérer des informations confidentielles (identifiants, mots de passe, numéros de carte bancaire) en se faisant passer pour une entité de confiance (banque, opérateur, administration). L'attaque arrive habituellement par SMS, courriel ou message instantané, avec un lien qui mène à un faux site imitant l'apparence d'un service légitime. Une fois les informations saisies, elles sont récupérées par les fraudeurs et utilisées pour vider les comptes ou revendues sur des marchés clandestins.

Comment savoir qu'un SMS de banque est un faux ?

Quatre signaux principaux. Premièrement, l'expéditeur est un numéro de téléphone classique et non un nom court (les vraies banques utilisent généralement des SMS estampillés au nom de la banque). Deuxièmement, le lien est raccourci ou pointe vers un domaine inhabituel — pas le site officiel de la banque. Troisièmement, le message joue sur l'urgence : compte suspendu, action immédiate requise, blocage imminent. Quatrièmement, aucune banque sérieuse ne demande à un client de saisir ses identifiants en cliquant sur un lien dans un SMS.

Que faire si on a saisi ses identifiants sur une fausse page bancaire ?

Trois actions immédiates. Un, contacter la banque par téléphone — pas par le lien du SMS — pour signaler la fraude et faire bloquer la carte ou le compte. Deux, changer immédiatement les mots de passe concernés ainsi que ceux de tous les services qui partagent le même mot de passe (boîte mail, autres banques, réseaux sociaux). Trois, surveiller les comptes pendant les semaines suivantes : les fraudeurs effectuent souvent un premier petit prélèvement de test avant de tenter des transactions plus importantes.

Comment retracer l'origine d'un site frauduleux ?

Une recherche WHOIS sur le nom de domaine via un service public comme whois.domaintools.com fournit l'identité du bureau d'enregistrement, l'hébergeur, la date de création du domaine et le contact d'abus. Pour un domaine en .tk ou .ml, l'opérateur est généralement Freenom (devenu BV Dot TK / OpenTLD). Pour les sous-domaines, l'analyse DNS révèle le serveur hébergeant le faux site — souvent Cloudflare, OVH, Hetzner ou un fournisseur cloud grand public. Tous disposent d'un canal abuse@ pour signaler les fraudes.

Combien de temps faut-il pour faire fermer un faux site bancaire ?

Entre quelques heures et quelques jours selon l'hébergeur. Les grandes plateformes (Cloudflare, AWS, Google Cloud, OVH) traitent généralement les signalements de phishing prioritairement, en raison du risque réputationnel. Cloudflare désactive en quelques heures les sites manifestement frauduleux après réception d'un signalement étayé. Les hébergeurs plus discrets — domaines en .tk ou registrars exotiques — réagissent en 24 à 72 heures. Au-delà d'une semaine sans réponse, il faut escalader auprès du registrar ou du registre national.

Pourquoi les fraudeurs utilisent-ils des domaines en .tk ?

Les domaines en .tk (Tokelau), .ml (Mali), .ga (Gabon) ou .cf (Centrafrique) ont longtemps été distribués gratuitement par l'opérateur Freenom — devenu BV Dot TK puis OpenTLD. Cette gratuité, combinée à des contrôles d'identité quasi inexistants, en a fait l'outil de choix pour les opérations à durée de vie courte : phishing, faux sites de support technique, redirections frauduleuses. Depuis 2023, l'écosystème .tk a été progressivement assaini, mais ces extensions restent un signal fort lorsqu'on les croise dans une URL.

Hameçonnage : retracer un faux site bancaire et le faire fermer

Un SMS prétend que votre compte bancaire est suspendu. Un lien étrangement court redirige vers une page de connexion presque parfaite. La rédaction a refusé de simplement supprimer le message — elle a remonté la chaîne, identifié le domaine, le raccourcisseur d'URL, l'hébergeur, et obtenu la fermeture du site frauduleux en moins de vingt-quatre heures.

Un SMS arrive d’un numéro inconnu. Le texte est sec, urgent : « Votre compte TD a été suspendu. Cliquez sur le lien pour réactiver votre accès. » Le lien est court, étrangement raccourci, suivi d’une chaîne qui ressemble à un identifiant unique. Pour la majorité des destinataires, le réflexe juste consiste à supprimer le message. Pour la rédaction, il a paru plus utile de remonter la piste — non pas pour s’inscrire sur le site frauduleux, mais pour identifier l’hébergeur et obtenir la fermeture de la page.

Cette enquête détaille pas à pas la mécanique d’une attaque par hameçonnage bancaire, depuis le SMS reçu jusqu’à la désactivation du faux site, vingt-quatre heures plus tard. Elle illustre une réalité moins connue : le grand public dispose, sans aucune compétence technique avancée, des outils suffisants pour faire tomber ce type de fraude.

Le SMS et son anatomie

Le message reçu provenait du numéro +1 (306) 900-2003. Une recherche rapide sur Internet ne donne aucun résultat associé à ce numéro complet — un signal en soi, puisqu’un numéro effectivement utilisé par une banque génère habituellement de nombreuses traces publiques. L’indicatif 306, en revanche, correspond à la province canadienne de la Saskatchewan. Une banque comme TD utilise habituellement des codes courts (cinq chiffres) ou un identifiant texte enregistré, pas un numéro régional standard.

Une tentative d’appel vers ce numéro renvoie un signal d’occupation permanent — le numéro est un sortant uniquement, configuré pour envoyer des SMS sans pouvoir être rappelé. Cette asymétrie est la marque d’une plateforme d’envoi en masse, type passerelle SMS achetée pour quelques dizaines de dollars par mois.

Le lien contenu dans le message commençait par ogo.gl/ — un service de raccourcissement d’URL personnalisé. La fin du lien correspondait au numéro de téléphone du destinataire. Cette personnalisation a un objectif : permettre aux fraudeurs de tracer, victime par victime, qui a cliqué et qui non. Les destinataires qui cliquent sont identifiés comme « actifs » ; ils peuvent être recyclés dans d’autres campagnes, ou leurs numéros revendus sur des marchés clandestins.

La fausse page de la Banque TD

Le clic sur le lien (effectué dans un environnement isolé, sans données personnelles) a révélé la destination finale : https://70007t.tk/trst/start.php, suivi d’un long paramètre fbclid mimant les liens de tracking Facebook pour donner un vernis d’authenticité.

L’URL elle-même est le premier signal : aucune banque légitime n’utilise un domaine en .tk — extension distribuée jusqu’en 2023 gratuitement par l’opérateur Freenom, devenue depuis l’extension de prédilection des fraudeurs en mal de domaines bon marché et anonymes. La page d’atterrissage, en revanche, était de facture honnête : logo officiel, palette de couleurs respectée, mise en page reproduisant celle de la vraie page de connexion de la Banque TD.

Le test consistait alors à observer le comportement du faux site face à des saisies invalides. Une première tentative — quatre chiffres aléatoires en guise de numéro de carte, une chaîne de lettres en mot de passe — a déclenché un message d’erreur. Indice intéressant : les fraudeurs ont implémenté une validation côté client, suffisante pour rejeter les saisies évidemment malformées. C’est le signe d’une opération un peu professionnelle, pas d’un script bricolé.

Une seconde tentative, avec une suite de seize chiffres mimant un vrai numéro de carte (quatre groupes de quatre) suivie d’un mot de passe quelconque, a été acceptée. Le faux site a affiché une barre de progression bleue, puis un message confirmant la « vérification du compte » et redirigeant — détail soigné — vers la véritable page Facebook de TD Canada Trust. Cette redirection finale est le clou du dispositif : la victime ne perçoit aucune anomalie immédiate, puisqu’elle aboutit sur une page officielle de la banque. Pendant ce temps, ses identifiants et ses coordonnées de carte ont été silencieusement transmis aux opérateurs de la fraude.

Capture stylisée d'un téléphone mobile affichant un faux SMS bancaire et une URL raccourcie suspecte, fond sombre éditorial

Remonter la piste : WHOIS et hébergeur

L’étape suivante consiste à identifier qui héberge le faux site. Le service public whois.domaintools.com fournit, pour n’importe quel nom de domaine, l’ensemble des informations d’enregistrement. La requête sur 70007t.tk a livré plusieurs informations utiles.

Premier point : les serveurs DNS du domaine sont ceux de Cloudflare, une société américaine qui fournit massivement des services de protection anti-DDoS et de mise en cache. La présence de Cloudflare ne signifie pas que la société héberge ou cautionne le contenu — elle est une couche d’infrastructure que les fraudeurs utilisent au même titre que des dizaines de millions de sites légitimes. Mais Cloudflare dispose d’un formulaire de signalement et désactive rapidement les sites manifestement frauduleux.

Deuxième point : le « registrant org » indiqué dans le WHOIS était BV Dot TK. Cette société, fondée en 2001 et basée à Amsterdam, opérait le registre des domaines .tk depuis l’archipel de Tokelau, et proposait l’enregistrement gratuit en échange d’un modèle économique fondé sur la revente de pages parquées et la publicité. Cette gratuité, combinée à l’absence quasi totale de vérification d’identité, a fait des .tk un terrain favori pour les opérations frauduleuses temporaires.

Troisième point : les courriels d’abus listés dans le WHOIS pointaient tous vers @freenom.com — la marque commerciale derrière BV Dot TK. C’était la voie de signalement officielle.

Le signalement et la fermeture

La dernière étape a consisté à rédiger un courriel détaillé à l’adresse abuse de Freenom : URL du site frauduleux, captures d’écran de la page imitant la Banque TD, lien vers la vraie page de la banque pour comparaison, mention explicite de l’usurpation d’identité d’une institution financière canadienne.

Le courriel a été envoyé en fin d’après-midi. Le lendemain matin, la rédaction a tenté d’accéder au lien : la page renvoyait une erreur indiquant que le domaine avait été suspendu. Délai total entre le signalement et la fermeture effective : moins de vingt-quatre heures.

Cette rapidité s’explique par plusieurs facteurs. L’usurpation d’identité d’une banque réelle relève d’une catégorie particulière dans les politiques d’abus de la plupart des registrars — elle est traitée prioritairement parce qu’elle expose le registrar à des plaintes formelles de l’institution lésée et à un risque légal direct. Une fraude diffuse (escroquerie au rabais, faux concours) peut prendre plusieurs jours à être traitée ; une usurpation bancaire avancée tombe en quelques heures.

La leçon opérationnelle est nette : pour faire fermer un site frauduleux, la chaîne WHOIS → identification de l'hébergeur → courriel à l'adresse abuse est ouverte au public et fonctionne. Aucun outil payant n’est nécessaire. Aucun statut professionnel n’est demandé. La friction est uniquement administrative.

Photographie éditoriale en plongée d'un écran d'ordinateur affichant une page de signalement d'abus et un message de site désactivé, lumière bureau

Pourquoi cette technique reste rentable pour les fraudeurs

Malgré la facilité apparente du démantèlement, l’hameçonnage bancaire continue de générer plusieurs centaines de millions de dollars de pertes annuelles à l’échelle mondiale. Trois facteurs structurels expliquent cette persistance.

Le coût d’entrée est marginal. Un domaine en .tk coûtait zéro dollar lorsqu’il était disponible ; un domaine .com ou .info peu surveillé coûte aujourd’hui entre cinq et quinze dollars. Une plateforme d’envoi de SMS en masse coûte quelques dizaines de dollars mensuels. Un kit de phishing prêt à déployer — clone visuel d’une grande banque, formulaires de saisie, exfiltration des données vers un serveur de récolte — se revend pour quelques centaines de dollars sur les forums spécialisés. Le ratio coût/revenu d’une opération de phishing reste extrêmement favorable aux fraudeurs.

Le taux de conversion compense la durée de vie courte. Les analyses sectorielles estiment qu’entre 1 % et 3 % des destinataires d’un SMS d’hameçonnage cliquent sur le lien, et qu’environ un dixième de ceux-là saisissent des informations exploitables. Sur une campagne de cent mille SMS, cela représente plusieurs dizaines à plusieurs centaines d’identifiants bancaires valides — chacun monétisable directement par tentative de transaction, ou indirectement par revente sur des marchés clandestins.

La friction du recours pèse sur les victimes. Une victime qui s’aperçoit du problème doit appeler sa banque, faire bloquer sa carte, contester les transactions, parfois changer plusieurs mots de passe partagés sur d’autres services. La majorité fait l’effort, mais une minorité non négligeable renonce — particulièrement lorsque le préjudice est modeste ou que la honte de s’être fait piéger pèse plus que la perte financière.

Comment se protéger en pratique

Pour le grand public, trois réflexes suffisent à neutraliser la quasi-totalité des tentatives d’hameçonnage.

Ne jamais cliquer sur un lien dans un SMS bancaire. Les vraies banques ne demandent pas à leurs clients de saisir leurs identifiants en cliquant sur un lien — elles renvoient vers leurs applications mobiles ou leur site officiel, dont l’URL doit être saisie manuellement. En cas de doute, appeler le numéro inscrit au dos de la carte bancaire et demander confirmation.

Vérifier le domaine avant de saisir quoi que ce soit. Une vraie banque utilise toujours son domaine officiel — td.com, desjardins.com, bnpparibas.fr, etc. Toute variation, raccourcissement ou domaine alternatif est rédhibitoire. Les fraudeurs jouent sur des domaines très ressemblants — par exemple td-securise.com ou tdcanadatrust-login.tk — qui passent inaperçus dans une lecture rapide.

Activer la double authentification sur tous les comptes bancaires et messageries. Même si un mot de passe fuit, un second facteur (SMS, application d’authentification, clé physique) bloque l’accès. La plupart des banques canadiennes et françaises proposent désormais cette fonctionnalité gratuitement.

L’enjeu n’est pas seulement individuel. Cette mécanique partage une logique commune avec d’autres fraudes documentées par la rédaction, notamment notre enquête sur les fausses publicités Facebook, où la même chaîne — domaine fraîchement enregistré, hébergeur grand public, fenêtre d’exploitation courte — se retrouve à l’identique. Comprendre une fraude, c’est généralement comprendre un peu de toutes les autres.

Cette enquête a été conduite à partir d’un SMS effectivement reçu en février 2021. Le domaine frauduleux mentionné (70007t.tk) a été désactivé moins de vingt-quatre heures après signalement à l’opérateur du registre .tk. La Banque TD n’est aucunement impliquée dans cette fraude — son identité visuelle a été détournée par les fraudeurs sans son consentement, comme c’est régulièrement le cas pour la plupart des grandes institutions financières nord-américaines.

Hameçonnage bancaire : comment la rédaction a retracé l'origine d'un faux site et obtenu sa fermeture