"Phishing : la pêche à la crédulité "
Mercredi 02 Novembre 2005

"Malgré le développement du SPAMming (Envoi abusif d'E-Mails qui ne laissent aucune possibilité à l'internaute visé de se désinscrire), l'E-Mailing devient un outil de communication très efficace. Conscient de cet état de fait, les pirates informatiques s'en donnent à coeur joie et profitent de la réussite de certains sites. Des sites miroirs semblables à des portails de renom sont créés puis les internautes sont arrosés au hasard avec un E-Mail qui reprend à son tour l'habillage graphique du portail détourné. Le but du jeu est alors d'attirer un internaute réellement client du site plagié. Ce spam invite l'internaute à se rendre sur le faux site pour remettre à jour certains renseignements personnels dans un questionnaire tout aussi faux. L'internaute ainsi dupé laisse numéros de téléphone, de sécurité sociale, de compte bancaire et parfois de carte de crédit. Autant d'informations lucratives pour les escrocs en ligne.

Cette technique qui porte le nom de "Phishing" (contraction des mots anglais "fishing", en français pêche, et "phreaking", désignant le piratage de lignes téléphoniques), traduit parfois en "hameçonner", est utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes. Elle consiste à exploiter non pas une faille informatique mais la "faille humaine" en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce.

Il est donc prudent de veiller aux quelques conseils suivants :

  • Ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre navigateur et saisissez vous-même l'adresse d'accès au service.
  • Méfiez-vous des formulaires demandant des informations bancaires. Il est en effet rare (voire impossible) qu'une banque vous demande des renseignements aussi importants par un simple courrier électronique. Dans le doute contactez directement votre agence par téléphone !
  • Assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en mode sécurisé, c'est-à-dire que l'adresse dans la barre du navigateur commence par https et qu'un petit cadenas est affiché dans la barre d'état au bas de votre navigateur, et que le domaine du site dans l'adresse correspond bien à celui annoncé (gare à l'orthographe du domaine) !

Bien que l'Europe ait jusqu'à présent été épargnée par ce type de piraterie, les pays anglo-saxons proposent d'ores et déjà une nouvelle assurance couvrant ce risque qu'ils désignent sous le nom de "identity theft". Il faut dire que les chiffres outre-atlantique sont des plus surprenants : 7 millions d'américains seraient victimes d'une usurpation, ce qui représenterait un montant des préjudices de l'ordre de 73 milliards de dollars.

Cette nouvelle assurance vise à protéger le consommateur d'une utilisation frauduleuse de ses informations personnelles, dans le cadre de l'utilisation des données bancaires pour réaliser des virements, ou des informations personnelles dans le but d'obtenir un crédit. L'usurpation d'identité ne se limite évidemment pas à Internet, puisqu'un un simple vol de papiers d'identités peut conduire à ce type de fraude. La société de Prévoyance Bancaire (spb.fr) fait office de pionnier en tant que courtier d'assurance sur Internet, en proposant un produit couvrant les abus liés à l'usurpation d'identité, les vols de papiers et le détournement de codes confidentiels.

Nous nous savions déjà grands pêcheurs devant l'éternel. Nous voilà désormais péchés. Alors veiller à ne pas vous faire prendre à l'hameçon !

En attendant notre prochain échange, bons succès dans ce nouveau monde !"

Bertrand LAZARE
Manager d'Operaction

Copyright © 1994-2006 OPERACTION
Sources de veille : Le Journal du net – Le monde – l'atelier