La technique du phishing

 ANTIPIRATAGE ]
La technique du phishing
L'arnaque par courriel se développe très vite. Comment reconnaître le phishing et l'éviter ? Qui se cache derrière ces tentatives d'extorsion ?

Hervé Cabibbo , Micro Hebdo, le 08/09/2005 à 07h00

Que signifie « phishing » ?

Le mot « phishing » est inspiré de l'anglais fishing qui vient de to fish et signifie « pêcher, partir à la pêche  ». Par extension, on pourrait traduire par « mordre à l'hameçon ». Pour compléter la métaphore, le pêcheur, c'est le pirate. Et le poisson, c'est... l'internaute !

En quoi consiste l'arnaque ?

C'est une technique de piratage par usurpation d'identité. Pour un pirate, elle consiste à se faire passer pour un site commercial ou bancaire afin de soutirer vos codes d'accès, coordonnées bancaires ou numéro de carte bleue. Le scénario est le suivant : vous recevez un courriel d'un site auquel vous êtes abonné (eBay, PayPal) ou de votre banque, qui vous demande de cliquer sur un lien pour confirmer vos noms d'utilisateur et mot de passe. Si vous vous exécutez, vous êtes perdu ! Le site sur lequel vous êtes redirigé, qui a tout d'un vrai (graphisme, logo, etc.), ne l'est pas plus que le courriel d'avertissement.

Les escrocs récupèrent alors vos précieux codes et procèdent au piratage de votre compte en effectuant, par exemple, des virements vers des comptes situés dans des paradis fiscaux. Ou bien encore, ils utilisent votre numéro de carte bancaire pour commander aussitôt des produits en ligne. Pour éviter d'être repérés, les pirates prennent soin de réaliser l'envoi via un « PCzombie », c'est-à-dire un PC piraté.Il peut appartenir à un particulier ou à une société. Même votre PC peut ainsi être utilisé à votre insu pour envoyer du phishing.

Comment identifier une tentative de phishing ?

L'imagination des escrocs ne semble pas avoir de limites. En général, le message reçu explique que, pour des raisons de sécurité, les informations personnelles de l'intéressé doivent être mises à jour. Ou bien c'est le système de gestion et sa sécurité qui ont changé. Ou encore, on vous demande de vous réinscrire pour vous faciliter la vie. Rien de plus facile, il vous suffit de cliquer sur le lien hypertexte inclus dans le message. Si l'internaute naïf qui, justement, est en relation avec l'établissement prétexté, clique et livre ses informations confidentielles, il tombe dans le piège.

Qui est concerné par l'arnaque ?

Tout le monde ! L'envoi étant réalisé au hasard, le phishing ne cible personne en particulier. La plupart des internautes qui reçoivent un faux courriel d'un établissement bancaire ne sont d'ailleurs pas clients de celui-ci. Une étude réalisée en 2004 par l'institut Gartner, révèle que 57 millions d'Américains ont reçu un courriel de phishing. Une autre étude, signée Mirapoint et Radicati, révèle que 9 % des internautes américains ont déjà perdu de l'argent par phishing.

En France, nous n'en sommes qu'au début. Les premiers cas ont été signalés à l'été 2004, mais le phénomène est en pleine expansion, notamment depuis juillet. Pour preuve, le phishing mentionne maintenant des banques françaises comme appâts et les messages sont alors rédigés en français.

Qui se cache derrière de telles escroqueries ?

Ces escrocs professionnels de la cybercriminalité (on parle de « mafia high-tech ») maîtrisent parfaitement l'outil informatique. Ils savent que les polices s'arrêtent bien souvent aux frontières, et ils utilisent les paradis fiscaux comme plates-formes de travail. Ils agissent depuis n'importe où. Selon Pierre André Martin, du site Antiphishing.fr, la Chine, la Malaisie et la Russie sont leurs terrains de jeux favoris.

Le phishing est-il facile à repérer ?

La grande majorité des tentatives de phishing sont grossières, et peuvent être démasquées d'un simple coup d'oeil. Il y a d'abord les messages pour le moins improbables, car rédigés en anglais ou concernant plusieurs établissements bancaires (« vous êtes client du Crédit Lyonnais, BNP ou Société Générale...  »). Il y a ensuite les messages rédigés en français, mais truffés de fautes d'orthographe et de formules approximatives. Le faux message du Crédit Mutuel envoyé mi-août précisait ainsi « c'est Credit Mutuel qui vous salue ! », ou encore « le niveau de notre securite est monte au nouveau degre qualitatif », pour finir par « Appuyez ce lien pour vous faire enregistrer » (sic).

Cliquez ici pour agrandir l'image

Si, dans un premier temps, le message semble sérieux, vérifiez l'adresse de l'expéditeur. Méfiez-vous de celles dans lesquelles le nom d'utilisateur et/ou le nom de domaine sont approximatifs (credillyonnais.com, par exemple). Rappelez-vous aussi que, lorsque vous consultez un compte en ligne, l'adresse débute toujours par « https », le « s » supplémentaire signifiant « sécurisé ». De surcroît, en bas de la fenêtre de votre navigateur, un cadenas fermé s'affiche. Si ce n'est pas le cas, il s'agit d'une page piratée.

Comment les pirates trompent-ils notre vigilance ?

De récentes tentatives de phishing se sont révélées bien moins grossières qu'à l'accoutumée. La méfiance est donc plus que jamais de mise. Pour tromper votre vigilance, certains pirates utilisent une adresse à rallonge, dont l'intégralité n'est pas visible dans le navigateur. Ils utilisent aussi un nom de domaine présentant des similitudes avec l'établissement piraté (par exemple, banque X-users.com). Enfin, d'autres utilisent des codes en javascript qui permettent de masquer la fausse adresse par une autre, bien réelle, elle.

Comment éviter de tomber dans le piège ?

Jamais votre banque ne vous réclamera par courriel des informations personnelles (mot de passe ou numéro de compte), sous prétexte de vérification, pas plus qu'un site marchand. Dans le cas d'une banque, et pour des raisons juridiques, aucun code secret n'est envoyé par courriel : tout se fait par courrier postal. Ne cliquez jamais sur un lien contenu dans un courriel aux couleurs de votre banque. Détruisez tout message suspect. C'est LE principe de base pour éviter le phishing.

Microsoft a pris le sujet très au sérieux, puisque les prochaines versions de la barre d'outils MSN (prévue mi-septembre) puis Internet Explorer 7 (début 2006) intégreront un filtre antiphishing. Il sera chargé d'afficher un avertissement dès que l'internaute tentera d'accéder à un site répertorié par Microsoft comme présentant un risque.

En attendant la sortie de ces versions, n' hésitez pas à installer un logiciel antispam puisque le phishing est perçu comme du courrier non sollicité et, donc, détecté, puis supprimé par un bon logiciel. Plus généralement, ayez toujours un antivirus à jour et un firewall. Vous éviterez ainsi que votre PC ne serve de zombie.

Pour terminer, nous vous conseillons de visiter régulièrement le site www.antiphishing.fr . Il propose aux internautes, particuliers comme entreprises, de lui faire parvenir les cas de phishing reçus. Ce qui en fait un véritable observatoire dans lequel on peut consulter la liste des cas, classés par date, et consultables au format PDF.

Que faire si l'on est victime de phishing ?

Si vous êtes tombé dans le panneau en fournissant vos coordonnées bancaires, avertissez immédiatement votre banque. Si une somme a d'ores et déjà été prélevée, aucune assurance ne couvre ce cas de figure. La seule façon de rentrer dans vos frais, c'est d'espérer un geste commercial de votre banque !

Ajouter un commentaire

Vous utilisez un logiciel de type AdBlock, qui bloque le service de captchas publicitaires utilisé sur ce site. Pour pouvoir envoyer votre message, désactivez Adblock.

Créer un site gratuit avec e-monsite - Signaler un contenu illicite sur ce site

×