Le phishing, nouvelle forme d´arnaque
Mardi, 12 Avril 2005 17:48
Une nouvelle forme d´arnaque explose en ce moment sur le réseau des réseaux. Il s´agit pour les escrocs d´accéder à des données personnelles en vue de commettre ultérieurement des infractions en empruntant frauduleusement l´identité de leurs victimes. Le mariage entre l´astuce humaine ou la technique du "social ingeniering" et la faille technique est redoutable.
L´internaute reçoit un e-mail qui paraît tout à fait officiel et qui n´attire pas la méfiance. Cet e-mail incite généralement à donner login et mot de passe mais aussi d´autres données personnelles. Le mal est fait. Les victimes potentielles sont souvent invitées ensuite à cliquer sur un lien qui tombe sur une version trafiquée du site web d´une société. La victime mord littéralement à l´hameçon lancé par l´escroc, un peu comme à la pêche à la ligne, d´où le nom de "phishing".
Au début du mois de mars dernier, la banque internet australienne Westpac a dû prévenir en urgence des milliers de clients à propos d'un e-mail factice qui les incitait à divulguer leurs identifiants sur une fausse page. En janvier, ce sont plusieurs grandes banques britanniques comme Barclays, Citibank et Lloyds, ainsi que le système de paiement Paypal (groupe Ebay), qui ont été victimes de faits similaires, où là aussi un courrier, plus vrai que nature, était envoyé aux clients les incitant à se rendre sur une page trompeuse. Les escrocs, bien informés et bons pirates, exploitaient une erreur d´affichage des URL du navigateur Internet Explorer.
Le phénomène prend une telle ampleur qu´une association s´est créée pour observer les tendances et évolutions du phishing. Il s´agit de l´Anti-Phishing Working Group (APWG) fondée notamment par des banques, cybermarchands et institutions financières. Son dernier rapport indique que dans les premiers mois de l´année, les attaques par "phishing" se sont multipliées tout en gagnant en sophistication. On constate 163% d´attaques en plus en février comparé à décembre. Selon le rapport de février, 282 nouvelles attaques ont été enregistrées, soit une augmentation de 60% par rapport à janvier. Dix nouvelles attaques quotidiennes sont signalées.
Le secteur professionnel le plus touché est bien évidemment celui de la finance et des divers services financiers, mais c´est le géant des enchères en ligne eBay qui est le plus visé et qui reste la cible préférée des "phishers".
Entre 1% et 5% des destinataires de ces messages falsifiés y ont répondu. Il faut dire à leur décharge qu´ils ressemblent de plus en plus à des e-mails officiels, ce qui les rend d'autant plus difficiles à détecter et on peut donc tomber facilement dans le panneau en l´absence de sensibilisation. Surtout que les arnaqueurs utilisent des techniques de plus en plus complexes notamment des techniques de script intersites qui arrivent à tromper des utilisateurs avertis et expérimentés.
Les entreprises qui développent les logiciels doivent se montrer particulièrement vigilantes pour ne pas laisser subsister dans leurs produits des vulnérabilités susceptibles de constituer des bases sérieuses d´attaques. En effet, non content de mettre en péril leur réputation et donc leur existence, elles mettent en danger aussi les données de leurs clients !
L´enjeu est essentiel pour le commerce en ligne. La confiance en est la clé du développement. Avec le phishing, c´est toute la fiabilité et la sécurité des transactions commerciales et des communications qui sont en cause. Avec plus de rigueur et une méfiance exacerbée, ajoutées à des produits mieux verrouillés, on devrait pouvoir faire face à cette nouvelle vague qui, n´en doutons pas un seul instant, sera suivie par d´autres tentatives. L´intelligence et l´imagination des truands sont inépuisables, mais heureusement, celles des corps constitués qui luttent contre toutes les formes de criminalité tout autant !
Contribution de Daniel Martin à la "Lettre Sentinel Analyses et Solutions"
www.infosentinel@club-internet.fr
21 Avril 2004
