Le phishing.

Qu'est-ce que le phishing?

Le phishing (en français "hameçonnage") est une technique de fraude mélangeant spamming (envoi en masse de messages à des adresses électroniques collectées illégalement ou composées automatiquement) et ingénierie sociale (usurpation d'identité) dans le but de subtiliser des informations sensibles aux victimes (identité complète, numéro de carte bancaire, identifiants d'accès à un site Internet, etc.). Au lieu de tenter de piéger une après l'autre des personnes choisies pour leur naïveté ou leur vulnérabilité, l'escroc contacte simultanément plusieurs milliers voire dizaines de milliers de victimes potentielles en tentant de se faire passer pour leur banque, leur fournisseur d'accès à Internet ou n'importe quel autre organisme ou site web, comptant sur ce grand nombre pour trouver des destinataires crédules ou imprudents.

Une attaque par phishing se présente souvent en deux temps : l' internaute reçoit en général un message de sa banque ou d'une autre société (voir deux exemples visant la banque LCL et le site eBay) qui l'informe d'un problème de sécurité ou d'une autre action nécessitant qu'il se rende sur le site concerné et qui l'invite pour cela à cliquer sur un lien hypertexte. Or ce dernier ne conduit pas au site officiel mais vers une imitation souvent identique à l'original contrôlée par un individu malveillant, aussi si l' internaute clique sur le lien et saisit des informations elles seront transmises directement à l'escroc. D'autres variantes existent cependant, comme un formulaire à remplir intégré dans le message ou une demande de réponse par retour du courriel (voir exemple visant Windows Live).

D'où vient le terme "phishing"?

Le mot "phishing" proviendrait de la contraction des mots "phreaking" (piratage des lignes téléphoniques) et "fishing" (pêche). En d'autres termes, le phishing est une sorte de pêche aux victimes via les réseaux de communication.

Que faire en cas de phishing?

Si vous n'avez pas fourni les informations demandées dans le message frauduleux, il n'y a rien à faire de particulier à part supprimer le message concerné. Si par contre vous avez été abusé et avez communiqué ces renseignements à l'auteur du phishing, connectez-vous immédiatement au véritable site de la société dont l'identité a été usurpée en saisissant manuellement son adresse dans votre navigateur, puis changez votre mot de passe afin d'empêcher le détournement de votre compte. En fonction des informations transmises, il peut être nécessaire d'entreprendre d'autres actions, notamment faire opposition si vous avez communiqué votre numéro de carte bancaire.

Les logiciels antiphishing sont-ils efficaces?

Les fonctions ou logiciels antiphishing se proposant d'alerter l'utilisateur lorsqu'il accède à une imitation d'un site officiel utilisée dans le cadre d'une attaque par phishing peuvent être utiles mais ne sont en aucun cas suffisants car il arrive trop fréquemment qu'un site douteux ne soit pas détecté. La meilleur protection est encore l'utilisateur et le respect d'un conseil simple : il ne faut ne jamais cliquer sur les liens hypertextes contenus dans un message non sollicité demandant au destinataire de fournir des données sensibles ou confidentielles, même s'il semble provenir d'un expéditeur connu. En cas de doute, préférez vérifier la réalité de la demande par téléphone auprès de la société concernée ou vous rendre sur le site de cette société en saisissant manuellement son adresse dans votre navigateur, afin de ne pas risquer de cliquer sur un lien piégé ou conduisant vers une page web piégée.