Menu Contact Forum DonEnglish Deutsch 

L'hameçonnage ou filoutage (phishing)

   L'hameçonnage ou filoutage (phishing) est une technique de dissimulation d'adresse URL utilisée malhonnêtement pour tromper les internautes : un pirate usurpant une identité envoie un courriel d'allure authentique afin que son destinataire livre de manière consentante ses données personnelles. Par exemple, le lien piégé inclus dans le courriel invite les internautes à mettre à jour leurs coordonnées. Le lien conduit sur un site pirate qui reproduit le site originel, tel celui d'une banque, d'une messagerie ou d'un autre site connu. L'internaute, trompé à la fois par l'adresse et la page, se croit connecté à un site de confiance et n'hésite alors pas à délivrer des informations confidentielles (mot de passe, date de naissance, numéro de carte de crédit, de compte bancaire ou de sécurité sociale, etc.).
   Par exemple, en octobre 2009, plus de 10 000 comptes de messagerie Microsoft (hotmail.com, live.com, msn.com) ont été piratés. Selon Microsoft, ce piratage d'envergure n'aurait pas résulté d'une faille de sécurité interne mais d'une attaque massive par hameçonnage destinée à récupérer les mots de passe. Pour ce faire, le pirate met à profit des possibilités de codage d'adresse et des vulnérabilités informatiques, notamment une faiblesse du protocole http et une faille de sécurité de certains navigateurs :

  • le protocole http permet d'accéder à une page protégée en intégrant le nom de compte et le mot de passe dans une adresse : par exemple, http://utilisateur:mot_de_passe@www.site.com. Si ladite page n'est pas protégée, seule l'adresse http://www.site.com est prise en compte. On peut aisément détourner cette possibilité pour créer des redirections de son choix : par exemple, l'adresse http://www.mabanque.fr@confirmation.org pointe vers confirmation.org et non vers mabanque.fr !

  • l'adresse du faux site peut être masquée en utilisant des codes réservés tels que %00 ou %01, de sorte que la tromperie devient difficile à mettre en évidence, même par un internaute expérimenté. Ainsi, le lien http://fr.wikipedia.org%00@confirmation.org, affiché comme http://fr.wikipedia.org, fait croire à l'internaute qu'il renvoie vers wikipedia.org, alors qu'il renvoie vers confirmation.org. Cette vulnérabilité n'affecte pas tous les navigateurs ;

  • de plus, on peut obscurcir l'adresse URL en la remplaçant par l'adresse IP correspondante (une adresse numérique du style 123.45.67.89). La supercherie est encore moins visible, même si un simple reverse DNS lookup permet de retrouver l'adresse URL. Par exemple, l'adresse http://www.mabanque.fr%00@212.85.150.132, affichée trompeusement comme http://www.mabanque.fr, peut diriger le chaland vers un simulacre du site www.mabanque.fr et sur lequel l'internaute piégé essaiera de se connecter en fournissant ses codes d'accès ou sera invité à confirmer son mot de passe ou son numéro de carte bancaire. En fait, le lien ne dirige par vers mabanque.fr, mais vers 212.85.150.132 !

  • enfin, il existe des possibilités d'obscurcir l'adresse IP elle-même en la codant en octal ou en hexadécimal : reconnaissez que http://www.mabanque.fr%00@%32%31%32%2E%38%35%2E%31%35%30%2E%31%33%32 ne brille pas vraiment par sa limpidité !

   En 2006, une étude réalisée par trois étudiants des universités d'Harvard et de Berkeley, a montré que les internautes sont généralement incapables de différencier un courriel légitime d'un courriel frauduleux : 91 % des internautes n'ont ainsi pas remarqué qu'une version frauduleuse du site de la Bank of the West était écrit bankofthevvest.com et non bankofthewest.com. L'étude a également montré que les internautes pensaient qu'un site Internet dont l'adresse est ebay-members-security.com a nécessairement un lien avec le site d'eBay (ebay.com), ce qui n'est évidemment pas le cas.
   En 2007, selon le cabinet Gartner, près de quatre millions d'internautes ont fait l'objet d'attaques de phishing aux États-Unis, le préjudice étant évalué à trois milliards de dollars. Selon Phishtank, les dix sites les plus ciblés ont été : PayPal, eBay, Barclays Bank, Bank of America Corporation, Fifht Third Bank, JPMorgan Chase & Co, Wells Fargo, Volksbanken Raiffeisenbanken, Branch Banking and Trust Company et Regions Bank.

Le hameçonnage dans le monde
Les sites de hameçonnage dans le monde (Microsoft, 2011)

   Parmi les entreprises les plus ciblées en 2012, on trouve TAM Fidelidade, AOL, PayPal, Cielo, Bradesco, Sulake Corporation et de nombreux réseaux sociaux comme Facebook, Google, Twitter et World of Warcraft.
   Selon Kaspersky, la France a subi environ 3 000 attaques de hameçonnage par jour en 2013, ce qui la place en septième position dans le monde, derrière la Russie, les États-Unis, l'Inde, l'Allemagne, le Viêt-nam et le Royaume-Uni. Les premiers sites visés sont Google, Facebook et La Poste. Dans le monde, 37 millions d'utilisateurs ont subi de telles attaques, dont la majorité se fait maintenant directement sur Internet : les adresses des sites piégés sont diffusées par des bannières, dans des blogs, dans des forums ou sur des réseaux sociaux. Le hameçonnage et les pourriels représentent respectivement 5,6 % et 67,6 % de l'ensemble du trafic des courriels (Kaspersky Lab, octobre 2013).
   Les navigateurs Mozilla (Firefox, Netscape) disposent d'une protection contre le phishing et une boîte d'alerte attire votre attention sur la tromperie et vous demande confirmation avant de vous rendre sur le site.

Exemple de tentative d'escroquerie par hameçonnage au détriment du fournisseur d'accès Internet Free (2011)
Hammeçonnage 1Le courriel reçu est trompeur : le lien affiche bien free.fr mais pointe vers osc4system.com !
Hammeçonnage 2Ouf ! La falsification a été signalée et un bon navigateur (Firefox) donne l'alerte. Le site est dangereux : n'y allez pas.
Hammeçonnage 3Aïe ! La fraude n'est pas encore révélée. Vous croyez être sur free.fr et vous identifiez en toute confiance.
Hammeçonnage 4Le site demande votre identité : des informations personnelles sont divulguées et enregistrées par les pirates.
Hammeçonnage 5On demande vos coordonnées bancaires Aïe, aïe, aïe ! Pauvre de vous si vous continuez...
Hammeçonnage 6Finalement, le site vous renvoie vers free.fr Vous ne vous êtes rendu compte de rien mais vous risquez de le sentir...

   Cet exemple montre qu'on peut facilement se méprendre si le message semble provenir d'une source habituelle (ici, son fournisseur d'accès à Internet). Il n'est pas évident de faire attention à la différence d'adresse vers laquelle pointe le lien. Bien que le pourriel présenté soit plutôt bien fait, la non-accentuation des lettres (« prelevement », « acces a », « a tres bientot »...), laisse penser qu'il émane d'anglophones, ce que j'ai vérifié (le serveur d'hameçonnage était en effet aux États-Unis). Évidemment, si vous êtes habitué(e) aux SMS, vous ne prêterez pas attention à de telles subtilités typographiques, quand bien même l'orthographe, la grammaire et la syntaxe seraient malmenées. Inutile de venir vous plaindre en cas de dol : retournez plutôt à l'école !

Airelle

[ Retour ]