Hier, papy a envoyé 1000 euros à votre tante qui était en galère. Seulement, ce n’était pas votre tante… Quoi ? Papy se serait-il fait arnaquer ?
Qu’est ce que le phishing ?
Malheureusement, papy est loin d’être la seule victime de phishing. Il s’agit probablement de l’attaque informatique la plus simple et la plus utilisée.
Tout commence par un e-mail, où l’attaquant se fait passer pour une entité en laquelle vous avez confiance : dans le cas de papy, la tante. Le contenu du mail va vous pousser à cliquer sur un lien et entrer des informations sensibles (logins, mots de passes…) sur un site qui vous semble authentique.
Seulement, c’est le cybercriminel qui récupère ces données, le plus souvent sans que vous en ayez même conscience. Ensuite, il pourra les utiliser pour voler des comptes bancaires, voler des identités ou encore les revendre sur le marché noir.
C’est simple, mais terriblement efficace. Pas besoin d’être Hackerman pour faire du phishing: ce ne sont pas des failles techniques qui sont exploitées, mais les erreurs de jugement du cerveau humain.
Ainsi, tout l’enjeu de l’attaque repose sur de l’ingénierie sociale. Il faut mettre le destinataire dans une situation d’urgence, de stress, où la réflexion passe après l’action. Cette urgence le pousse alors à suivre les instructions de l’expéditeur qu’il reconnaît comme entité de confiance. Pour peu que la victime soit crédule ou peu familière à ce genre de situations, elle tombera dans le piège… comme ce pauvre papy.
D’ailleurs, ce type de phishing, qui compte sur la naïveté des gens, existe depuis bien avant qu’internet soit accessible. Dans certains cas, il ne s’agit en fait que de la suite logique de techniques qui existent depuis bien longtemps. C’est le cas par exemple de la fraude 419, qui a simplement commencé par échange de lettres. Vous connaissez sûrement le principe: l’arnaqueur fait miroiter un cadeau alléchant à la victime (somme d’argent, objet de valeur, amour …), qui devra avancer de l’argent avant de pouvoir l’obtenir. Évidemment, la victime n’a jamais ce qu’elle désire et continue d’avancer de l’argent jusqu’à ce qu’elle s’aperçoive de son erreur. On serait tenté de dire que c’est quand même facile à éviter. Pourtant, ça fonctionne.
Et de nos jours, on voit arriver d’autres techniques de phishing, bien plus insidieuses. Elles peuvent avoir des conséquences tout à fait désastreuses: des vols d’identités en chaînes qui aboutissent souvent à d’énormes pertes d’argent pour les victimes.
Les techniques de phishing modernes
Le phishing étant une arnaque répandue et se basant sur la crédulité des victimes, elle peut souffrir de la célébrité. Par exemple, à part papy, tout le monde a entendu parler de l’arnaque du prince nigérien, un type d’arnaque où le pirate se fait passer pour une personne très riche ayant besoin d’aide et prêt à payer ce service au prix cher. Une fois que l’on sait que ce type de mail est une arnaque, on le reconnaît et on ne se fait plus avoir. Alors comment font les escrocs pour continuer de nous arnaquer ?
Il leur suffit de faire preuve d’inventivité et de trouver des arnaques de plus en plus convaincantes. Dans ces nouvelles techniques de phishing, on peut distinguer principalement deux approches : la pêche de masse, et le harponnage de cibles plus juteuses, poissons plus rares.
Dans les deux cas, il est très intéressant pour le hacker de pratiquer les vols d’identité en chaîne. Pour la pêche de masse, le pirate va usurper l’identité de plusieurs personnes afin de récupérer leurs carnets d’adresse puis attaquer un maximum de monde dans le cercle de connaissances de la première personne dont il a usurpé l’identité. C’est cela qui va notamment lui permettre de prendre les précieuses économies de notre pauvre papy en se faisant passer pour votre tante : il récupère les informations de votre tante et spam son carnet de contacts, étant ainsi sur de toucher ses proches et donc d’avoir un plus grand taux de succès.
La demande d’argent n’est pas l’unique façon de fonctionner du phishing. Les pirates peuvent aussi vous faire télécharger un logiciel malveillant, sous couvert de maintenance technique, obligation professionnelle etc.. Ce genre de pratique est souvent associée à des criminels de plus haut vol que le phishing traditionnel, car cela demande des grandes compétences en informatique. Elles sont également beaucoup plus lucratives. Un exemple de ce genre de malware est le cheval de troie Emotet, un cheval de troie visant à récupérer vos informations bancaires.
Emotet se propage principalement grâce au spam. Il utilise la technique que nous avons décrit auparavant : récupérer le carnet d’adresse de la première victime pour ensuite leur envoyer des mails proposant d’installer ce logiciel malveillant, en ayant l’air moins suspect car envoyé par une adresse connue. Il a également la capacité de faire des attaques de force brute sur des réseaux sécurisés, en testant les mots de passes les plus communs.
Cela lui a permis de connaître une grande propagation en France dernièrement, en récupérant les listes de contact de beaucoup d’universités, dont l’INSA Lyon, école où se trouve le petit fils préféré de papy.
Pour la traque de poissons précieux, il existe une technique qui s’appelle le spear phishing ou harponnage en français. C’est une stratégie plus agressive et réservée aux pêcheurs les plus expérimentés. Contrairement aux attaques classiques de phishing, on aura au préalable défini sa cible, généralement une grosse entreprise, et on va essayer de l’infiltrer pour ensuite y faire une attaque interne. Cela peut avoir de graves impacts commerciaux.
Le harponnage se déroule en plusieurs étapes : d’abord, il faut rentrer dans le système grâce au phishing du personnel de l’entreprise le plus vulnérable, typiquement du personnel qui ne travaille pas dans l’informatique et qui n’est pas forcément au courant des arnaques de phishing classique. Après avoir pris possession de son identité numérique au sein de l’entreprise et installé un malware sur son ordinateur, on l’utilisera comme un tiers de confiance interne, afin de voler l’identité de personnel plus important. Le but de cette attaque est de réussir à remonter jusqu’au directeur de l’entreprise ou de l’organisation. Une fois que l’on a accès à la tête de l’entreprise, plusieurs options sont possibles. Parmi ces options, celles qui touchent au virement bancaire sont les plus populaires : modifier des informations bancaires, demander à des personnes plus bas dans la hiérarchie de faire un virement urgent ou encore réaliser des fraudes de dépôt direct, qui consistent à mettre au point des virements automatiques vers un compte tierce grâce aux identifiants bancaires que l’on a récupéré.
Quelle que soit l’approche, les criminels se sont donc adaptés, soit pour toucher le plus de monde possible avec un bon taux de réussite grâce à une attaque sur le cercle de contact d’une personne dont on a usurpé l’identité, soit pour toucher une cible précise, grâce à des vols d’identité à répétition au sein d’une structure. Papy n’est plus le seul à être en danger … Nous sommes tous des victimes potentielles.
Comment s’en protéger ?
Vous l’avez maintenant compris: le phishing joue sur votre peur, votre envie de bien faire, vos inattentions. Aujourd’hui, les attaquants usent de moyens de plus en plus convaincants.
Alors, comment repérer une tentative de phishing ? Il existe plusieurs points auxquels faire attention. Si seulement papy l’avait su …
Déjà, l’adresse e-mail. Souvent, on se concentre sur le nom d’expéditeur sans faire attention à l’adresse à laquelle il se rattache. Est-elle différente de l’habituelle ? A savoir tout de même qu’il est possible pour l’attaquant d’usurper un nom de domaine, et alors l’adresse vous semblera légitime. Il est aussi possible qu’il utilise une adresse qui semble proche d’une adresse légitime, à quelques caractères près.
Ensuite, l’objet de l’e-mail. Contient-il des termes qui visent à vous faire réagir (urgent, rapidement, etc…) ? Ne laissez pas ces simples mots vous faire oublier les précautions d’usage, ils sont là pour ça.
En effet, il vous faut enfin bien faire attention au corps du mail. Il est possible que le criminel utilise des informations qu’il a récupéré sur vous, pour vous mettre en confiance. Ainsi, l’e-mail commence par quelques phrases de conversation avant qu’il ne formule sa demande. Là, on retrouve un sentiment d’urgence qui vous pousse à agir rapidement. Dans des cas comme celui-ci, il ne faut pas hésiter à contacter l’expéditeur par téléphone, voire lui demander en personne pour savoir s’il s’agit bien de lui.
D’autres conseils, pour citer le très complet cybermalveillance.gouv.fr :
1. Ne communiquez jamais d’informations sensibles par messagerie ou téléphone :
aucune administration ou société commerciale sérieuse ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone.2. Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien
(sans cliquer) ce qui affichera alors l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance ou allez directement sur le site de l’organisme en question par un lien favori que vous aurez vous-même créé.3. Vérifiez l’adresse du site qui s’affiche dans votre navigateur.
Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse du site pour vous tromper. Au moindre doute, ne fournissez aucune information et fermez immédiatement la page correspondante.4. En cas de doute, contactez si possible directement l’organisme concerné
pour confirmer le message ou l’appel que vous avez reçu.5. Utilisez des mots de passe différents et complexes pour chaque site et application
afin d’éviter que le vol d’un de vos mots de passe ne compromette tous vos comptes personnels. Vous pouvez également utiliser des coffres forts numériques de type KeePass pour stocker de manière sécurisée vos différents mots de passe.6. Si le site le permet, vérifiez les date et heure de dernière connexion à votre compte
afin de repérer si des accès illégitimes ont été réalisés.7. Si le site vous le permet, activez la double authentification pour sécuriser vos accès.
Aller, faites bien attention à vous (et à papy).
