Phishing est la contraction des mots "Fishing" (pêcher en Français) et "Phreaking" (terme employé pour désigner le piratage de lignes téléphonique). En Français, on parle aussi d’ "hameçonnage".

Le phishing est basé sur une technique d'ingénierie sociale afin de profiter de la confiance que peuvent avoir les internautes voler des données personnelles par tromperie en certaines institutions. Le but du phishing est de (données bancaires, numéro de sécurité sociale, identifiants, mot de passe, adresse postale, etc), afin de pouvoir les exploiter et / ou les revendre par la suite. Les phishers créent de faux  sites internet usurpant l’identité graphique des institutions visées, afin de tromper les personnes qui s’y connecteront, et divulgueront leurs données personnelles.

Le principe

Les phishers envoient à des milliers d'utilisateurs dont les adresses ont été collectées sur Internet, un mail aux couleurs d'une institution bancaire reconnue. Les phishers parient que sur les milliers de mails envoyés, certains utilisateurs seront bel et bien client du service qu’ils usurpent.

Le contenu de ce mail invite la personne qui le reçoit à se connecter sur un site internet piégé en l’incitant à s'authentifier pour une raison fallacieuse (mise à jour du service, suspension de compte, problème ponctuel, etc...).

L'adresse du site est spécifiée dans le courrier électronique et un lien permet à l’utilisateur d’accèder directement au site piégé. Ce site est un faux site monté par les phishers, qui reproduit de manière fidèle la charte graphique de l'institution ciblée. La majeure partie des sites est hébergée sur des serveurs eux même piratés. Ainsi en cliquant sur l'url du mail et en se rendant sur le site frauduleux, l'utilisateur pense se rendre sur le site de sa banque car il y retrouve la charte graphique qu'il a l'habitude de voir. En toute confiance, il va alors saisir ses identifiants (login / password) afin d'accéder à son compte comme il le fait d’habitude.

L'authentification ne fonctionnera bien évidemment pas puisque le site est un faux site, cependant les phishers auront pris soins de mettre en place un système permettant d'archiver tous les identifiants qui auront été saisis par les différents utilisateurs. Les phishers n'ont alors plus qu'a se servir des identifiants collectés, et de les utiliser sur le VRAI site de la banque qui a fait l'objet de cette opération frauduleuse, afin de s'authentifier avec les login / password réels que les clients trompés ont divulgués malgré eux. Ils pourront alors accéder à l’espace personnel des clients, et détourner de l'argent (virements bancaires), ou accéder à des informations bien plus confidentielles (adresse postale, coordonnées bancaires, etc...).

Problème nouveau ?

Le phishing était jusqu’en 2005 essentiellement un problème étranger, la France n’était que très peu concernée par ces attaques. Les cibles les plus courantes étaient les banques américaines, et les services bancaires alternatifs comme Paypal et eBay. Mais depuis les institutions Française sont de plus en plus la cible de ces attaques, il est noté aussi que la qualité rédactionnelle des mails frauduleux s’améliore elle aussi.

Comment se prémunir contre le phishing ?

- Ne jamais cliquer sur un lien présent dans un mail pour accèder à votre banque ou a tout autre service gérant des informations confidentielles. Utilisez les liens placés dans vos marque-pages, ou encore mieux, resaissez l'URL d'accès au site.

- Votre banque ne vous enverra jamais de courrier en vous invitant à vous identifier sur le site pour mettre à jour vos données. Les banques Française préfèrent généralement régler les problèmes de sécurité par téléphone.

- Portez une attention particulière au contenu des mails que vous recevez, bien souvent les mails frauduleux sont rédigés dans un français approximatif, ou comportent énormément de fautes d'orthographes.

- Utilisez un navigateur tel que Firefox qui dispose d’une fonctionnalité antiphishing (développé en partenariat avec Google).

Statistiques Janvier 2007


Image
Evolution du Phishing entre Janv. 2006 et Janv. 2007


Nombre de Phishing unique reçus en janvier 2007 : 29 930

Nombre de marques différentes usurpées ciblées sur Janvier 2007 : 135

Pays hébergeant le plus de site dédié au phishing : Etats Unis

24,5 % des sites contiennent des URL proche de celle de la société usurpée.

18% des sites n'ont pas de nom de domaine mais se font directement par IP.

Temps moyen de disponibilité d'un serveur de Phishing : 4 jours.

Ton maximum de disponibilité d'un serveur de Phishing : 30 jours.


Sources : Anti Phishing Work Group http://www.antiphishing.org
Rapport annuel sur le Phishing : http://www.antiphishing.org/reports/apwg_report_january_2007.pdf