Phishing : décryptage et moyens de défense

Le phishing est une activité en plein essor : les tentatives retentissantes contre Sony et Nintendo, les nombreuses demandes d'activation de compte auprès d'abonnés Facebook et Free, les attaques massives visant les détenteurs de comptes Gmail, Hotmail et Yahoo Mail sont là pour en témoigner.

L'ampleur du phénomène est effrayante et les risques bien réels pour chacun d'entre nous. Cependant, l'effroi étant vain, mieux vaut comprendre les mécanismes du phishing pour ne pas s'y laisser prendre et en subir les funestes conséquences. Les deux points clés : esprit critique et esprit Sherlock Holmes.

On l'a dit et redit, le simple fait de se voir demander des informations personnelles (mot de passe, données bancaires…) doit allumer un clignotant rouge dans nos têtes… Et déclencher nos mécanismes de défense !

C'est là qu'intervient notre détective. Face à une demande suspecte vous arrivant par e-mail, travaillez avec méthode : commencez par vérifier le contenu du message. S'il est mal orthographié, l'enquête est déjà finie, vous pouvez le poubelliser et reprendre une vie normale. Aucun éditeur ne se permettra de laisser des coquilles dans ses écrits, a contrario les hackers n'ont pas de comité de relecture…

Autre indice, l'url de provenance du message est souvent exotique, sans rapport avec le nom de domaine de l'émetteur supposé, parfois avec une extension géographique bien éloignée du fr. Un piège classique des pirates consiste à introduire le nom de l'émetteur dans leur url, ex : http://google.jkcrewgolf.com alors qu'un sous-domaine de google devrait avoir pour adresse http://sousdomaine.google.com (le nom du sous-domaine se trouve toujours en premier).

Dans le même ordre d'idée, quand vous survolez un lien contenu dans le message reçu, si l'url de destination ne pointe pas vers l'éditeur, le message est suspect. Mais pour voir l'adresse du lien survolé, et c'est une bonne pratique, vous devez afficher la barre d'état de votre client de messagerie.
Un moyen simple d'éviter tout risque de mauvaise adresse consiste à se connecter directement via les favoris de votre navigateur.

Et pour illustrer ces propos, voici quelques exemples de courriers. Mais auparavant deux conseils. Tout comme pour les spams, ne répondez jamais aux e-mails de phishing. Enfin vous pouvez suivre les conseils du CERTA pour sécuriser votre logiciel de messagerie.

Ceci est une tentative grossière reçue par e-mail avec un fichier html en pièce jointe dans lequel figurent des champs à remplir.
Les tournures inhabituelles telles que "En raison de l'accès non autorisé possible…" ou "s'il vous plaît confirmer que votre carte n'a pas été volée" ainsi que la présentation même du message sont typiques d'un manque de professionnalisme. Un banquier emploiera rarement un terme tel que "votre sécurité est notre top priorité". De plus l'envoi en copie cachée est révélatrice d'un envoi en masse.

Le fichier joint est tout aussi incongru. Le "phisher", peu habitué aux caractères accentués, a commis des fautes indignes du Crédit Mutuel.

Ici le lien contenu dans le message ne pointe pas vers le domaine youtube.com mais vers innceo.com (voir la barre d'état). L'objet du message est inadéquat par rapport à la situation supposée (You have 1 unread personal message).

Cet exemple aussi présente des fautes de syntaxe, des apostrophes bizarres, un lien qui pointe vers le domaine jkcrewgolf.com d'une organisation australienne (ce que vous pouvez vérifier en interrogeant la base http://whois.net), bref autant d'indices d'une tentative d'arnaque.

Et enfin le plus réussi. Le message semble correct, il est cependant bizarre qu'il soit écrit en anglais alors que la société dispose d'une filiale française qui gère les comptes français. Les liens du message pointent bien vers Paypal. Cependant le compte de l'émetteur est "PayPal Servce" (imaginez le webmaster de PayPal qui s'accomode de cette faute d'orthographe en créant le compte ! ), le "Hello" est plutôt cavalier, la formulation "Update account information it is important…" est curieuse et le fichier joint, bien fait au demeurant, a été nommé PayPai_Access_Limited.html.

A comparer avec un e-mail authentique de PayPal qui comporte 2 lignes de mentions précieuses : "Cet email a été envoyé à Bernard Thoorens. Nos emails contiennent toujours vos prénom et nom pour vous prouver qu'ils proviennent bien de PayPal."

En résumé vigilance et esprit critique seront vos meilleurs alliés pour éviter de vous faire hameçonner.

Tweeter