20/06/2016

Le S de HTTPS n'est pas là pour faire joli






Sur Internet, quand un utilisateur veut se connecter à un site internet via un navigateur web (Firefox, Chrome, Internet Explorer ...), celui-ci communique avec le site en question à l'aide du protocole HTTP (HyperText Transport Protocol).

Un protocole informatique définit une manière de partager les informations pour qu'elles soient comprises des deux côtés de l'échange (dans la vraie vie par exemple, la grammaire française définit le protocole utilisé pour communiquer). Ce protocole est indispensable pour naviguer sur Internet puisqu'il permet d'avoir accès à tout type de document par l'intermédiaire d’un navigateur web. En bref, dès que tu te promènes sur Internet et que tu veux accéder à des informations, ces dernières transiteront à l'aide du protocole HTTP.

Les premières pierres d'Internet (dont le protocole HTTP) ont été posées par l'armée américaine. Elles ont ensuite été reprises par des universitaires qui ont souhaité échanger des données. Les américains ont ainsi créé un réseau informatique reliant les premiers ordinateurs. À cette époque, seuls des "gentils" pouvaient communiquer avec d'autres "gentils", il n'y avait pas lieu de penser à la sécurité.
C'est pour cela que le protocole HTTP n'est pas sécurisé. A l'origine on n'avait pas encore pensé au fait que des personnes malintentionnées pouvaient avoir accès aux informations échangées ou pouvaient interférer dans la communication entre deux entités.

Si on est en train de chercher la page de l'office du tourisme de notre prochaine escale, cacher cette "conversation" entre notre navigateur et notre moteur de recherche préféré n'est a priori pas essentiel. En revanche, il serait judicieux que ce soit le cas lorsque l'on communiquera nos informations bancaires pour acheter notre billet. Autant éviter que quelqu'un les récupère pour les utiliser par la suite. De manière générale, il est nécessaire de protéger ses informations sensibles lorsqu'on les communique sur internet et ce pour plusieurs raisons. Si l'on doit les communiquer à un site (un service) en particulier. on aimerait être sûr de s'adresser à la bonne entité. On aimerait également s'assurer que les informations ne seront pas modifiées en cours de route pendant la communication, tant de notre côté que du côté du service. Le protocole HTTP ne garantit pas cela.

Heureusement, et sans le savoir, nous utilisons tous au quotidien la version sécurisée du protocole HTTP, le HTTPS (merci à Firefox, Chrome. Safari et Internet Explorer !). Il permet de garantir à la fois la confidentialité et l‘intégrité des données échangées et permet à l'utilisateur de vérifier l‘identité du serveur web avec lequel il échange.


Les entités de certification


Au moment de saisir son numéro de carte bancaire pour acheter des billets de train Montélimar-Poitiers, Chip a comme un doute : comment peut-elle savoir que le site auquel elle a affaire est bien le bon ? Chip se met donc en tête de vérifier qu'elle ne va pas envoyer ses coordonnées bancaires à des inconnus.

Premier test : visuellement Chip a bien l'impression d'être sur la bonne page d'accueil du bon site : l'image, la police de caractère et les emplacements des divers éléments sont identiques à d'habitude. C'est donc qu'on est bien sur le site de la SNCF ? Mais alors comment se fait-il que la page qui se trouve sous ce lien ressemble à s'y méprendre à une vraie page de réservation SNCF alors qu'elle se trouve sur un blog de sécurité informatique ?
Heureusement, depuis qu'elle a entendu parler du phishing, Chip fait attention et vérifie toujours l'adresse du site sur lequel elle se trouve dans la barre d'adresse de son navigateur. Si l'adresse du site est bonne, alors elle peut saisir ses coordonnées sans risque, et sinon elle doit passer son chemin, même si on jurerait que la page est authentique.

Mais Chip doute encore : si l'adresse est bonne, cela veut-il dire qu'elle est connectée au bon site ? Après tout Chip n'a aucune idée de la manière dont la page lui a été transmise. Cette page se trouve à l'origine dans une base de données (un data center) d'Île-de-France et doit passer dans le réseau Internet pour arriver à son propre ordinateur. Une chose est sûre. c'est qu'il y a forcément eu des intermédiaires pour transmettre la communication sur près de 600 kilomètres. Comment s'assurer qu'une autre page ne se fait pas passer pour la page de la SNCF ?



C'est à ce moment là qu'interviennent les autorités de certification. Une autorité de certification est une entité connue en laquelle le navigateur de l'utilisateur a confiance et qui se charge, moyennant, ou non, finance, de fournir des preuves d'identité aux sites qui en font la demande.
Ainsi le navigateur de Chip connaît par exemple la signature de l'autorité Geotrust. Lorsque la SNCF envoie à Chip sa page de paiement, elle y joint l'équivalent d'un mot signé fourni par Geotrust qui dit en substance "ceci est bien le site voyages-sncf.com". Comme cette signature est impossible à contrefaire, il suffit de vérifier que le mot fourni par Geotrust dit exactement "ceci est bien le site voyages-sncf.com" et pas "ceci est bien le site voyage-sncf.com" (sans le 's' de 'voyages') ou encore "ceci est bien le site grosse- arnaque.com" et il n'y a plus de contrefaçons à craindre.



Dans la pratique on ne vérifie pas nous-même la signature, notre navigateur s'en charge automatiquement : lorsque le site est authentifié par une autorité de certification, c'est-à-dire lorsque le navigateur a reçu cette signature de la part de l'autorité de certification, un petit cadenas s'affiche à gauche de l'URL. Tu peux même vérifier ton navigateur à cette page, le cadenas devrait être présent (sinon, il y a un problème). Une fois qu'une autorité de certification a assuré à un navigateur utilisateur qu'il parlait bien au serveur et réciproquement, on dit que l'authentification mutuelle entre le navigateur et le serveur est assurée.

Chip est donc rassurée et peut envoyer ses informations bancaires.

Oui mais...

Et si des entités malhonnêtes essayaient quand même de lire le numéro de carte bancaire qu'elle vient d'envoyer ? Après tout. Phish est partout !

Assurer la confidentialité et l'intégrité : le travail de la cryptologie 


Le protocole HTTPS est censé garantir la confidentialité et l'intégrité des données échangées. Cette garantie repose sur l'utilisation d'outils particuliers dont on entend de plus en plus parler ces derniers temps dans l'actualité : le chiffrement et les fonctions de hachage.

Une fois que l'authentification mutuelle entre le navigateur de Chip et le serveur de la SNCF est garantie grâce à l'intervention de l'entité de certification, ceux-ci vont s'échanger une clef de chiffrement et une clef pour la fonction de hachage qu'ils seront les seuls à se partager. Sans entrer dans les détails techniques, on peut être sûrs que cet échange de clefs a bien lieu entre les deux entités concernées (et personne d'autre) parce que le protocole HTTPS fait intervenir un autre protocole dans son fonctionnement : TLS, qui est ce qu'on appelle un protocole de bout-en-bout (ou end-to-end). TLS garantit un échange sécurisé des clefs évoquées plus haut.
L'utilité desdites clefs va être détaillée plus loin, pour faire simple, voyez les comme de très grands nombres.

Chip aimerait que Phish évite d'intercepter des informations qui ne le regardent absolument pas
En effet, maintenant que Chip est sûre d'être bien connectée au site de la SNCF, elle veut être sûre que personne n'intercepte ses données pour les lire. C'est ce qu'on appelle en sécurité, la confidentialité de la communication.
Il se trouve que le chiffrement permet de rendre toute donnée chiffrée "incompréhensible" aux yeux de tous. Le navigateur de Chip va utiliser la clef de chiffrement qu'il partage avec le serveur de la SNCF pour chiffrer sa communication. Ainsi, si Phish interceptait le message comportant les coordonnées bancaires de Chip, il ne verrait qu'un goubligoulba incompréhensible qui ne donne absolument aucune information sur les coordonnées bancaires que Chip vient de transmettre. Le serveur va lui aussi recevoir cette suite de caractères incompréhensibles, mais lui possède la clef de chiffrement ! Il va donc pouvoir déchiffrer le message et lire les coordonnées bancaires de Chip.
Dans le domaine de la cryptologie, cette méthode de chiffrement est appelée chiffrement symétrique puisque le serveur de la SNCF et le navigateur possèdent et utilisent tous les deux la même clef (symétrique donc) pour chiffrer et déchiffrer des messages.

Phish pourrait aussi s'amuser à changer complètement le message que Chip souhaite faire passer.


Reste que Chip n'aimerait pas non plus que Phish change son message en cours de route. Par exemple, il serait fâcheux que Phish arrive à changer le montant qu'elle doit à la SNCF pour payer son billet. Pour éviter cela, le protocole HTTPS garantit l'intégrité des données échangées entre deux parties, c'est à dire que si un message du navigateur de Chip est lu par le serveur de la SNCF, ce dernier peut être sûr qu'il s'agit bien du message original.
Grâce à la clef de hachage échangée juste après la phase d'authentification mutuelle, le navigateur et le serveur vont utiliser des fonctions de hachage sécurisées (HMAC). A quoi servent ces fonctions ? Eh bien elles prennent en entrée une clef de hachage et un message. Elles vont alors calculer à partir de la clef et du message une valeur bien spécifique. Vois ces valeurs comme des empreintes digitales : elles sont uniques et propres à chaque message. Ainsi, chaque fois qu'un message est envoyé, le navigateur ou le serveur vont le "signer" avec cette empreinte.
Quand le serveur de la SNCF reçoit un message de la part du navigateur de Chip, il s'attend également à recevoir son empreinte hachée. Il saura lui aussi calculer l'empreinte du message qu'il vient de recevoir puisqu'il possède la clef qui a servi à la générer également. En comparant l'empreinte du message qu'il a calculée avec l'empreinte qu'il a reçu, il pourra s'assurer, si ce sont bien les mêmes, que le message provient bien du navigateur de Chip.
Si Phish voulait envoyer un message à la place de Chip, il devrait l'accompagner de l'empreinte correspondante. Mais pour calculer celle-ci, il devrait posséder la clef que se sont échangée le navigateur de Chip et le serveur de la SNCF. Ce qui n'est pas le cas.

Chip peut ainsi envoyer en toute quiétude ses coordonnées bancaires au site de la SNCF.

Le HTTPS ne fait pas tout 


Le protocole HTTPS a l'air formidable : il permet de s'assurer que l'on communique bien avec le site voulu, que personne ne puisse écouter cette communication et qu'on ne puisse pas interférer dans celle-ci ! Alors pourquoi tous les sites ne l'utilisent pas ?

Grâce au HTTPS, Chip et Chip peuvent communiquer sans craindre que Phish ne les embête.


Chip a appris à se méfier dès lors qu'on lui dit qu'un outil est parfait. Et ça tombe bien car en sécurité informatique tout est affaire de compromis.

La première limite du HTTPS concerne l'autorité de certification. Pour s'assurer qu'elle parle bien à la SNCF, Chip doit faire confiance à l'entreprise Geotrust qui garantit l'identité de la SNCF. Le protocole HTTPS n'est pas magique, il se contente de déplacer la confiance de l'utilisateur vers un petit nombre d'entités. Ces entités de confiance sont celles dont l'identité est connue du navigateur utilisé. On se rend bien compte que sans ces autorités de certification, difficile, voire impossible de garantir l'authentification mutuelle évoquée plus haut. Mais pour cela, il faut faire confiance aux entreprises qui agissent en tant qu'autorités de certification. Et ces entreprises sont, dans la plupart des cas, de droit privé. Le HTTPS ne remet pas en question la confiance accordée à ces entreprises.
De plus une autorité de certification propose un service payant, un certificat Geotrust coûte par exemple aux alentours de 250€ par an pour un service de base. Tous les sites n'auront pas intérêt à acheter une prestation qui peut s'avérer onéreuse. Heureusement, on peut souligner des initiatives comme "Let'sEncrypt", qui propose depuis 2015 une autorité de certification gratuite et libre pour les sites ne souhaitant pas dépendre d'autorités de certification privées.

La deuxième limite est liée à ce qu'apporte HTTPS : ce qui est garanti c'est uniquement que le site auquel l'utilisateur accède est bien celui qu'il prétend être. Mais un ordinateur est stupide, il peut confirmer à Chip qu'elle est bien sur le site authentifié voyagesncf.com. Si Chip voulait en fait aller sur voyages-sncf.com (avec un tiret), le navigateur n'en a aucune idée. Il convient donc à l'utilisateur de bien vérifier que l'URL du site auquel il accède est bien l'URL du site auquel il voulait accéder. Le HTTPS ne prête pas des pouvoirs de divination au navigateur.
Il arrive également que les certificats des sites auxquels un utilisateur cherche à accéder ne soient pas valides. Cela peut arriver si par exemple, le certificat a expiré ou qu'il n'est pas émis par une autorité de certification reconnue. Le navigateur préviendra alors l'utilisateur du problème et lui proposera tout de même d'accéder au site.

Mozilla signale ici que la connexion au site n'est pas certifiée.


Dans un tel cas il vaut mieux refuser. Sauf si éventuellement, on connait le site et que l'on sait qu'il gère mal ses certificats, mais nous ne le conseillons pas sur ce blog.

Enfin on trouve régulièrement des failles dans HTTPS. Les chercheurs spécialisés en sécurité informatique trouvent plusieurs attaques chaque année, attaques qui pourraient potentiellement être mises en oeuvre par des individus malveillants. Les origines de ces failles sont multiples et très difficiles à prévoir car elles ont lieu à différents niveaux.
Elles sont cependant, en général, très faciles à corriger une fois détectées (les spécialistes de la sécurité informatique qui les trouvent fournissent dans la plupart des cas la solution pour les corriger). Mais pour bénéficier de ces correctifs, il est primordial d'avoir un navigateur à jour, puisque c'est lors de la mise à jour que le "pansement" qui permet de "réparer" le dysfonctionnement détecté est envoyé. Un utilisateur qui bloquerait ces mises à jour se rendrait vulnérable aux attaques sur le HTTPS.
Mais il rendrait également vulnérables les autres internautes ! Les serveurs, pour s'assurer qu'un maximum d'utilisateurs accèdent à leurs sites et services, acceptent également les utilisateurs possédant des versions obsolètes de navigateurs. Plus ces utilisateurs sont nombreux, plus les sites sont obligés de continuer à les autoriser (dans le jargon, on parle de rétrocompatibilité). Cela fait prendre des risques à tous, car un attaquant peut alors parfois forcer un utilisateur à jour à utiliser une version ancienne et corrompue d'HTTPS.
Evidemment, les mises à jour ne doivent pas se faire que du côté des particuliers, les serveurs sont aussi tenus de les faire. Et tout le monde peut tester les sites auxquels il se connecte pour savoir s'ils ne sont pas vulnérables ! Par exemple, ce site permet à quiconque de s'assurer de la sécurité du site dont on lui donne l'URL.

Qu'attends-tu pour tester ta banque ?


Les VIII commandements pour éviter de se faire avoir



  • L'URL des sites sur lesquels tu vas, tu vérifieras.
  • Ta confiance à n'importe quel site tu n'accorderas point.
  • La connexion HTTPS tu chériras.
  • Le petit cadenas à gauche de ta barre d'adresse tu repéreras.
  • Au moindre "je comprends les risques et j'ajoute une exception" tu fuiras.
  • Ton navigateur à jour tu tiendras.
  • La mise à jour des sites sensibles auxquels tu te connectes, tu testeras.
  • Comme Chip, méfiant tu seras.

10/05/2016

Le phishing ou la pêche sauvage aux informations








Le mot “phishing” vient de la contraction de l’anglais phreaking (ancienne technique de piratage des réseaux de téléphonie, en vogue dans les années 70) et fishing (pêche). Cela consiste comme pour le spam à envoyer un email à de nombreux internautes dont on a au préalable obtenu l’adresse (il existe des programmes dont la tâche est justement de se promener sur le web pour collecter toutes les adresses qu’ils rencontrent, pour ensuite les revendre).


Contrairement à la plupart des spams cependant, l’email ainsi envoyé n’est pas une publicité. Il incite, de manière plus ou moins pernicieuse, le destinataire à saisir des informations personnelles, qui pourront par la suite s'avérer monnayables. L'argent est le principal mobile du phishing. Pour cela un attaquant peut employer des moyens détournés. Par exemple, il pourra chercher à obtenir des numéros de carte bancaire pour un profit immédiat, ou encore des mots de passe qu'il pourra par la suite revendre.
Le phishing repose sur l'attaque d'un grand nombre de personnes. En effet, avec les moyens actuels, il est aisé d'envoyer des milliers d'emails pour un coût minime. Le retour sur investissement d'une attaque massive par phishing est donc quasiment garanti. Il est facile d'imaginer que ce genre d'arnaque ne réussisse que chez les autres... C'est pourtant faux pour plusieurs raisons. Nul n'est à l'abri d'une mauvaise interprétation qui le conduirait à ne pas identifier correctement une tentative de phishing.
Pour réussir à obtenir les informations qui les intéressent, les personnes ayant recours au phishing useront de diverses techniques de manipulation que l’on regroupe sous la notion d’ingénierie sociale en sécurité informatique. Le but reste toujours le même : créer chez le destinataire un sentiment (confiance, peur, urgence, honte...) qui l’amènera à faire ce que l'on attend de lui (ici, fournir ses informations confidentielles) en endormant au mieux son esprit critique.


Anatomie du phishing à l'ancienne


L'image la plus grossière et la plus communément répandue que l'on se fait d'un message de phishing reste celle d'un email rempli de fautes de français (qui fleure bon la traduction automatique) réclamant en urgence une information sensible.
Si ce genre d'emails était effectivement monnaie courante dans les années 2000, l'efficacité croissante des barrières anti-spam tend à les maintenir hors de nos boîtes de messagerie. Malgré cela, il faut garder à l'esprit que les protections mises en place contre le phishing massif ne sont pas parfaites. Les internautes sont encore régulièrement amenés à recevoir de tels messages. Mieux vaut donc être en mesure d'identifier une menace potentielle. Heureusement, il est possible de le faire à l'aide de critères simples.

Dans les faits, lorsque l'on parle de phishing, tout email reçu est à considérer avec attention.

L'expéditeur inconnu ou suspect :

Même conseil qu'aux enfants dans la rue, ne parlez pas aux inconnus dans la rue et SURTOUT SURTOUT, n'acceptez pas ses bonbons (bonbons = argent en phishing). Certes, ce john.doe@inconnuacetteadresse.com a l'air fort sympathique mais vous ne le connaissez pas, pourquoi vous offrirait-il de l'argent ? Même remarque pour les adresses suspectes : on pourrait croire que john.doe@payypal.com travaille effectivement chez PayPal, si ce n'était pour cet "y" fourbe qui s'est faufilé dans le nom de domaine (la seconde partie de l'adresse email, après le @).
Dans tous les cas, il est conseillé de passer sa souris sur le nom de l'expéditeur du message pour avoir la véritable adresse email expéditrice du message reçu.

En passant la souris au niveau du nom de l'expéditeur, nous pouvons voir que "Ma banque" s'avère être en fait vrag@ekirana.nl. Certainement pas un organisme bancaire donc.

"Service client Fnac" avec l'adresse "service.client@fnak.com" par exemple, c'est très suspect. Quant à "Contact Impôt" avec une adresse en "polo12345@laposte.net", juste... Non.

La langue utilisée et l'orthographe :

L'analyse de la langue d'un email est probablement ce qui permet le plus rapidement de détecter une tentative de phishing. Si notre Fournisseur d'Accès Internet (FAI) français nous écrit en anglais par exemple, mieux vaut passer son chemin. De même, une "instance officielle", ou qui en a tout l'air comme "Contact Impôts", qui nous écrit avec un message dont les fautes nous arrachent les yeux, n'est pas celle qu'elle prétend être.

Des majuscules mal placées, des fautes de conjugaison et de grammaire (-er et -ez), une faute de langue et une dernière de ponctuation (":" collés sans espace après un mot, corrects chez nos amis anglophones, mais pas en français)... Cet e-mail ne provient certainement pas d'un organisme bancaire.


Ces fautes sont souvent grossières, comme si le texte était sorti d'un programme de traduction automatique (choix ou ordre des mots incorrect, mauvaise conjugaison, fautes d’accord...), et restent donc assez aisément repérables.

Ici c'est la CAF qui cherche apparemment à nous "contacter physiquement".

Le ton général du message :

Ici, il faut bien avoir à l'esprit ce que recherche la plupart des personnes ou organisations ayant recours au phishing : obtenir des informations sensibles relatives à l'utilisateur. Ces informations quelles sont-elles ? Principalement vos noms d'utilisateur et mots de passe associés ou vos informations bancaires (les 16 chiffres de votre carte bancaire et sa date d'expiration peuvent parfois être suffisants pour valider un paiement à travers certains sites). Pour les récupérer via le phishing, le ton général de l'email peut souvent endormir la vigilance de l'utilisateur et l'amener volontairement à communiquer ces informations.
Si l'expéditeur nous est par exemple inconnu mais qu'il nous parle d'un ton très familier (pour créer la proximité) mais assez générique pour être envoyé en masse, en nous gratifiant par exemple d'un simple "Salut, tu vas bien?", mieux vaut être méfiant sur la suite du message et les intentions de cette personne.
Ici, pas de familiarité, en revanche, une première lecture nous permet de voir que ce message pourrait être envoyé à tout le monde.

Toutefois, rien n'est plus efficace que la création d'un sentiment d'urgence ou de peur sur la personne pour la manipuler. Ainsi, de très nombreuses tentatives de phishing sont tournées sous forme de requête "urgente" requérant les informations sensibles mentionnées plus haut.

Une carte bleue inactive ou une tentative mesquine de nous faire cliquer sur un lien ?


Enfin, pour mieux cacher les intentions de l'expéditeur, il est fréquent que de telles demandes sensibles soient noyées au milieu d’autres sans aucune espèce d’importance (ville, pays, ...) pour une fois de plus, endormir l'attention de la personne visée.

Précisons maintenant l'un des points importants de ce billet. Jamais une instance représentante d'une organisation gouvernementale, d'une entreprise ou d'un organisme bancaire ne demandera à ses usagers la moindre de ces informations critiques par l'intermédiaire d'un simple email. Mieux vaut ignorer tout message ne respectant pas cette simple règle et le supprimer.


Les filtres anti-spam, première barrière contre le phishing


Ces dernières années toutefois, les mécanismes de protection d'email intégrés par les hébergeurs principaux de services de messagerie (comme free, gmail, laposte ...) se sont beaucoup modernisés. Les tentatives de phishing les plus "grossières" comme celles évoquées plus haut ont donc de plus en plus de mal à passer à travers les différents filtres mis en place.

Pour ce faire, les filtres anti-spam inspectent par exemple le volume d'email envoyés par un même expéditeur (qu'on appelle domaine, dans le jargon) et observent si les liens contenus dans le message sont cohérents par rapport à l'identité de l'expéditeur. Ils essaient également de repérer des anomalies ou des comportements suspects.

Imaginons, par exemple, que James Sawyer souhaite escroquer des personnes en falsifiant des demandes de recouvrement au nom d'Energie de France. Alors qu'il n'envoyait aucune lettre depuis plusieurs années, il se met soudain à en envoyer beaucoup depuis la Poste de son quartier. Ce changement drastique dans le volume d'envoi constitue un comportement suspect aux yeux des employés de la Poste qui commencent à se méfier. Pour gagner en crédibilité, James Sawyer falsifie ses enveloppes avec un logo d'EDF. Le comportement de ce particulier qui se met subitement à envoyer 500 lettres par jour au nom d'EDF depuis un bureau de Poste de quartier amène les employés à lancer l'alerte.

Pour les boîtes de messagerie, le fonctionnement est similaire.

Ici c'est la Poste qui va observer ce comportement suspect et va potentiellement agir pour protéger les destinataires des envois. Pour les emails, c'est l'hébergeur (gmail, yahoo, hotmail...) qui prendra cette responsabilité. L'efficacité de ce type de filtre permet d'effectuer un premier nettoyage de nos boîtes aux lettres, mais ils sont faillibles et laisseront passer les tentatives de phishing les plus élaborées, plus subtiles à détecter.


La modernisation du phishing


Ces dernières années, la physionomie du phishing a considérablement changé. Profitant notamment du nombre conséquent d'informations personnelles que nous partageons sur Internet, les tentatives de phishing deviennent de plus en plus personnalisées. Par ailleurs, elles ne se font plus nécessairement dans le corps du message mais via un site dédié.
Il est devenu plus difficile et donc d'autant plus important d'apprendre à détecter un email suspect. Un exemple simple : un email commençant par "Bonjour Monsieur John Doe" afin de donner une impression de proximité, nous paraîtra plus légitime qu'un simple "Bonjour Monsieur".
Au delà de cela, on peut aussi observer la tendance qu'ont les créateurs de phishing d'utiliser les réseaux sociaux pour se rapprocher de leurs victimes en incorporant des données personnelles dans les emails (date de naissance, lieu de vie, centres d’intérêts pour mieux cerner la victime potentielle...). Les nouvelles tentatives de phishing ne sont d'ailleurs plus forcément limitées à la demande but en blanc d'informations confidentielles. En effet, parfois il suffit de cliquer sur un lien fourni pour donner à quelqu'un les moyens d'obtenir ces informations par lui-même (cela passe souvent par une infection de l'ordinateur ou du navigateur de la victime).

Voilà pourquoi il est bon de ne pas se fier aux liens contenus dans les emails et de toujours vérifier qu’ils mènent bien là où ils sont supposés nous mener. Ainsi le lien google.com ne pointe pas vers Google mais vers une vidéo qui se trouve pourtant à l’adresse suivante : https://www.youtube.com/watch?v=anwy2MPT5RE. Comment ne pas se faire avoir ? Positionnez le curseur de la souris au dessus du lien sans cliquer. Observez en bas à gauche de l’écran : l’adresse de la cible du lien apparaîtra, il ne vous reste plus qu’à vérifier que les deux correspondent.
Ce lien ne renvoie a priori pas sur une page dépendante de Fortuneo.

C'est un geste simple qui, même si il n'est pas usuel, finit par devenir un réflexe. Dans le doute ne cliquez pas sur le lien, surtout s'il s'agit d'un lien raccourci (un peu comme celui-ci, sur lequel vous pouvez cliquer en toute confiance https://goo.gl/2PZabJ) et utilisez un autre moyen pour vous connecter au site indiqué. Ainsi par exemple lorsque l’on reçoit un email contenant un lien vers le site de la SNCF, il est préférable de ne pas s’y fier et d’utiliser à la place un moteur de recherche, qui lui vous emmènera à coup sûr sur le vrai site de la SNCF. Par ailleurs, le phishing se détache aussi de l'email pour s'étendre sur de nouveaux supports notamment Facebook, Twitter ou encore les SMS. Avec la popularité grandissante des smartphones, on peut citer l'exemple du SMiShing, le pendant version SMS du phishing utlisant l'email : le SMS reçu d'apparence légitime contient un lien vers un site Internet qu'il faut visiter pour par exemple obtenir un bon d'achat sur nos prochaines courses, annuler une commande qui n'a jamais été passée etc... Au moindre doute, il est plus prudent de ne pas cliquer sur les liens dans les SMS car les mécanismes de protection sont moins évolués sur ces nouvelles technologies.

Autre vecteur d'attaques que l'on peut signaler: les emails contenant quasi uniquement des images remplaçant le texte. Les images sont en effet plus difficile à analyser et donc à filtrer que le texte, et l'on peut parfois ne pas faire immédiatement la distinction entre une image et un texte.
Heureusement encore une fois, un geste simple permet de détecter cela : le clic droit. Si en faisant cela en plein corps du message, l'option "Enregistrer l'image sous" apparaît, c'est à une image que l'on a affaire et non un texte. On peut également tenter de sélectionner un ou deux mots dans le texte, si ce n'est pas possible, c'est une image. Cependant, mieux vaut être prudent, car une image peut cacher un lien qui pourrait s'avérer malveillant.


Enfin, la vigilance est de mise sur les réseaux sociaux. Sur Twitter ou Facebook, en profitant du piratage du compte d'une connaissance, un escroc peut se faire passer pour cette dernière, et peut tenter de récupérer des données ou bien de l'argent en prétextant un gros soucis (vol de portefeuille en vacances, la personne a besoin de sous pour rentrer chez elle et cela doit passer par un mandat, comme les mandat cash Western Union qui sont impossibles à tracer et donc à contester). Ces tentatives font appel à notre empathie et il peut être difficile de rester rationnel face à une telle demande provenant d'une personne proche. Il est alors recommandé de contacter la personne concernée par un moyen de communication tiers (par exemple en l'appelant) pour vérifier si le souci est réel ou non.

Les X commandements pour éviter de se faire avoir


  • L'Académie Française tu chériras, éloigné des emails remplis de fautes tu resteras
  • Mots de passe et coordonnées bancaires tu ne transmettras pas.
  • En des expéditeurs farfelus, confiance tu n'auras point.
  • Mots de passe et coordonnées bancaires tu ne transmettras pas.
  • Sur les liens et pièces jointes de messages suspects, tu ne cliqueras point.
  • Mots de passe et coordonnées bancaires tu ne transmettras pas.
  • À la panique tu ne céderas point.
  • Mots de passe et coordonnées bancaires tu ne transmettras pas.
  • Vigilant et alerte, tu vaincras.
  • MOTS DE PASSE ET COORDONNÉES BANCAIRES TU NE TRANSMETTRAS PAS.