Contexte pédagogique

Ce projet est un travail pratique de cybersécurité ayant pour objectif de comprendre les mécanismes des attaques de phishing. J'ai reproduit l'interface du site Steam pour analyser comment les arnaqueurs se servent des sites familiers pour tromper les utilisateurs et récupérer des données sensibles.

⚠️ Important : Ce projet est purement pédagogique et réalisé dans un cadre scolaire encadré. Il n'a jamais été déployé en ligne et sert uniquement à comprendre et à se protéger contre ce type d'attaque.

Objectifs du TP

  • Comprendre les techniques utilisées dans les attaques de phishing
  • Apprendre à reproduire fidèlement une interface web existante
  • Identifier les vulnérabilités des utilisateurs face aux interfaces connues
  • Connaître les bonnes pratiques pour reconnaître et se protéger contre le phishing
  • Comprendre les implications légales et éthiques de ces techniques

Étapes de réalisation

01

Analyse de l'interface Steam

Étude détaillée du design, structure HTML/CSS et fonctionnement du site Steam. Identification des éléments clés à reproduire.

02

Reproduction de l'interface

Recréation fidèle de la page de connexion Steam : logo, formulaire, mise en page, couleurs et typographie.

03

Analyse des différences

Identification des éléments subtils permettant de distinguer une fausse interface d'une vraie : URL, certificat SSL, détails visuels.

04

Rapport de sécurité

Rédaction d'un rapport sur les mécanismes du phishing et les bonnes pratiques de sensibilisation.

Compétences acquises

  • Compréhension approfondie des attaques de phishing
  • Maîtrise avancée du HTML/CSS pour reproduire des interfaces complexes
  • Compréhension des indicateurs de sécurité web (HTTPS, certificats)
  • Sensibilisation à la cybersécurité et ingénierie sociale
  • Éthique et cadre légal de la sécurité informatique

Se protéger du phishing

  • Toujours vérifier l'URL dans la barre d'adresse
  • Vérifier la présence du cadenas HTTPS et du certificat valide
  • Ne jamais cliquer sur des liens dans des emails non sollicités
  • Activer l'authentification à deux facteurs sur vos comptes
  • Utiliser un gestionnaire de mots de passe qui reconnaît les vrais sites