Le phishing, kesako ?

Le nom français de cette technique malveillante est l'hameçonnage. Le parallèle avec la pêche n'est pas si anodin et reflète bien la méthodologie employée. L'objectif est de réaliser une action frauduleuse en faisant croire à l'utilisateur qu'il en déclenche une légitime.

Mais comment ça marche ?

C'est somme toute assez simple, l'idée est d'utiliser l'inattention de chacun lors de la lecture d'un texte à l'avantage de l'attaquant. Généralement, le phishing est réalisé par courriel (email), mais il peut aussi se faire par SMS ou d'autres média vous apportant de l'information.

Prenons l'attaque par courriel pour expliquer le processus :

Le fraudeur envoie un courriel à sa potentielle victime. Ce courriel ressemble trait pour trait à un courriel légitime que pourrait recevoir le destinataire. Par exemple, un courriel de la banque indiquant un nouvel événement de compte, un courriel d'un opérateur indiquant la réception d'une nouvelle facture, un courriel d'un site de commerce en ligne indiquant une future livraison, ...

Dans ce courriel, est fourni un lien permettant, soi-disant, à la victime d'aller quérir de l'information complémentaire. En reprenant les exemples précédents : pour la banque le lien pourrait par exemple indiquer la visualisation d'un virement à votre avantage ; pour l'opérateur le lien pourrait indiquer la visualisation d'une nouvelle facture, etc. L'idée est simple, inciter à cliquer sur le lien, pour avoir plus d'information en lien avec le sujet du mail au regard de l'expéditeur.

Malheureusement, comme l'expéditeur n'est pas légitime au regard de l'objet, ce n'est pas votre banque, ni votre opérateur, ... mais un attaquant. Le lien pointe donc vers un faux site, recopiant plus ou moins parfaitement celui du faux expéditeur (banque, opérateur, ...)

A partir de ce moment, plusieurs cas peuvent se produire. Du vol de données (par exemple : identifiants et mot de passe) de la victime à la contamination de l'ordinateur de celle-ci. Le plus fréquent étant le vol.

Le vol de mot de passe est réalisé par la copie de la page d'authentification de l'expéditeur (banque, opérateur, ...), affiché préalablement à l'accès au document indiqué dans l'email. Normal de s'authentifier avant d'accéder à un document bancaire, d'opérateur, ... Malheureusement dans ce cas, comme ce n'est pas le site légitime, si la victime entre ses identifiants et mot de passe, c'est l'attaquant qui les aura, et au choix vous redirige vers la page d'authentification officielle pour faire croire à une faute de frappe, ou vous indique une indisponibilité du service

Quels artifices utilisent les attaquants ?

Pour inciter la victime à cliquer les attaquants utilisent plusieurs techniques ayant pour effet de faire baisser l'attention et la garde de celle-ci.

Le plus fréquent est lié à une somme d'argent : c'est par exemple un courriel indiquant qu'il y a eu un défaut de paiement sur le dernier prélèvement, indiquant qu'il faut rapidement corriger cela.

Un autre exemple lié à un besoin d'information : c'est par exemple un courriel d'un site de commerce en ligne indiquant que l'adresse indiquée semble erronée et que la commande risque de ne pas arriver.

Il existe de nombreux artifices du même genre, l'objectif étant de vous faire baisser votre garde en augmentant votre angoisse.

On se protège comment ?

La première protection est assez simple techniquement, car elle repose sur une bonne sensibilisation du personnel pour qu'il soit en mesure de ne pas cliquer. Cela n'est pas forcément aussi évident qu'il y parait de prime abord, les techniques évoluant et étant de plus en plus pernicieuses. La première parade est donc de faire attention et d'être méfiant.

La seconde parade est assez similaire, elle est dans les mains du personnel. Elle consiste, dans les cas où un doute persiste, à ne pas cliquer sur le lien, mais à aller sur la page du service et à vérifier si l'information y est véritablement. Par exemple dans le cas d'une alerte de l'opérateur, il est préférable de se rendre sur le site de l'opérateur et de vérifier l'information sur son compte, plutôt que de cliquer sur le soi-disant lien qui vous y amènerait directement.

Enfin, il faut comme dans d'autres pans de la cybersécurité, toujours avoir un antivirus, éventuellement doté d'une option d'anti-hameçonnage, le plus à jour possible (a minima ils se mettent à jour un fois par jour).