Passer au contenu

La technique du phishing

L’arnaque par courriel se développe très vite. Comment reconnaître le phishing et l’éviter ? Qui se cache derrière ces tentatives d’extorsion ?

Que signifie ‘ phishing ‘ ?

Le mot ‘ phishing ‘ est inspiré de l’anglais fishing qui vient de to fish et signifie ‘ pêcher, partir à la pêche ‘. Par extension,
on pourrait traduire par ‘ mordre à l’hameçon ‘. Pour compléter la métaphore, le pêcheur, c’est le pirate. Et le poisson, c’est… l’internaute !

En quoi consiste l’arnaque ?

C’est une technique de piratage par usurpation d’identité. Pour un pirate, elle consiste à se faire passer pour un site commercial ou bancaire afin de soutirer vos codes d’accès, coordonnées bancaires ou numéro de
carte bleue. Le scénario est le suivant : vous recevez un courriel d’un site auquel vous êtes abonné (eBay, PayPal) ou de votre banque, qui vous demande de cliquer sur un lien pour confirmer vos noms d’utilisateur et mot de passe.
Si vous vous exécutez, vous êtes perdu ! Le site sur lequel vous êtes redirigé, qui a tout d’un vrai (graphisme, logo, etc.), ne l’est pas plus que le courriel d’avertissement.


Les escrocs récupèrent alors vos précieux codes et procèdent au piratage de votre compte en effectuant, par exemple, des virements vers des comptes situés dans des paradis fiscaux. Ou bien encore, ils utilisent votre numéro de carte
bancaire pour commander aussitôt des produits en ligne. Pour éviter d’être repérés, les pirates prennent soin de réaliser l’envoi via un ‘ PCzombie ‘, c’est-à-dire un PC piraté.Il peut appartenir à un
particulier ou à une société. Même votre PC peut ainsi être utilisé à votre insu pour envoyer du phishing.

Comment identifier une tentative de phishing ?

L’imagination des escrocs ne semble pas avoir de limites. En général, le message reçu explique que, pour des raisons de sécurité, les informations personnelles de l’intéressé doivent être mises à jour. Ou bien
c’est le système de gestion et sa sécurité qui ont changé. Ou encore, on vous demande de vous réinscrire pour vous faciliter la vie. Rien de plus facile, il vous suffit de cliquer sur le lien hypertexte inclus dans le message. Si
l’internaute naïf qui, justement, est en relation avec l’établissement prétexté, clique et livre ses informations confidentielles, il tombe dans le piège.

Qui est concerné par l’arnaque ?

Tout le monde ! L’envoi étant réalisé au hasard, le phishing ne cible personne en particulier. La plupart des internautes qui reçoivent un faux courriel d’un établissement bancaire ne sont
d’ailleurs pas clients de celui-ci. Une étude réalisée en 2004 par l’institut Gartner, révèle que 57 millions d’Américains ont reçu un courriel de phishing. Une autre étude, signée Mirapoint et
Radicati, révèle que 9 % des internautes américains ont déjà perdu de l’argent par phishing.


En France, nous n’en sommes qu’au début. Les premiers cas ont été signalés à l’été 2004, mais le phénomène est en pleine expansion, notamment depuis juillet. Pour preuve, le phishing mentionne
maintenant des banques françaises comme appâts et les messages sont alors rédigés en français.

Qui se cache derrière de telles escroqueries ?

Ces escrocs professionnels de la cybercriminalité (on parle de ‘ mafia high-tech ‘) maîtrisent parfaitement l’outil informatique. Ils savent que les polices s’arrêtent bien souvent aux frontières,
et ils utilisent les paradis fiscaux comme plates-formes de travail. Ils agissent depuis n’importe où. Selon Pierre André Martin, du site Antiphishing.fr, la Chine, la Malaisie et la Russie sont leurs terrains de jeux favoris.

Le phishing est-il facile à repérer ?

La grande majorité des tentatives de phishing sont grossières, et peuvent être démasquées d’un simple coup d’?”il. Il y a d’abord les messages pour le moins improbables, car rédigés en anglais
ou concernant plusieurs établissements bancaires (‘ vous êtes client du Crédit Lyonnais, BNP ou Société Générale…
‘).
Il y a ensuite les messages rédigés en français, mais truffés de fautes
d’orthographe et de formules approximatives. Le faux message du Crédit Mutuel envoyé mi-août précisait ainsi ‘ c’est Credit Mutuel qui vous salue ! ‘, ou encore
‘ le niveau de notre securite est monte au nouveau degre qualitatif ‘, pour finir par ‘ Appuyez ce lien pour vous faire enregistrer ‘ (sic).

Si, dans un premier temps, le message semble sérieux, vérifiez l’adresse de l’expéditeur. Méfiez-vous de celles dans lesquelles le nom d’utilisateur et/ou le nom de domaine sont approximatifs (credillyonnais.com, par
exemple). Rappelez-vous aussi que, lorsque vous consultez un compte en ligne, l’adresse débute toujours par ‘ https ‘, le ‘ s ‘ supplémentaire signifiant
‘ sécurisé ‘. De surcroît, en bas de la fenêtre de votre navigateur, un cadenas fermé s’affiche. Si ce n’est pas le cas, il s’agit d’une page piratée.

Comment les pirates trompent-ils notre vigilance ?

De récentes tentatives de phishing se sont révélées bien moins grossières qu’à l’accoutumée. La méfiance est donc plus que jamais de mise. Pour tromper votre vigilance, certains pirates utilisent une
adresse à rallonge, dont l’intégralité n’est pas visible dans le navigateur. Ils utilisent aussi un nom de domaine présentant des similitudes avec l’établissement piraté (par exemple, banque X-users.com). Enfin, d’autres
utilisent des codes en javascript qui permettent de masquer la fausse adresse par une autre, bien réelle, elle.

Comment éviter de tomber dans le piège ?

Jamais votre banque ne vous réclamera par courriel des informations personnelles (mot de passe ou numéro de compte), sous prétexte de vérification, pas plus qu’un site marchand. Dans le cas d’une banque, et pour des
raisons juridiques, aucun code secret n’est envoyé par courriel : tout se fait par courrier postal. Ne cliquez jamais sur un lien contenu dans un courriel aux couleurs de votre banque. Détruisez tout message suspect. C’est LE
principe de base pour éviter le phishing.

Microsoft a pris le sujet très au sérieux, puisque les prochaines versions de la barre d’outils MSN (prévue mi-septembre) puis Internet Explorer 7 (début 2006) intégreront un filtre antiphishing. Il sera
chargé d’afficher un avertissement dès que l’internaute tentera d’accéder à un site répertorié par Microsoft comme présentant un risque.


En attendant la sortie de ces versions, n’ hésitez pas à installer un logiciel antispam puisque le phishing est perçu comme du courrier non sollicité et, donc, détecté, puis supprimé par un bon logiciel. Plus
généralement, ayez toujours un antivirus à jour et un firewall. Vous éviterez ainsi que votre PC ne serve de zombie.Pour terminer, nous vous conseillons de visiter régulièrement le site
www.antiphishing.fr. Il propose aux internautes, particuliers comme entreprises, de lui faire parvenir les cas de phishing reçus. Ce qui en fait un véritable observatoire dans
lequel on peut consulter la liste des cas, classés par date, et consultables au format PDF.

Que faire si l’on est victime de phishing ?

Si vous êtes tombé dans le panneau en fournissant vos coordonnées bancaires, avertissez immédiatement votre banque. Si une somme a d’ores et déjà été prélevée, aucune assurance ne couvre ce cas de figure. La seule façon de
rentrer dans vos frais, c’est d’espérer un geste commercial de votre banque !

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Hervé Cabibbo