Le phishing (technique d’hameçonnage d’un internaute) connaît un succès grandissant dans le palmarès des malveillances sur Internet. C’est sans doute l’attaque qui a été la plus perpétrée en 2009 chez les particuliers et les entreprises.
Les arnaqueurs créent un site web très ressemblant d’un site existant de commerce en ligne, de banque, d'organisation publique ou même de la direction des impôts. Ils invitent les Internautes à s’y connecter par l’intermédiaire de campagnes massives de spam (courriels illicites) et leurs proposent de saisir des informations personnelles telles que des codes de cartes de crédit, des numéros de comptes bancaires ou de sécurité sociale. C'est ce qu'on appelle le phishing, ou ameçonnage.
Les codes ainsi volés sont ensuite exploités par le pirate mafieux ou revendus à d’autres truands qui essaient de les utiliser pour faire des opérations en ligne sur les comptes de leurs victimes. Lorsque les montants ne sont pas trop importants, nombre d'entre elles ne s’aperçoivent pas du vol. Les bandes organisées parviennent à détourner ainsi des sommes très importantes avec de grands nombres d’escroqueries réalisées en envoyant des millions de spam.
Le phishing évolue vers la complexité
Certaines attaques sont plus complexes et utilisent des URL qui s’affichent sur l’écran de la victime exactement comme l’adresse du site contrefait, sauf que certains caractères utilisent un alphabet différent, par exemple cyrillique. L’ordinateur de la victime n’étant, en général, pas configuré pour afficher cet alphabet, utilise l’alphabet latin pour afficher le caractère inconnu le plus proche du caractère latin. La victime croie de bonne foi recevoir un email l’invitant à cliquer sur une adresse qui s’affiche comme celle d’un site connu. Il arrive en fait sur un autre site, contrefait, et destiné à lui voler en général des codes bancaires.
D’autres attaques plus complexes encore sont possibles et plus redoutables. Des virus infectent des ordinateurs pour changer la liste des adresses favorites dans le navigateur de l’internaute. Celui-ci croit donc se connecter sur le site habituel de sa banque en utilisant un raccourci de son navigateur et se retrouve dirigé vers un autre site contrefait. Le système d’exploitation Windows, comme beaucoup d’autres OS, dispose de fichiers de paramétrage permettant d’associer des adresses URL à des adresses IP : il suffit aux attaquants de compromettre ces fichiers pour que les URL dirigent l’Internaute vers un site indésirable.
Dernière en date : le pharming s'attaque à la DNS
L’attaque suprême consiste à compromettre le réseau Internet lui-même et à changer les adresses IP dans le cœur de réseau au sein des DNS (Domain Name Servers). Ce sont les machines qui traduisent les adresses URL en adresses IP. L’attaque consiste à mettre d’autres adresses IP dirigeant la victime vers un autre site. La victime ne voit alors rien. Son ordinateur n’est pas compromis, mais le réseau l’est. On parle alors de pharming, plus redoutable encore que le phishing.
Les DNS centraux de l’Internet sont extrêmement surveillés et aucune attaque aboutie n’a jamais été révélée par leur intermédiaire. En revanche, des attaques ont été menées et ont abouties en compromettant les DNS privés mis en place par des entreprises pour gérer leur réseau. Les entreprises doivent donc sécuriser et contrôler ces machines avec la plus grande vigilance.
Tromper l'attention de l'internaute, même grossièrement
Des attaques plus grossières ont aussi été remarquées. Un email affirmant provenir des services des impôts français, et envoyé en très grand nombre d’exemplaires, invitait le contribuable à se connecter sur un site pour valider un remboursement d’impôts. Il suffisait de cliquer sur l’adresse pour obtenir le remboursement.... Les services de police n’ont toutefois pas mis longtemps pour faire fermer le site contrefait aux États-Unis.
Si la plupart des tentatives de phishing sont grossières, et s'expriment en anglais, il faut cependant redoubler d'attention. En effet, les dernières tendances chez les pirates sont à la localisation linguistique des attaques (de plus en plus en français) et à la localisation géographique, ce qui permet de réduire les volumes de spam expédiés, et donc de contourner l'attention des outils de cyber sécurité. Ainsi début 2010 a-t-on assisté à une campagne de phishing visant les clients de la Caisse d'Epargne et une autre visant la récupération des noms et codes de sécurité sociale d'adhérents de la CAF.
Je souhaite recevoir la newsletter, et être informé des nouveautés et offres exclusives de ZE
