Hameçonnage

Hameçonnage
Exemple de phishing

Le hameçonnage, ou phishing, et rarement filoutage[1], est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. Elle peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques.

Sommaire

Terminologie

« Hameçonnage » est un néologisme québécois créé en avril 2004 par l'Office québécois de la langue française[2]. En France, la Commission générale de terminologie et de néologie a choisi « filoutage » en 2006[1].

Le terme phishing est une variante orthographique du mot anglais fishing[3], il s'agit d'une variation orthographique du même type que le terme phreaking (f remplacé par ph). Il aurait été inventé par les « pirates » qui essayaient de voler des comptes AOL et serait construit sur l'expression anglaise password harvesting fishing, soit « pêche aux mots de passe »[réf. nécessaire] : un attaquant se faisait passer pour un membre de l'équipe AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, « vérifier son compte AOL » ou « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser à des fins malveillantes, comme l'envoi de spam.

Sur Internet

Les criminels informatiques utilisent généralement le hameçonnage pour voler de l'argent. Les cibles les plus courantes sont les services bancaires en ligne, les fournisseurs d'accès Internet et les sites de ventes aux enchères tels qu'eBay et Paypal. Les adeptes du hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles.

Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page falsifiée, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel.

En 2007, ces criminels informatiques ont changé de technique, en utilisant un moyen de piratage appelé attaque de l'homme du milieu pour recueillir les informations confidentielles données par l'internaute sur le site visité.

Il existe différentes variantes du hameçonnage. On notera le spear phishing et le in-session phishing qui sont respectivement le hameçonnage ciblé (notamment à l'aide des réseaux sociaux) et le hameçonnage de session (basé sur des pop-up pendant la navigation).

Parades

Exemple de hameçonnage pour obtenir l'accès à un compte webmail à fin de Spam. La syntaxe défaillante et le caractère inadéquat de l'adresse Web proposée dans le corps du message sont susceptibles d'éveiller les soupçons.

La vérification de l'adresse web dans la barre d'adresse du navigateur web est la première parade. Ainsi, une attaque simple consiste à utiliser un nom de domaine mal orthographié, comme http://www.societegeneral.fr/ au lieu de http://www.societegenerale.fr/. Bien sûr, l'attaquant aura préalablement acheté le nom de domaine mal orthographié.

Plus élaborée est l'utilisation d'une adresse Web conçue pour tromper le visiteur non technicien. Il faut être particulièrement vigilant lorsque l'on rencontre une adresse Web contenant le symbole « @ », qui se trouve couramment dans les adresses électroniques, mais pas dans les adresses Web. Par exemple l'adresse Web http://www.paypal.com:refID12344234324@example.com/ mène à un site du domaine example.com, et non pas www.paypal.com comme on pourrait le croire. Techniquement, cette adresse falsifiée cause la connexion à example.com avec le nom d'utilisateur www.paypal.com et le mot de passe refID12344234324. Une variante à l'utilisation du '@' consiste à utiliser un sous-domaine, par exemple http://www.paypal.com.example.com/. Une parade des navigateurs consiste à avertir l'utilisateur du danger et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses. Les navigateurs peuvent aussi reposer sur une liste noire de sites malveillants.

Une méthode plus élaborée pour masquer le nom de domaine réel consiste à utiliser des caractères bien choisis parmi les dizaines de milliers de caractères du répertoire Unicode[4]. En effet, certains caractères spéciaux ont l'apparence des caractères de l'alphabet latin. Ainsi, l'adresse web http://www.pаypal.com/ a la même apparence que http://www.paypal.com/, mais est pourtant bien différente[5]. Une contre-mesure à cette attaque est de ne pas permettre l'affichage des caractères hors du répertoire ASCII, qui ne contient que les lettres de A à Z, les chiffres et de la ponctuation. Cette dernière contre-mesure est cependant difficilement compatible avec l'internationalisation des noms de domaine, qui requiert le jeu de caractères Unicode.

Il existe depuis les années 1990 une parade technique au phishing : le certificat électronique. Toutefois, l'interface utilisateur des navigateurs Web a longtemps rendu les certificats incompréhensibles pour les visiteurs. Cette interface était connue sous les traits d'un petit cadenas. Il était simplement expliqué au grand public que le cadenas signifie que la communication est chiffrée, ce qui est vrai, mais ne protège aucunement contre le phishing. Dans les années 2000, des certificats étendus ont été inventés. Ils permettent d'afficher plus clairement l'identité vérifiée d'un site.

Une personne contactée au sujet d'un compte devant être « vérifié » doit chercher à régler le problème directement avec la société concernée ou se rendre sur le site web en tapant manuellement l'adresse dans son navigateur. Il faut savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité avec leurs clients. En règle générale, il est recommandé de faire suivre le message suspect à la société concernée[6], ce qui lui permettra de faire une enquête.

Les filtres antipourriels aident aussi à protéger l’utilisateur des criminels informatiques en réduisant le nombre de courriels que les utilisateurs reçoivent et qui peuvent être du hameçonnage. Le logiciel client de messagerie Mozilla Thunderbird comporte un filtre bayésien très performant (filtre anti-pourriel auto-adaptatif).

Les fraudes concernant les banques en ligne visent à obtenir l'identifiant et le mot de passe du titulaire d'un compte. Il est alors possible au fraudeur de se connecter sur le site web de la banque et d'effectuer des virements de fonds vers son propre compte. Pour parer à ce type de fraude, la plupart des sites bancaires en ligne n'autorisent plus l'internaute à saisir lui-même le compte destinataire du virement[réf. nécessaire] : il faut, en règle générale, téléphoner à un service de la banque qui reste seul habilité à saisir le compte destinataire dans une liste de comptes. La conversation téléphonique est souvent enregistrée et peut alors servir de preuve[réf. nécessaire].

D'autres banques utilisent une identification renforcée, qui verrouille l'accès aux virements si l'utilisateur n'indique pas la bonne clé à huit chiffres demandée aléatoirement, parmi les soixante-quatre qu'il possède. Si la clé est la bonne, l'internaute peut effectuer des virements en ligne.

En France, les internautes sont invités à communiquer avec la cellule de veille de la police nationale pour témoigner de leurs propres (mauvaises) expériences ou leur envoyer des liens conduisant à des sites qu'ils jugent contraires aux lois. Ils ont pour cela à leur disposition un site internet dédié[7].

Pour aider les internautes à se protéger contre ces fraudes, l'association à but non lucratif Phishing Initiative a été créée en 2010 : elle permet à tout internaute de reporter les sites frauduleux francophones pour les faire bloquer.

Exemple

Les attaques par hameçonnage sont le plus souvent dirigées vers les sites sensibles tels que les sites bancaires. Les sites de réseaux sociaux sont aujourd'hui également la cible de ces attaques. Les profils des utilisateurs des réseaux sociaux contiennent de nombreux éléments privés qui permettent aux pirates informatiques de s'insérer dans la vie des personnes ciblées et de réussir à récupérer des informations sensibles[8].

Notes et références

  1. a et b Avis de la Commission générale de terminologie et de néologie : Vocabulaire de l'économie et du tourisme, JORF no 37 du 12 février 2006, p. 2239, texte no 43, NOR CTNX0609037K, sur Légifrance.
  2. Entrée « Phishing » sur Grand dictionnaire terminologique, OQLF : « Les termes hameçonnage, hameçonnage par courriel, appâtage et appâtage par courriel ont été proposés par l'Office québécois de la langue française, en avril 2004, pour désigner ce concept. Le mot hameçonnage, absent des dictionnaires et d'Internet, était potentiellement disponible, du fait de l'existence d'autres mots français appartenant à la même famille sémantique : hameçon, hameçonner et hameçonneur. »
  3. http://www.pcworld.com/article/113431/spam_slayer_do_you_speak_spam.html
  4. The state of homograph attacks, Rev 1.1
  5. Les adresses internet correspondant à ces liens apparaissent en bas de votre navigateur quand vous les survolez à la souris.
  6. si le hameçonnage concerne societe.com, il faut faire suivre le mail à l'adresse usurpation@societe.com ou abuse@societe.com
  7. https://www.internet-signalement.gouv.fr
  8. http://blogs.orange-business.com/cgi-bin/mt/mt-search.cgi?blog_id=2&tag=reseaux%20sociaux&limit=20

Voir aussi

Articles connexes

Liens externes


Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Hameçonnage de Wikipédia en français (auteurs)

Игры ⚽ Поможем решить контрольную работу

Regardez d'autres dictionnaires:

  • Hameconnage — Hameçonnage Exemple de phishing L’hameçonnage, appelé plus couramment phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d identité. La technique consiste à… …   Wikipédia en Français

  • hameçonnage —  n.m. Inf. Détournement frauduleux de données bancaires confidentielles (phishing) …   Le dictionnaire des mots absents des autres dictionnaires

  • Filoutage — Hameçonnage Exemple de phishing L’hameçonnage, appelé plus couramment phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d identité. La technique consiste à… …   Wikipédia en Français

  • Fishing — Hameçonnage Exemple de phishing L’hameçonnage, appelé plus couramment phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d identité. La technique consiste à… …   Wikipédia en Français

  • Phishing — Hameçonnage Exemple de phishing L’hameçonnage, appelé plus couramment phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d identité. La technique consiste à… …   Wikipédia en Français

  • Phising — Hameçonnage Exemple de phishing L’hameçonnage, appelé plus couramment phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d identité. La technique consiste à… …   Wikipédia en Français

  • IE7 — Internet Explorer 7 Internet Explorer 7 Développeur Microsoft Dernière version 7.0.573 …   Wikipédia en Français

  • Internet Explorer 7 — Article principal : Internet Explorer. Internet Explorer 7 Développeur Microsoft …   Wikipédia en Français

  • Windows Internet Explorer 7 — Internet Explorer 7 Internet Explorer 7 Développeur Microsoft Dernière version 7.0.573 …   Wikipédia en Français

  • Download day — Mozilla Firefox « Firefox » redirige ici. Pour les autres significations, voir Firefox (homonymie). Mozilla Firefox …   Wikipédia en Français

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”