|
Introduction au
phishing
Introduction au
phishing
Le phishing (contraction des mots anglais « fishing », en français pêche, et «
phreaking », désignant le piratage de lignes téléphoniques), traduit parfois en
« hameçonnage », est une technique frauduleuse utilisée par les pirates
informatiques pour récupérer des informations (généralement bancaires) auprès
d'internautes.
La technique du phishing est une technique d'« ingénierie sociale » c'est-à-dire
consistant à exploiter non pas une faille informatique mais la « faille humaine
» en dupant les internautes par le biais d'un courrier électronique semblant
provenir d'une entreprise de confiance, typiquement une banque ou un site de
commerce.
Le mail envoyé par ces pirates usurpe l'identité d'une entreprise (banque, site
de commerce électronique, etc.) et les invite à se connecter en ligne par le
biais d'un lien hypertexte et de metre à jour des informations les concernant
dans un formulaire d'une page web factice, copie conforme du site original, en
prétextant par exemple une mise à jour du service, une intervention du support
technique, etc.
Dans la mesure où les adresses électroniques sont collectées au hasard sur
Internet, le message a généralement peu de sens puisque l'internaute n'est pas
client de la banque de laquelle le courrier semble provenir. Mais sur la
quantité des messages envoyés il arrive que le destinataire soit effectivement
client de la banque.
Ainsi, par le biais du formulaire, les pirates réussissent à obtenir les
identifiants et mots de passe des internautes ou bien des données personnelles
ou bancaires (numéro de client, numéro de compte en banque, etc.).
Grâce à ces données les pirates sont capables de transférer directement l'argent
sur un autre compte ou bien d'obtenir ultérieurement les données nécessaires en
utilisant intelligemment les données personnelles ainsi collectées.
Comment se protéger du phishing ?
Lorsque vous recevez un message provenant a priori d'un établissement bancaire
ou d'un site de commerce électronique il est nécessaire de vous poser les
questions suivantes :
* Ai-je communiqué à cet établissement mon adresse de messagerie ?
* Le courrier reçu
possède-t-il des éléments personnalisés permettant d'identifier sa véracité
(numéro de client, nom de l'agence, etc.) ?
Par ailleurs il est
conseillé de suivre les conseils suivants :
* Ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre
navigateur et saisissez vous-même l'URL d'accès au service.
* Méfiez-vous des formulaires demandant des informations bancaires. Il est en
effet rare (voire impossible) qu'une banque vous demande des renseignements
aussi importants par un simple courrier électronique. Dans le doute contactez
directement votre agence par téléphone !
* Assurez-vous, lorsque vous saisissez des informations sensibles, que le
navigateur est en mode sécurisé, c'est-à-dire que l'adresse dans la barre du
navigateur commence par https et qu'un petit cadenas est affiché dans la barre
d'état au bas de votre navigateur, et que le domaine du site dans l'adresse
correspond bien à celui annoncé (gare à l'orthographe du domaine) !
Plus
d'informations
Anti-Phishing Working
Group
Ce document intitulé «Cryptographie - Secure Sockets Layers (SSL)» issu de
Comment Ça Marche
est mis à disposition sous les termes de la licence
Creative Commons. Vous pouvez copier, modifier des copies de cette page,
dans les conditions fixées par la licence, tant que cette note apparaît
clairement.
|
Accueil 
Sécurité 
