Le mot “phishing” vient de la contraction de l’anglais phreaking (ancienne technique de piratage des réseaux de téléphonie, en vogue dans les années 70) et fishing (pêche). Cela consiste comme pour le spam à envoyer un email à de nombreux internautes dont on a au préalable obtenu l’adresse (il existe des programmes dont la tâche est justement de se promener sur le web pour collecter toutes les adresses qu’ils rencontrent, pour ensuite les revendre).
Contrairement à la plupart des spams cependant, l’email ainsi envoyé n’est pas une publicité. Il incite, de manière plus ou moins pernicieuse, le destinataire à saisir des informations personnelles, qui pourront par la suite s'avérer monnayables. L'argent est le principal mobile du phishing. Pour cela un attaquant peut employer des moyens détournés. Par exemple, il pourra chercher à obtenir des numéros de carte bancaire pour un profit immédiat, ou encore des mots de passe qu'il pourra par la suite revendre.
Le phishing repose sur l'attaque d'un grand nombre de personnes. En effet, avec les moyens actuels, il est aisé d'envoyer des milliers d'emails pour un coût minime. Le retour sur investissement d'une attaque massive par phishing est donc quasiment garanti. Il est facile d'imaginer que ce genre d'arnaque ne réussisse que chez les autres... C'est pourtant faux pour plusieurs raisons. Nul n'est à l'abri d'une mauvaise interprétation qui le conduirait à ne pas identifier correctement une tentative de phishing.
Pour réussir à obtenir les informations qui les intéressent, les personnes ayant recours au phishing useront de diverses techniques de manipulation que l’on regroupe sous la notion d’ingénierie sociale en sécurité informatique. Le but reste toujours le même : créer chez le destinataire un sentiment (confiance, peur, urgence, honte...) qui l’amènera à faire ce que l'on attend de lui (ici, fournir ses informations confidentielles) en endormant au mieux son esprit critique.
Anatomie du phishing à l'ancienne
L'image la plus grossière et la plus communément répandue que l'on se fait d'un message de phishing reste celle d'un email rempli de fautes de français (qui fleure bon la traduction automatique) réclamant en urgence une information sensible.
Si ce genre d'emails était effectivement monnaie courante dans les années 2000, l'efficacité croissante des barrières anti-spam tend à les maintenir hors de nos boîtes de messagerie. Malgré cela, il faut garder à l'esprit que les protections mises en place contre le phishing massif ne sont pas parfaites. Les internautes sont encore régulièrement amenés à recevoir de tels messages. Mieux vaut donc être en mesure d'identifier une menace potentielle. Heureusement, il est possible de le faire à l'aide de critères simples.
Dans les faits, lorsque l'on parle de phishing, tout email reçu est à considérer avec attention.
L'expéditeur inconnu ou suspect :
Même conseil qu'aux enfants dans la rue, ne parlez pas aux inconnus dans la rue et SURTOUT SURTOUT, n'acceptez pas ses bonbons (bonbons = argent en phishing). Certes, ce john.doe@inconnuacetteadresse.com a l'air fort sympathique mais vous ne le connaissez pas, pourquoi vous offrirait-il de l'argent ? Même remarque pour les adresses suspectes : on pourrait croire que john.doe@payypal.com travaille effectivement chez PayPal, si ce n'était pour cet "y" fourbe qui s'est faufilé dans le nom de domaine (la seconde partie de l'adresse email, après le @).
Dans tous les cas, il est conseillé de passer sa souris sur le nom de l'expéditeur du message pour avoir la véritable adresse email expéditrice du message reçu.
 |
| En passant la souris au niveau du nom de l'expéditeur, nous pouvons voir que "Ma banque" s'avère être en fait vrag@ekirana.nl. Certainement pas un organisme bancaire donc. |
La langue utilisée et l'orthographe :
L'analyse de la langue d'un email est probablement ce qui permet le plus rapidement de détecter une tentative de phishing. Si notre Fournisseur d'Accès Internet (FAI) français nous écrit en anglais par exemple, mieux vaut passer son chemin. De même, une "instance officielle", ou qui en a tout l'air comme "Contact Impôts", qui nous écrit avec un message dont les fautes nous arrachent les yeux, n'est pas celle qu'elle prétend être.
 |
| Des majuscules mal placées, des fautes de conjugaison et de grammaire (-er et -ez), une faute de langue et une dernière de ponctuation (":" collés sans espace après un mot, corrects chez nos amis anglophones, mais pas en français)... Cet e-mail ne provient certainement pas d'un organisme bancaire. |
Ces fautes sont souvent grossières, comme si le texte était sorti d'un programme de traduction automatique (choix ou ordre des mots incorrect, mauvaise conjugaison, fautes d’accord...), et restent donc assez aisément repérables.
 |
| Ici c'est la CAF qui cherche apparemment à nous "contacter physiquement". |
Le ton général du message :
Ici, il faut bien avoir à l'esprit ce que recherche la plupart des personnes ou organisations ayant recours au phishing : obtenir des informations sensibles relatives à l'utilisateur. Ces informations quelles sont-elles ? Principalement vos noms d'utilisateur et mots de passe associés ou vos informations bancaires (les 16 chiffres de votre carte bancaire et sa date d'expiration peuvent parfois être suffisants pour valider un paiement à travers certains sites). Pour les récupérer via le phishing, le ton général de l'email peut souvent endormir la vigilance de l'utilisateur et l'amener volontairement à communiquer ces informations.
Si l'expéditeur nous est par exemple inconnu mais qu'il nous parle d'un ton très familier (pour créer la proximité) mais assez générique pour être envoyé en masse, en nous gratifiant par exemple d'un simple "Salut, tu vas bien?", mieux vaut être méfiant sur la suite du message et les intentions de cette personne.
 |
| Ici, pas de familiarité, en revanche, une première lecture nous permet de voir que ce message pourrait être envoyé à tout le monde. |
Toutefois, rien n'est plus efficace que la création d'un sentiment d'urgence ou de peur sur la personne pour la manipuler. Ainsi, de très nombreuses tentatives de phishing sont tournées sous forme de requête "urgente" requérant les informations sensibles mentionnées plus haut.
 |
| Une carte bleue inactive ou une tentative mesquine de nous faire cliquer sur un lien ? |
Enfin, pour mieux cacher les intentions de l'expéditeur, il est fréquent que de telles demandes sensibles soient noyées au milieu d’autres sans aucune espèce d’importance (ville, pays, ...) pour une fois de plus, endormir l'attention de la personne visée.
Précisons maintenant l'un des points importants de ce billet. Jamais une instance représentante d'une organisation gouvernementale, d'une entreprise ou d'un organisme bancaire ne demandera à ses usagers la moindre de ces informations critiques par l'intermédiaire d'un simple email. Mieux vaut ignorer tout message ne respectant pas cette simple règle et le supprimer.
Les filtres anti-spam, première barrière contre le phishing
Ces dernières années toutefois, les mécanismes de protection d'email intégrés par les hébergeurs principaux de services de messagerie (comme free, gmail, laposte ...) se sont beaucoup modernisés. Les tentatives de phishing les plus "grossières" comme celles évoquées plus haut ont donc de plus en plus de mal à passer à travers les différents filtres mis en place.
Pour ce faire, les filtres anti-spam inspectent par exemple le volume d'email envoyés par un même expéditeur (qu'on appelle domaine, dans le jargon) et observent si les liens contenus dans le message sont cohérents par rapport à l'identité de l'expéditeur. Ils essaient également de repérer des anomalies ou des comportements suspects.
Imaginons, par exemple, que James Sawyer souhaite escroquer des personnes en falsifiant des demandes de recouvrement au nom d'Energie de France. Alors qu'il n'envoyait aucune lettre depuis plusieurs années, il se met soudain à en envoyer beaucoup depuis la Poste de son quartier. Ce changement drastique dans le volume d'envoi constitue un comportement suspect aux yeux des employés de la Poste qui commencent à se méfier. Pour gagner en crédibilité, James Sawyer falsifie ses enveloppes avec un logo d'EDF. Le comportement de ce particulier qui se met subitement à envoyer 500 lettres par jour au nom d'EDF depuis un bureau de Poste de quartier amène les employés à lancer l'alerte.
Pour les boîtes de messagerie, le fonctionnement est similaire.
Ici c'est la Poste qui va observer ce comportement suspect et va potentiellement agir pour protéger les destinataires des envois. Pour les emails, c'est l'hébergeur (gmail, yahoo, hotmail...) qui prendra cette responsabilité. L'efficacité de ce type de filtre permet d'effectuer un premier nettoyage de nos boîtes aux lettres, mais ils sont faillibles et laisseront passer les tentatives de phishing les plus élaborées, plus subtiles à détecter.
La modernisation du phishing
Ces dernières années, la physionomie du phishing a considérablement changé. Profitant notamment du nombre conséquent d'informations personnelles que nous partageons sur Internet, les tentatives de phishing deviennent de plus en plus personnalisées. Par ailleurs, elles ne se font plus nécessairement dans le corps du message mais via un site dédié.
Il est devenu plus difficile et donc d'autant plus important d'apprendre à détecter un email suspect. Un exemple simple : un email commençant par "Bonjour Monsieur John Doe" afin de donner une impression de proximité, nous paraîtra plus légitime qu'un simple "Bonjour Monsieur".
Au delà de cela, on peut aussi observer la tendance qu'ont les créateurs de phishing d'utiliser les réseaux sociaux pour se rapprocher de leurs victimes en incorporant des données personnelles dans les emails (date de naissance, lieu de vie, centres d’intérêts pour mieux cerner la victime potentielle...). Les nouvelles tentatives de phishing ne sont d'ailleurs plus forcément limitées à la demande but en blanc d'informations confidentielles. En effet, parfois il suffit de cliquer sur un lien fourni pour donner à quelqu'un les moyens d'obtenir ces informations par lui-même (cela passe souvent par une infection de l'ordinateur ou du navigateur de la victime).
Voilà pourquoi il est bon de ne pas se fier aux liens contenus dans les emails et de toujours vérifier qu’ils mènent bien là où ils sont supposés nous mener. Ainsi le lien google.com ne pointe pas vers Google mais vers une vidéo qui se trouve pourtant à l’adresse suivante : https://www.youtube.com/watch?v=anwy2MPT5RE. Comment ne pas se faire avoir ? Positionnez le curseur de la souris au dessus du lien sans cliquer. Observez en bas à gauche de l’écran : l’adresse de la cible du lien apparaîtra, il ne vous reste plus qu’à vérifier que les deux correspondent.
 |
| Ce lien ne renvoie a priori pas sur une page dépendante de Fortuneo. |
C'est un geste simple qui, même si il n'est pas usuel, finit par devenir un réflexe. Dans le doute ne cliquez pas sur le lien, surtout s'il s'agit d'un lien raccourci (un peu comme celui-ci, sur lequel vous pouvez cliquer en toute confiance https://goo.gl/2PZabJ) et utilisez un autre moyen pour vous connecter au site indiqué. Ainsi par exemple lorsque l’on reçoit un email contenant un lien vers le site de la SNCF, il est préférable de ne pas s’y fier et d’utiliser à la place un moteur de recherche, qui lui vous emmènera à coup sûr sur le vrai site de la SNCF. Par ailleurs, le phishing se détache aussi de l'email pour s'étendre sur de nouveaux supports notamment Facebook, Twitter ou encore les SMS. Avec la popularité grandissante des smartphones, on peut citer l'exemple du SMiShing, le pendant version SMS du phishing utlisant l'email : le SMS reçu d'apparence légitime contient un lien vers un site Internet qu'il faut visiter pour par exemple obtenir un bon d'achat sur nos prochaines courses, annuler une commande qui n'a jamais été passée etc... Au moindre doute, il est plus prudent de ne pas cliquer sur les liens dans les SMS car les mécanismes de protection sont moins évolués sur ces nouvelles technologies.
Autre vecteur d'attaques que l'on peut signaler: les emails contenant quasi uniquement des images remplaçant le texte. Les images sont en effet plus difficile à analyser et donc à filtrer que le texte, et l'on peut parfois ne pas faire immédiatement la distinction entre une image et un texte.
Heureusement encore une fois, un geste simple permet de détecter cela : le clic droit. Si en faisant cela en plein corps du message, l'option "Enregistrer l'image sous" apparaît, c'est à une image que l'on a affaire et non un texte. On peut également tenter de sélectionner un ou deux mots dans le texte, si ce n'est pas possible, c'est une image. Cependant, mieux vaut être prudent, car une image peut cacher un lien qui pourrait s'avérer malveillant.
Enfin, la vigilance est de mise sur les réseaux sociaux. Sur Twitter ou Facebook, en profitant du piratage du compte d'une connaissance, un escroc peut se faire passer pour cette dernière, et peut tenter de récupérer des données ou bien de l'argent en prétextant un gros soucis (vol de portefeuille en vacances, la personne a besoin de sous pour rentrer chez elle et cela doit passer par un mandat, comme les mandat cash Western Union qui sont impossibles à tracer et donc à contester). Ces tentatives font appel à notre empathie et il peut être difficile de rester rationnel face à une telle demande provenant d'une personne proche. Il est alors recommandé de contacter la personne concernée par un moyen de communication tiers (par exemple en l'appelant) pour vérifier si le souci est réel ou non.
Les X commandements pour éviter de se faire avoir
- L'Académie Française tu chériras, éloigné des emails remplis de fautes tu resteras
- Mots de passe et coordonnées bancaires tu ne transmettras pas.
- En des expéditeurs farfelus, confiance tu n'auras point.
- Mots de passe et coordonnées bancaires tu ne transmettras pas.
- Sur les liens et pièces jointes de messages suspects, tu ne cliqueras point.
- Mots de passe et coordonnées bancaires tu ne transmettras pas.
- À la panique tu ne céderas point.
- Mots de passe et coordonnées bancaires tu ne transmettras pas.
- Vigilant et alerte, tu vaincras.
- MOTS DE PASSE ET COORDONNÉES BANCAIRES TU NE TRANSMETTRAS PAS.
Aucun commentaire:
Enregistrer un commentaire