Qu’est-ce que l’hameçonnage ?

L’hameçonnage (ou phishing) est un type de fraude sur Internet visant à obtenir par tromperie des informations sur les destinataires. Cela inclut le vol de mots de passe, de numéros de carte de crédit et d’autres données confidentielles.

Les messages d’hameçonnage revêtent généralement la forme de notifications envoyées par des banques, des fournisseurs, des systèmes de paiement en ligne ou d’autres organismes. La notification va inciter le destinataire, pour une raison ou pour une autre, à saisir ou à mettre à jour d’urgence ses données personnelles, les causes invoquées étant souvent liées à une perte de données, à une panne du système, etc.

Les attaques d’hameçonnage sont de plus en plus poussées en termes d’ingénierie sociale. Dans la plupart des cas, les escrocs tentent d’effrayer le destinataire en invoquant une raison importante qui obligerait ce dernier à dévoiler ses données personnelles. Un message d’hameçonnage comporte souvent la menace de bloquer un compte appartenant au destinataire si celui-ci ne suit pas les instructions fournies. Par exemple, « si vous ne nous communiquez pas vos données personnelles afin la fin de la semaine, votre compte sera bloqué ». Paradoxalement, il n’est pas rare que les hameçonneurs mentionnent, parmi les raisons données au destinataire pour l’inciter à divulguer ses données personnelles, le besoin d’améliorer les systèmes anti-hameçonnage. L’une des ruses les plus fréquemment utilisées est la suivante : « Si vous voulez vous protéger contre l’hameçonnage, veuillez cliquer sur le lien et entrer votre nom et mot de passe ».

phish_01
Image 1. Exemple de message d’hameçonnage, prétendument envoyé par la National Credit Union Administration, demandant de cliquer sur un lien et de mettre à jour les données de l’utilisateur.

En moyenne, la durée de vie d’un site d’hameçonnage est de 5 jours. Les filtres anti-hameçonnage reçoivent rapidement l’information d’une nouvelle menace. Par conséquent, les hameçonneurs doivent constamment créer de nouveaux sites qui imitent de manière crédible les sites officiels de différents organismes.

Pour entrer sur un faux site, l’utilisateur doit saisir ses identifiants, et c’est précisément ce que cherchent à obtenir les hameçonneurs. Une fois que les escrocs ont accès à la boîte mail ou au compte bancaire de l’utilisateur, ils sont confrontés au problème de soutirer l’argent de leur victime sans laisser de trace, ce qui n’est pas une mince affaire. Si une personne impliquée dans ces affaires illégales se fait prendre par les forces de l’ordre, elle sera certainement poursuivie en justice. C’est pourquoi les hameçonneurs vendent les données volées à d’autres escrocs qui ont déjà prévu des combines pour retirer directement l’argent des comptes bancaires.

Les banques, les systèmes de paiement en ligne et les sites de vente aux enchères sur Internet constituent les principales cibles des hameçonneurs, ce qui montre bien que les escrocs s’intéressent essentiellement aux données personnelles qui permettent d’accéder à de l’argent. Le vol des données de mail est aussi très populaire car ces informations peuvent être revendues à ceux qui diffusent des virus ou créent des réseaux de machines zombies.

La « qualité » des messages d’hameçonnage est généralement élevée. Un faux site imite normalement à la perfection un site original, de sorte qu’un utilisateur ne va rien suspecter d’anormal lorsqu’il va saisir son nom d’utilisateur et son mot de passe pour accéder au site.

Une autre technique d’hameçonnage consiste à utiliser des liens similaires aux URL de sites réels. Cette technique vise à piéger les utilisateurs les moins expérimentés. En effet, un utilisateur attentif va se rendre compte que le lien indiqué dans la ligne de commande du navigateur est différent de celui du site légitime. Ces liens peuvent commencer par une adresse IP, alors que les grandes entreprises n’utilisent habituellement plus ce genre de liens.

En tant que tel, une URL d’hameçonnage ressemble énormément à celle d’une véritable entreprise. Les escrocs peuvent ajouter quelques mots supplémentaires au nom de l’URL original (par exemple, www.login-examplebank.com au lieu de www.examplebank.com). Autrement, ils peuvent utiliser des points ou des tirets à la des barres obliques (par exemple, www.examplebank.com.personal.login ou www.examplebank.com-personal.login au lieu de www.examplebank.com/personal/login).

phish_02
Image 2. Exemple d’un message d’hameçonnage (imitation d’une notification du site eBay) contenant plusieurs liens, dont l’un mène vers un site d’hameçonnage.

Le corps du texte d’un message semble contenir un lien vers un site légitime, mais l’URL peut en réalité être différente. La vigilance d’un utilisateur peut être endormie du fait de la présence de quelques liens supplémentaires vers le site officiel. Cependant, le lien principal, pour lequel l’utilisateur doit entrer son nom et son mot de passe, mène vers un faux site.

Parfois, il est demandé à un utilisateur de saisir ses coordonnées bancaires sur la même page que le message lui-même. Tout le monde devrait savoir qu’en aucun cas une banque légitime, ou un organisme similaire, ne demanderait à un utilisateur de réaliser une telle action.

phish_03
Image 3. Exemple de message d’hameçonnage imitant une notification de la banque Barclays et demandant à l’utilisateur de saisir ses coordonnées bancaires sur la même page que le message.

Les pirates sont constamment en train d’améliorer leurs technologies, ce qui a permis à une nouvelle tendance d’émerger, à savoir le « pharming ». Ce type de fraude sur Internet vise également à accéder aux identifiants (noms d’utilisateur et mots de passe). Contrairement aux hameçonneurs, qui utilisent les e-mails pour parvenir à leurs fins, les « pharmeurs » obtiennent les identifiants via des sites Web officiels. Ils redirigent les utilisateurs vers de faux sites Web, en remplaçant les adresses des sites Web légitimes sur les serveurs DNS par de fausses. Le « pharming » est une menace encore plus sérieuse car il presque impossible pour l’utilisateur de se rendre compte qu’il se fait pirater.

Les sites les plus visés par les attaques d’hameçonnage sont ceux d’eBay et de PayPal. Ensuite arrivent ceux des banques dans le monde entier. Les attaques d’hameçonnage peuvent se dérouler de manière aléatoire ou ciblée. Dans le premier cas, les attaques aléatoires visent les sites les plus populaires, comme eBay, car il est fortement probable que le destinataire y possède un compte. Dans le second cas, les escrocs vérifient d’abord que l’utilisateur ait un compte dans une banque, dans un système de paiement en ligne ou chez un fournisseur précis. Cette méthode est plus compliquée et plus coûteuse pour les hameçonneurs, mais la probabilité qu’une victime morde à l’hameçon est également plus élevée.

phish_04
Image 4. Exemple d’un message d’hameçonnage imitant une notification du système très populaire PayPal.

Le vol d’identifiants n’est pas la seule menace que présente un lien d’hameçonnage. En effet, ce dernier peut mener à l’installation d’un logiciel espion, un enregistreur de frappe ou un cheval de Troie. Par conséquent, même si l’utilisateur ne possède pas de compte sur le site visé par les pirates, il n’est pas non plus complètement à l’abri.

Selon Gartner, aux Etats-Unis, une victime d’hameçonnage perdait en moyenne 1 244 $ en 2006, contre 257 $ en 2005. Ces chiffres illustrent le succès incroyable que remportent les pirates. Cependant, en Russie, la situation n’est pas la même. Les sites Web qui utilisent des systèmes de paiement en ligne ne sont pas aussi populaires qu’en Occident, ce qui fait que les dommages provoqués par l’hameçonnage ne sont pas aussi grands. Lorsque les systèmes de paiement en ligne seront plus répandus en Russie, la part des e-mails d’hameçonnage par rapport au volume total du trafic des e-mails augmentera, ce qui donnera lieu à des niveaux de fraude plus élevés. Pour le moment, ce problème n’est pas très important en Russie, mais il faut déjà commencer à s’y préparer.

Le succès de l’hameçonnage dépend en grande partie du peu de connaissances que possède l’utilisateur sur les entreprises ciblées par les hameçonneurs. Beaucoup de sites légitimes émettent des messages d’alerte expliquant qu’ils ne demanderont en aucun cas aux utilisateurs d’envoyer leurs coordonnées bancaires par message. Malgré ce fait, les utilisateurs continuent d’envoyer leurs mots de passe aux pirates. C’est pour cette raison qu’il y a quelques années, un Groupe de travail anti-hameçonnage (APWG) a été créé, réunissant à la fois les entreprises visées par les hameçonneurs et les vendeurs de softwares anti-phishing et anti-spam. Le groupe de travail a tenu des sessions d’information afin d’essayer d’instruire les utilisateurs sur ce problème. En outre, les membres du Groupe de travail font circuler entre eux des informations relatives à de nouveaux sites d’hameçonnage ou à de nouvelles menaces. Actuellement, le Groupe de travail compte 2 500 membres, incluant des banques internationales et des entreprises leaders de TI. D’après des prévisions optimistes, les utilisateurs deviendront prochainement aussi vigilants avec les sites d’hameçonnage qu’ils ont appris à l’être avec les messages envoyés par des inconnus et contenant des pièces jointes. Entre temps, les filtres de spam restent la première défense contre les attaques d’hameçonnage.