Le phishing, en français "hameçonnage", consiste à récupérer des informations confidentielles en s’appuyant sur une usurpation d’identité.

Concrètement, en cliquant sur un lien, l’internaute est renvoyé vers un site web contrefait où on l’invite le plus souvent à saisir des informations personnelles (une simple page web falsifiée suffit). Cette page reprend généralement trait pour trait la structure et la charte graphique d’un site très connu (le choix est vaste : sites bancaires, paypal, ebay, amazon...).

Le plus souvent, l’internaute commence par recevoir un mail l’invitant à cliquer sur un lien permettant de mettre à jour les informations de son compte qui est soit disant "erroné" (ou un autre prétexte). Bien entendu, le mail prend une apparence officielle et on y trouve des éléments permettant de mettre en confiance l’internaute : logo de l’organisme, e-mail de l’expéditeur rattaché à cet organisme, mise en page professionnelle... Une fois sur la page en question, l’internaute saisit son nom d’utilisateur et son code confidentiel et se voit généralement retourner un message d’erreur... mais le mal est fait : son compte et son mot de passe viennent d’être enregistrés sur le serveur pirate !

On imagine alors les conséquences : le pirate dispose non seulement de vos informations personnelles (nom, adresse, numéro de compte bancaire...) mais il peut en plus utiliser votre compte à votre insu (sans changer le mot de passe afin que vous ne le remarquiez que tardivement...).

Cette technique est très répandue car elle est très facile à mettre en oeuvre : il suffit de mettre en ligne une page web falsifiée et d’envoyer un nombre conséquent de mails contenant un lien vers cette page. En utilisant la crédulité des internautes et un minimum de technique (cf article wikipedia sur l’ingénierie sociale), les pirates arrivent à s’approprier des comptes utilisateurs, le plus souvent à des fins lucratives.

La confusion est d’autant plus importante lorsque l’internaute qui reçoit le mail frauduleux est réellement abonné ou membre du site officiel... Il doit alors redoubler de vigilance et prendre connaissance de la partie "recommandations" afin de se prémunir d’un vol de données personnelles.

Parades :

 Les dernières versions des navigateurs web (Mozilla Firefox, Internet Explorer...) intègrent des filtres anti-hameçonnage qui recensent les sites web falsifiés et permettent d’avertir l’internaute quand il se dirige vers un site potentiellement dangereux ou réputé "douteux". Il ne faut donc pas hésiter à faire une mise à jour dès qu’une nouvelle version est disponible.

 Certains sites bancaires font appel à un mécanisme d’authentification renforcée, où le simple fait de saisir un numéro de compte et un mot de passe ne suffit pas : il faut alors cliquer sur des chiffres pour indiquer sa clé... il n’est alors plus possible pour le pirate d’enregistrer une simple saisie effectuée au clavier.

Recommandations :

 Ne jamais faire confiance à l’expéditeur, même si l’adresse de l’expéditeur vous semble fiable : en effet, le protocole d’envoi de mail n’étant pas sécurisé, il est très facile d’usurper l’identité de l’expéditeur. Méfiance donc avec les expéditeurs de type "securite@ebay.fr", "admin@paypal.fr", "info@amazon.fr"

 Si le mail laisse entendre qu’il y a une anomalie sur votre compte ou qu’il s’agit d’une action à effectuer dans le cadre d’une mesure de sécurité, il y a de fortes chances pour que cela soit du phishing. Aucune banque ne règle un problème de sécurité en envoyant un mail à ses clients.

 Vérifier l’adresse cible du lien contenu dans le mail en passant simplement la souris sur le lien (sans cliquer !). Parfois, l’adresse "pirate" est très proche de l’adresse du site officiel. Par exemple : http://www.amazon.com.cx n’a rien à voir avec le site officiel http://www.amazon.com et pourtant, en regardant rapidement, on pourrait croire que le lien n’est pas usurpé. Attention toutefois puisque certaines failles de navigateurs permettent d’afficher une adresse cible correcte alors que le site vers lequel le lien pointe est un site pirate...

 Changer fréquemment le mot de passe associé à un compte en ligne.

 Plus généralement et en aucun cas il ne faut cliquer sur un lien se trouvant dans un mail non sollicité, les chances sont trop grandes pour que le site d’arrivée soit contrefait. Afin de limiter les risques, une recommandation toute simple consiste à taper l’adresse manuellement dans son navigateur web. Après tout, on n’est jamais mieux servi que par soi-même !

Afin de mieux appréhender ce phénomène, je vous livre 2 exemples concrets, dont j’ai moi même été la cible :

Banque BNP Paribas

Un petit exemple concret avec un phishing de la banque BNP : ici on prétexte une mise à jour logicielle afin d’inciter l’utilisateur à se connecter :

En observant attentivement le mail et en passant simplement la souris sur le lien, on constate que l’internaute est redirigé vers un site pirate qui se chargera de récupérer son login/mot de passe :

http://www.secure.bnpparibas.net.ba...

Amazon.fr

Autre exemple avec un phishing qui touche cette fois le site de vente en ligne Amazon.fr. Le compte est soit disant "limité" et l’internaute est invité à cliquer sur Clic à résoudre :

En regardant en bas à gauche du navigateur, on remarque que le lien renvoie vers une adresse n’ayant rien à voir avec le site amazon.fr officiel :

Nous espérons que ce petit article vous aidera à lutter contre ce phénomène ou du moins vous informer des dangers que le phishing peut représenter. N’hésitez pas à nous contacter si vous avez des commentaires ou des idées à nous soumettre à ce sujet !