Biz-n-cash, le portail du micropaiement
   ACCUEIL
   SELECTION DE LIVRES
   BLOG
   NOS DOSSIERS
   TOUTES LES ACTUS
   GLOSSAIRE
   LIENS UTILES
   DOCUMENTS UTILES
   ANNUAIRE SITES
   TESTER
   VOS QUESTIONS
   NOTRE NEWSLETTER
   CHERCHER
   NOUS CONTACTER


   ACHETEUR
   VENDEUR
   PRESTATAIRE

   MUSIQUE
   JURIDIQUE
   SECURITE
   PRESSE EN LIGNE
   DRM
   VIDEO

Abricoo, hébergement et conseils

Florence Quintin, illustratrice

Agoranov

ICRA
Dossiers de la redaction
 
..: Attention au Phishing ! :..

8 mars 2004 - mise à jour le 7/09/2004

Depuis quelques mois, on voit apparaître sur Internet une nouvelle forme de piratage subtile, le Phishing,  visant à tromper la vigilance des utilisateurs afin de récupérer des informations confidentielles, et en particulier des informations bancaires.

Le mot "Phishing" est un néologisme anglosaxon, mélange de "fishing" (pêche - allusion à l'océan des utilisateurs d'internet, dans lequel le pirate essaye de pièger un poisson) et "phreaking" (terme désignant une technique de piratage contre les systèmes téléphoniques dans les années 80, et qui est généralement utilisé en anglais pour désigner une fraude informatique). La technique consiste à exploiter la crédulité afin de tromper la confiance de l'utilisateur et lui faire croire qu'il confie des informations à un tiers de confiance alors qu'il est en réalité en contact avec un pirate. Ce n'est pas le système informatique qui est attaqué, mais son utilisateur. On parle alors de "social engineering".

Selon les données fournies par l’Anti-Phishing Working Group, les principales cibles du phishing sont les groupes bancaires et leurs clients. Rien que pour les établissements financiers américains, cette technique représenterait une perte de 1,2 milliard de dollars. Au cours des deux dernières années, deux millions d’utilisateurs de services en ligne financiers ont été lésés, selon une étude de Gartner Group.

En mars 2004, le ministère de la Justice américain a recensé trois principaux risques liés au phishing : des détournements de fonds (via des virements effectués à l’insu du titulaire du compte bancaire), des vols d’identités (qui permettent de se faire passer pour la personne lors d’achats en ligne) et enfin le risque de voir son ordinateur infecté par des virus ou des spywares.

Les dégâts peuvent être terribles, et ce d'autant plus que la victime du Phishing aura beaucoup de mal à prouver sa bonne foi, toutes les actions ayant été effectuées avec des éléments qui théoriquement ne peuvent être qu'en sa possession.

Comment se déroule une attaque de type Phishing ?

  • l'utilisateur reçoit un mail qui semble venir de sa banque ou d'un organisme financier. L'expéditeur semble correct, et le message reproduit fidèlement la charte graphique de l'organisme (logo, typographie, vocabulaire ...)
  • ce mail contient un message d'information signalant à l'utilisateur que l'organisme a besoin de vérifier certaines informations le concernant, pour une raison quelconque (panne du système informatique, nouvelle législation, modification des conditions d'utilisation... la liste est longue...)
  • l'utilisateur est donc invité à se connecter sur le site de l'organisme pour mettre à jour ses informations personnelles. Pour lui "simplifier" la tâche, on lui propose un lien cliquable qui va le mener directement à la bonne page ... du moins c'est ce que croit l'utilisateur.
  • après avoir cliqué, l'utilisateur se retrouve sur une page, réplique exacte du site de l'organisme financier. Tout est reproduit à l'identique, et l'illusion est souvent parfaite. Sauf que le serveur de cette page n'est pas le serveur de l'organisme financier, mais plutôt celui du pirate.
  • l'utilisateur est alors amené à fournir des informations confidentielles, comme par exemple son identifiant de connexion à son compte en banque, ainsi que son mot de passe. Ou bien encore son numéro de carte bancaire ou son numéro de compte en banque, tout dépend du type d'attaque.
  • le pirate (ou même un automate spécifiquement réalisé) récupère alors immédiatement cette information, se connecte au vrai site de l'institution et se fait passer pour le client. Il est alors possible d'effectuer tous les types d'opérations possibles, comme par exemple un virement vers un autre compte bancaire. Ainsi, en quelques secondes, le compte du client est vidé, sans que celui-ci s'en rende compte, et sans que la banque ne puisse détecter - a priori - l'opération frauduleuse. L'arnaque ne deviendra visible que plusieurs jours après ... et le client devra prouver sa bonne foi, puisque toutes les opérations ont été effectuées avec ses identifiants personnels !

Est-ce une pratique courante ?

Malheureusement, oui, de plus en plus. On estime qu'en décembre 2003, 60 millions de mails étaient des tentatives de Phishing. Pour l'instant, le phénomène ne touche que les pays anglosaxons, mais nul doute qu'il devrait rapidement toucher la sphère francophone. Un membre de notre équipe a d'ailleurs récemment reçu un mail (en anglais) de ce type, semblant venir de PayPal (un système de micropaiement par email). L'illusion était vraiment parfaite, même les images étaient chargées depuis le serveur réel de PayPal. Le hic était que ce collaborateur n'était pas un utilisateur de PayPal, ce qui a provoqué de forts soupçons. Après enquête, nous avons pu trouver que le lien dans ce mail menait sur un serveur en Malaisie, et qui bien sûr n'avait absolument rien à voir avec PayPal, cet organisme étant lui-même victime des pratiques de ces pirates peu scrupuleux. Un utilisateur peu attentif aurait pu se laisser piéger et ainsi donner ses identifants PayPal ! Donc prudence ...

Mais alors, que faire contre le Phishing ?

Il ne s'agit pas d'être alarmiste, mais il faut être prudent. Ce type de tromperie n'est pas spécifique à Internet, il existe également dans la vie courante, et les journaux le mentionne (malheureusement) souvent : faux policiers réclamant le code confidentiel de la carte bancaire qui vient d'être dérobée à son propriétaire, faux appel téléphonique de votre banque etc.
Le Phishing est très efficace car il repose sur la confiance qu'ont les utilisateurs vis-à-vis d'un organisme (bancaire de surcroît) et du courrier qui leur est directement adressé. Il serait d'ailleurs dommage qu'il puisse entâcher cette confiance, si difficile à instaurer. C'est pourquoi quelques recommandations simples suffisent à vous protéger des méthodes de Phishing :

  • ne croyez pas que votre banque puisse vous envoyer un simple mail pour vous demander de confirmer des informations sensibles. Elle passera par un autre biais, plus sûr, comme une lettre recommandée.
  • ne faîtes jamais confiance aveugle à un mail, quel qu'il soit. Le principe même actuellement utilisé pour l'acheminement des mails fait qu'il est aisé de falsifier l'adresse d'expédition.
  • ne suivez donc jamais un lien directement inclus dans un mail et qui doit soit-disant vous emmener sur le site de votre banque (ou de tout autre organisme financier). Ouvrez plutôt votre navigateur et tapez directement l'URL du site de cet organisme.
  • vérifiez toujours la présence du cadenas en bas de votre navigateur lorsque vous envoyez des données sensibles, et également l'URL de la page : celle-ci doit correspondre à l'adresse de votre banque (ne faîtes pas confiance à une page récupérée directement sur une adresse IP) et doit être précédée de https:// (le "s" signifiant que la connexion est cryptée)
  • au moindre doute, ne donnez pas vos informations personnelles, et contactez l'organisme par un autre biais (téléphone par exemple)
  • enfin, il n'est pas inutile de rappeller que le code confidentiel de votre carte de paiement est justement confidentiel, et qu'il ne doit être communiqué sous aucun prétexte, même pas aux autorités de police, et encore moins par téléphone ou via Internet. Il est garant de votre sécurité. Tout paiement effectué sans ce code peut être légitimement contesté et votre banque doit vous rembourser.

Armé de ces quelques précautions d'usage, vous pourrez continuer à surfer et acheter sereinement sur le réseau des réseaux ...

GL

A voir :
- Le phishing a déjà coûté un million de livres aux banques britanniques (Atelier groupe BNP Paribas - 27/04/2004)
- Phishing : le '@' qui doit éveiller les soupçons (Jounal du Net - 07/05/2004)
- Le phishing harponné par la loi (Jounal du Net - 25/05/2004)


  
 
[ retourner au sommaire NOS DOSSIERS ]


Tous droits réservés © 2003-2004 Biz-n-cash.com
Mentions légales     Nous contacter     Presse     Crédits     Qui sommes nous ?