|
Le phishing (jeu de mots anglais que l’on traduit par
hameçonnage) est une escroquerie consistant à tenter de
récupérer les données personnelles - mots de passe, codes
bancaires, numéros de téléphone... – d’utilisateurs peu avertis.
Le mode opératoire consiste à envoyer un courriel usurpant
l’identité d’une institution reconnue en vue de demander au
destinataire la confirmation de ses données personnelles.
Si vous avez reçu par le passé des courriels, en provenance
d’institutions dont vous n’étiez pas clients, vous demandant de
mettre à jour vos données personnelles, vous savez par expérience
ce qu’est le phishing.
Cette technique de piratage a d’abord visé les clients
d’établissement bancaires avant de s’étendre à d’autres secteurs
d’activité comme les opérateurs téléphoniques, les fournisseurs
d’accès Internet et même des organismes gouvernementaux comme le
ministère des finances. Récemment des campagnes de phishing ont
pris pour cibles les bénéficiaires de la CAF, les clients de LCL,
de PayPal, d’Orange, de Free, les contribuables ….
Exemple de contrefaçon du site
LCL aisément identifiable grâce à une URL non conforme
(copie d’écran issue du site
www.zataz.com)
Toutes les entreprises et les secteurs d’activité sont
désormais potentiellement concernés et il importe d’avoir
conscience des mécanismes à l’œuvre ainsi que des mesures de
précaution indispensables pour se prémunir contre ce genre
d’escroquerie.
Du bon sens avant tout !
Il aura fallu quelques années pour que l’internaute finisse par
comprendre qu’il était dangereux de cliquer sur des liens envoyés
par des inconnus. Il va maintenant falloir faire entrer dans les
habitudes qu’il est prudent d’exercer la plus grande suspicion
vis-à-vis de courriels apparemment émis par des autorités
insoupçonnables.
La première notion à avoir à l’esprit est que les sites
institutionnels ne demandent qu’exceptionnellement, voire jamais,
la communication de données personnelles par voie d’email ou sur
leur site en ligne. Toute demande de ce type doit être considérée
avec la plus grande méfiance et vérifiée le cas échéant auprès de
l’institution concernée.
Les exceptions à cette règle sont bien évidemment la phase
d’inscription au service en ligne ainsi que la procédure de
commande dans laquelle vous êtes invités à entrer vos codes
bancaires.
* Dans le premier cas de figure, une règle de prudence consiste
à consulter le site en entrant directement son adresse dans le
navigateur, plutôt qu’en cliquant sur un lien inséré dans un
courriel. Une fois connecté sur le site légitime, on pourra
généralement remplir le formulaire voulu en toute sécurité.
* Concernant les paiements en ligne, l’échange de données
bancaires est toujours sécurisé par le navigateur au moyen du
protocole « https » et une icône
 apparaît
vous signalant que la transaction est protégée. Si ce n’est pas le
cas, il vaut mieux ne pas mener la transaction à son terme.
D’une façon générale, si vous prenez le temps d’examiner dans
le détail les courriels suspicieux, vous trouverez souvent de
nombreuses fautes d’orthographe ou de syntaxe, des formulations
qui fleurent bon les traductions approximatives, des problèmes de
gestion des accents et enfin des URL tortueuses n’inspirant
vraiment pas confiance. Au moindre signe de ce type,
débarrassez-vous immédiatement du courriel en question ou
contactez l’organisme censé vous avoir adressé cette
correspondance.
A noter l’ouverture par le gouvernement d’un portail (Internet-signalement.gouv.fr)
consacré aux escroqueries en ligne qui permet de signaler les
escroqueries dont on est témoin mais également d’accéder à une
série de conseils pour se protéger. Ironie des pirates, en
consultant la liste des actualités du site, on prend connaissance
des dernières tentatives d’escroquerie recensées dont celle qui
consiste à se faire passer justement pour
www.internet-signalement.gouv.fr …
De la nécessité de disposer d’outils de navigation récents
Les autres mesures de protection sont de nature plus technique
et consistent à vérifier que l’on dispose, dans son entreprise
comme à domicile, des outils appropriés pour se protéger.
Les passerelles de sécurité déployées en entreprise combinent
souvent plusieurs outils de protection réunies en un boitier
unique. Ces boitiers, dénommés « appliance » dans le jargon
technique intègrent des fonctions de filtrage, de pare feu, d’anti
virus mais également des mécanismes permettant de vérifier les URL
douteuses.
Pour le particulier, l’important est de disposer des dernières
versions de navigateurs, en particulier de la version 8 d’Internet
Explorer et de Firefox 3.6.
Internet Explorer 8 est doté d’un outil dénommé SmartScreen
Filter, activé par défaut, qui permet grâce à une liste noire de
sites Web, d'être informé via un message d'alerte lors de la
navigation sur un site à risque (la barre d'adresse se colore
alors en rouge).
Firefox et Chrome de Google offrent un mécanisme de protection
similaire qui télécharge régulièrement une liste de sites
malveillants mis à jour en permanence.
Perspectives de solution à long terme
Le phishing est un phénomène récurrent qui va en s’intensifiant
sans que les autorités puissent réellement combattre ce fléau. Une
partie du problème tient aux méthodes d’authentification
« faibles » utilisée pour se connecter. L’usage d’un compte
utilisateur associée à un mot de passe, même fort, est une
technique qui a fait son temps et qui mérite d’être remplacée.
La généralisation de l’usage de certificats numériques associée
à l’emploi d’authentification forte réduirait significativement
les chances de succès des attaquants.
En attendant que l’usage de ces techniques se généralise,
garder à l’esprit qu’Internet est un continent dangereux et user
de son bon sens restent la meilleure des protections.
|