Le phishing (jeu de mots anglais que l’on traduit par hameçonnage) est une escroquerie consistant à tenter de  récupérer les données personnelles - mots de passe, codes bancaires, numéros de téléphone... – d’utilisateurs peu avertis. Le mode opératoire consiste à envoyer un courriel usurpant l’identité d’une institution reconnue en vue de demander au destinataire la confirmation de ses données personnelles.

Si vous avez reçu par le passé des courriels, en provenance d’institutions dont vous n’étiez pas clients, vous demandant de mettre à jour vos données personnelles, vous savez par expérience ce qu’est le phishing.

Cette technique de piratage a d’abord visé les clients d’établissement bancaires avant de s’étendre à d’autres secteurs d’activité comme les opérateurs téléphoniques, les fournisseurs d’accès Internet et même des organismes gouvernementaux comme le ministère des finances.

Récemment des campagnes de phishing ont pris pour cibles les bénéficiaires de la CAF, les clients de LCL, de ,PayPal, d’Orange, de Free, les contribuables ….

Toutes les entreprises et les secteurs d’activité sont désormais potentiellement concernés et il importe d’avoir conscience des mécanismes à l’œuvre ainsi que des mesures de précaution indispensables pour se prémunir contre ce genre d’escroquerie.

Du bon sens avant tout !

Il aura fallu quelques années pour que l’internaute lambda finisse par comprendre qu’il était dangereux de cliquer sur des liens envoyés par des inconnus. Il va maintenant falloir faire entrer dans les habitudes qu’il est prudent d’exercer la plus grande suspicion vis-à-vis de courriels apparemment émis par des autorités insoupçonnables.

La première notion à avoir à l’esprit est que les sites institutionnels ne demandent qu’exceptionnellement, voire jamais, la communication de données personnelles par voie d’email ou sur leur site en ligne. Toute demande de ce type doit être considérée avec la plus grande méfiance et vérifiée le cas échéant auprès de l’institution concernée.

Les exceptions à cette règle sont bien évidemment la phase d’inscription au service en ligne ainsi que la procédure de commande dans laquelle vous êtes invités à entrer vos codes bancaires.

* Dans le premier cas de figure, une règle de prudence consiste à consulter le site en entrant directement son adresse dans le navigateur, plutôt qu’en cliquant sur un lien inséré dans un courriel. Une fois connecté sur le site légitime, on pourra généralement remplir le formulaire voulu en toute sécurité.

* Concernant les paiements en ligne, l’échange de données bancaires est toujours sécurisé par le navigateur au moyen du protocole « https » et une icône   apparaît vous signalant que la transaction est protégée. Si ce n’est pas le cas, il vaut mieux ne pas mener la transaction à son terme.

D’une façon générale, si vous prenez le temps d’examiner dans le détail les courriels suspicieux, vous trouverez souvent de nombreuses fautes d’orthographe ou de syntaxe, des formulations qui fleurent bon les traductions approximatives, des problèmes de gestion des accents et enfin des URL tortueuses n’inspirant vraiment pas confiance. Au moindre signe de ce type, débarrassez-vous immédiatement du courriel en question ou contactez l’organisme censé vous avoir adressé cette correspondance.

A noter l’ouverture par le gouvernement d’un portail (Internet-signalement.gouv.fr) consacré aux escroqueries en ligne qui permet de signaler les escroqueries dont on est témoin mais également d’accéder à une série de conseils pour se protéger. Ironie des pirates, en consultant la liste des actualités du site, on prend connaissance des dernières tentatives d’escroquerie recensées dont celle qui consiste à se faire passer justement pour www.internet-signalement.gouv.fr …

De la nécessité de disposer d’outils de navigation récents

Les autres mesures de protection sont de nature plus technique et consistent à vérifier que l’on dispose, dans son entreprise comme à domicile, des outils appropriés pour se protéger.

Les passerelles de sécurité déployées en entreprise combinent souvent plusieurs outils de protection réunies en un boitier unique. Ces boitiers, dénommés « appliance » dans le jargon technique intègrent des fonctions de filtrage, de pare feu, d’anti virus mais également des mécanismes permettant de vérifier les URL douteuses.

Pour le particulier, l’important est de disposer des dernières versions de navigateurs, en particulier de la version 8 d’Internet Explorer et de Firefox 3.6.

Internet Explorer 8 est doté d’un outil dénommé SmartScreen Filter, activé par défaut, qui permet grâce à une liste noire de sites Web, d'être informé via un message d'alerte lors de la navigation sur un site à risque (la barre d'adresse vire alors au rouge).

Firefox et Chrome de Google offrent un mécanisme de protection similaire qui télécharge régulièrement une liste de sites malveillants mis à jour en permanence.

Perspectives de solution à long terme

Le phishing est un phénomène récurrent qui ne peut aller qu'en s’intensifiant, sans que les autorités puissent réellement combattre ce fléau. Une partie du problème tient aux méthodes d’authentification « faibles » utilisée pour s'authentifier. L’usage d’un compte utilisateur associée à un mot de passe, même fort, est une technique qui a fait son temps et qui mérite d’être remplacée.

La généralisation de l’usage de certificats numériques réduirait significativement les chances de succès des attaquants.

En attendant que l’usage de ces techniques se généralise, garder à l’esprit qu’Internet est un continent dangereux et user de son bon sens restent encore une fois la meilleure des protections