Qu'est-ce que le phishing, et comment s'en protéger?
Par Patrick Valentin, dans Conseils Web pour les PME, gestionnaires et dirigeants -# 49 - Fil RSS
Il y a quelques mois encore, peu de gens connaissaient le mot "phishing", et encore moins connaissaient les principes du phishing (que nos amis les québécois appellent l'hameçonnage). Une chose est sure, c'est que les escroqueries liées au phishing sont en très forte augmentation depuis un an. Les statistiques fournies par l'APWG (Anti-Phishing Working Group) sont très claires à ce sujet:
- Nombre d'alertes d'hameçonnage (+90% depuis août 2005)
- Nombre de sites de phishing découverts chaque mois (+92% depuis août 2005)
- Nombre de marques usurpées par le phishing (+76% depuis août 2005)
L'article de ce soir a pour but d'expliquer ce qu'est le phishing, comment il fonctionne, comment reconnaître un site de phishing, et bien sûr, comment éviter d'être victime de ce type d'escroquerie.
Tout d'abord, une définition du phishing:
Selon Wikipedia, Le phishing, ou hameçonnage, est une forme d'attaque informatique consistant à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des données confidentielles : mot de passe, numéro de carte de crédit, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale ainsi que des courriers électroniques et des sites Web falsifiés.
Comment fonctionne le phishing?
Le phishing a pour but de récupérer les noms d'usager et mots de passe d'individus afin de pouvoir les réutiliser à des fins malveillantes. Dans la plupart des cas, la victime reçoit un courriel l'invitant à visiter le site de sa banque afin par exemple de valider son mot de passe. Bien sûr, lorsque la victime clique sur le lien pour aller sur le site de sa banque (par exemple www.banquechose.com), il est en fait conduit vers un site falsifié (par exemple: www.labanquechose.com) qui ressemble à s'y méprendre au véritable site de la banque, mais qui appartient bien entendu à des pirates informatiques. Lorsque la victime, croyant être sur le site légitime de sa banque, inscrit son login et son mot de passe pour se connecter, il obtient en général un message d'erreur anodin l'invitant à réessayer le lendemain matin. Le temps que la victime s'aperçoive de la supercherie, les pirates se sont connectés sur le site de sa banque, et ont transféré son argent sur leur compte.
Comment reconnaître un site de phishing?
Il y a quelques années, les sites de phishing étaient de pâles copies des sites légitimes: un logo, un nom de domaine proche du site légitime, et quelques efforts pour construire une page de login, et le tour était joué. Aujourd'hui, les sites de phishing sont de véritables oeuvres d'art. En général, ils sont la réplique exacte du site légitime, incluant l'ensemble des contenus, des applications. Ainsi, les victimes peuvent naviguer au travers de l'ensemble du site, persuadés ainsi qu'ils sont dans le site légitime. Les moyens de déceler que vous êtes sur un site de phishing sont les suivants:
- tout d'abord, l'url (ou l'adresse) du site: si l'url du site sur lequel vous vous trouvez n'est pas le même que celui auquel vous êtes habitué (ex: www.labanquemachin.com au lieu de www.banquemachin.com), alors il y a de très fortes chances que le site sur lequel vous vous trouvez ne soit pas légitime. Attention, le fait que l'url apparaissant en haut de la page soit bien le même que votre url habituel n'est pas à lui seul une preuve que vous vous trouvez sur le bon site.
- le petit cadenas qui se trouve en bas de votre navigateur est souvent faussement interprété comme LE moyen de valider que vous êtes en sécurité. Une précision à ce sujet semble très importante: le cadenas n'apparaît effectivement que si la liaison entre votre ordinateur et le serveur Web est sécurisée... mais la seule présence du cadenas ne vous permet pas d'être certain que le serveur Web est bien celui que vous croyez... Vous pourriez bien être en liaison sécurisée avec le serveur des pirates. Le seul moyen de vérifier que vous êtes sur le bon site Web est donc faire un double-clic sur le cadenas de sécurité, afin de vérifier le véritable propriétaire du serveur sur lequel vous vous trouvez.
- Enfin (et c'est sans aucun doute un moyen plus efficace), il existe plusieurs logiciels vous permettant de déceler automatiquement les sites de phishing. Parmi elles, la nouvelle version d'Internet Explorer 7 semble parmi les plus efficaces. On peut également mentionner la célèbre barre d'outils Netcraft, qui permet non seulement de déceler les sites de phishing, mais également de rapporter immédiatement à Netcraft un nouveau site, ce qui permettra quasiment immédiatement (après vérification bien sûr) de prévenir les autres utilisateurs de la barre d'outils lorsqu'ils visiteront le site que vous avez découvert.
Comment éviter de vous faire avoir par le phishing?
D'une manière générale, il suffit de suivre cette règle simple pour toujours éviter d'être victime de phishing (et croyez-moi, vous n'avez vraiment pas envie d'en être victime... Qui sait ce qu'un pirate mal intentionné pourrait faire avec les codes d'accès de votre compte bancaire......) : Ne visitez jamais, en aucun cas, un site sur lequel vous faites des transactions sécurisées en cliquant sur un lien. Qu'il s'agisse d'un lien dans un courriel ou d'un lien sur une page Web: ne cliquez jamais sur un lien pour aller visiter le site de votre banque ou tout autre site sur lequel vous possédez un login et un mot de passe. Contentez-vous tout simplement de taper l'url dans le haut de votre browser, comme vous en avez toujours eu l'habitude, et vous ne devriez jamais être la victime de phishing ou d'hameçonnage.
Pour en savoir plus sur le phishing, lisez l'excellent rapport de l'APWG, et courrez vite installer votre solution anti-phishing préférée...
Commentaires
#1 - Le mardi 21 novembre 2006 à 06:24, par Daniel
Ajouter un commentaire
Les commentaires pour ce billet sont fermés.