Cette technique
de piratage qui consiste à usurper l’identité de sites
institutionnels en vue de récupérer des données
confidentielles a le vent en poupe, si l’on en croit la
multiplication récente des attaques de ce type.
Analyse et
conseils de prévention.
Le phishing (jeu de mots anglais que l’on traduit par
hameçonnage) est une escroquerie consistant à tenter de
récupérer les données personnelles - mots de passe, codes
bancaires, numéros de téléphone... – d’utilisateurs peu
avertis. Le mode opératoire consiste à envoyer un courriel
usurpant l’identité d’une institution reconnue en vue de
demander au destinataire la confirmation de ses données
personnelles.
Si vous avez reçu par le passé des courriels, en
provenance d’institutions dont vous n’étiez pas clients,
vous demandant de mettre à jour vos données personnelles,
vous savez par expérience ce qu’est le phishing.
Cette technique de piratage a d’abord visé les clients
d’établissement bancaires avant de s’étendre à d’autres
secteurs d’activité comme les opérateurs téléphoniques, les
fournisseurs d’accès Internet et même des organismes
gouvernementaux comme le ministère des finances.
Récemment
des campagnes de phishing ont pris pour cibles les
bénéficiaires de la CAF, les clients de LCL, de ,PayPal,
d’Orange, de Free, les contribuables ….
Exemple de contrefaçon du
site LCL aisément identifiable grâce à une URL non conforme
(copie
d’écran issue du site
www.zataz.com)
Toutes les entreprises et les secteurs d’activité sont
désormais potentiellement concernés et il importe d’avoir
conscience des mécanismes à l’œuvre ainsi que des mesures de
précaution indispensables pour se prémunir contre ce genre
d’escroquerie.
Du bon sens avant tout !
Il aura fallu quelques années pour que l’internaute
lambda finisse par comprendre qu’il était dangereux de cliquer sur
des liens envoyés par des inconnus. Il va maintenant falloir
faire entrer dans les habitudes qu’il est prudent d’exercer
la plus grande suspicion vis-à-vis de courriels apparemment
émis par des autorités insoupçonnables.
La première notion à avoir à l’esprit est que les sites
institutionnels ne demandent qu’exceptionnellement, voire
jamais, la communication de données personnelles par voie
d’email ou sur leur site en ligne. Toute demande de ce type
doit être considérée avec la plus grande méfiance et
vérifiée le cas échéant auprès de l’institution concernée.
Les exceptions à cette règle sont bien évidemment la
phase d’inscription au service en ligne ainsi que la
procédure de commande dans laquelle vous êtes invités à
entrer vos codes bancaires.
* Dans le premier cas de figure, une règle de prudence
consiste à consulter le site en entrant directement son
adresse dans le navigateur, plutôt qu’en cliquant sur un
lien inséré dans un courriel. Une fois connecté sur le site
légitime, on pourra généralement remplir le formulaire voulu
en toute sécurité.
* Concernant les paiements en ligne, l’échange de données
bancaires est toujours sécurisé par le navigateur au moyen
du protocole « https » et une icône
apparaît vous signalant que la
transaction est protégée. Si ce n’est pas le cas, il vaut
mieux ne pas mener la transaction à son terme.
D’une façon générale, si vous prenez le temps d’examiner
dans le détail les courriels suspicieux, vous trouverez
souvent de nombreuses fautes d’orthographe ou de syntaxe,
des formulations qui fleurent bon les traductions
approximatives, des problèmes de gestion des accents et
enfin des URL tortueuses n’inspirant vraiment pas confiance.
Au moindre signe de ce type, débarrassez-vous immédiatement
du courriel en question ou contactez l’organisme censé vous
avoir adressé cette correspondance.
A noter l’ouverture par le gouvernement d’un portail (Internet-signalement.gouv.fr)
consacré aux escroqueries en ligne qui permet de signaler
les escroqueries dont on est témoin mais également d’accéder
à une série de conseils pour se protéger. Ironie des
pirates, en consultant la liste des actualités du site, on
prend connaissance des dernières tentatives d’escroquerie
recensées dont celle qui consiste à se faire passer
justement pour
www.internet-signalement.gouv.fr …
De la nécessité de disposer d’outils de navigation
récents
Les autres mesures de protection sont de nature plus
technique et consistent à vérifier que l’on dispose, dans
son entreprise comme à domicile, des outils appropriés pour
se protéger.
Les passerelles de sécurité déployées en entreprise
combinent souvent plusieurs outils de protection réunies en
un boitier unique. Ces boitiers, dénommés « appliance » dans
le jargon technique intègrent des fonctions de filtrage, de
pare feu, d’anti virus mais également des mécanismes
permettant de vérifier les URL douteuses.
Pour le particulier, l’important est de disposer des
dernières versions de navigateurs, en particulier de la
version 8 d’Internet Explorer et de Firefox 3.6.
Internet Explorer 8 est doté d’un outil dénommé
SmartScreen Filter, activé par défaut, qui permet grâce à
une liste noire de sites Web, d'être informé via un message
d'alerte lors de la navigation sur un site à risque (la
barre d'adresse vire alors au rouge).
Firefox et Chrome de Google offrent un mécanisme de
protection similaire qui télécharge régulièrement une liste
de sites malveillants mis à jour en permanence.
Perspectives de solution à long terme
Le phishing est un phénomène récurrent qui ne peut aller
qu'en s’intensifiant, sans que les autorités puissent
réellement combattre ce fléau.
Une partie du
problème tient aux méthodes d’authentification « faibles »
utilisée pour s'authentifier. L’usage d’un compte
utilisateur associée à un mot de passe, même fort, est une
technique qui a fait son temps et qui mérite d’être
remplacée.
La généralisation de l’usage de
certificats numériques réduirait significativement les
chances de succès des attaquants.
En attendant que l’usage de ces
techniques se généralise, garder à l’esprit qu’Internet est
un continent dangereux et user de son bon sens restent
encore une fois la meilleure des protections
