Le phishing, une partie de pêche qui peut coûter cher

par Christopher Greiner, groupe Conseil et études, Ci-UNIL

Le phishing est un moyen efficace pour les personnes mal intentionnées du web de faire main basse sur vos données personnelles. Un petit tour d’horizon pour éviter de tomber dans le panneau.


© Creativeapril – Fotolia.com

Qu’est-ce que le phishing et pourquoi on doit s’y intéresser ?

Ça vous est peut-être déjà arrivé : vous recevez un e-mail de votre banque, de votre réseau social usuel ou d’un marchand en ligne vous invitant à vérifier ou mettre à jour vos données confidentielles. Soyez sur vos gardes, il se peut que vous soyez la victime d’une tentative d’arnaque par e-mail, appelée phishing ou hameçonnage par nos cousins québécois, ou encore filoutage.

Les statistiques le démontrent, les attaques de phishing sont en augmentation et l’UNIL n’y échappe pas. Cette technique, utilisée par une ou plusieurs personnes malveillantes, consiste à envoyer des e-mails ou des liens qui sont conçus pour ressembler le plus possible à ceux d’une institution ou d’une organisation légitime, tels qu’une banque, un site de paiement en ligne, un réseau social ou encore une université. Généralement l’e-mail vous invite à cliquer sur un lien et vous redirige sur un faux site afin de mettre à jour, vérifier ou confirmer vos données. Le site phare pour les attaques de ce type depuis de nombreuses années est PayPal, mais Facebook et Twitter sont aussi très à la mode actuellement.

Le but de l’opération est d’induire la victime en erreur et de lui faire transmettre, à son insu, ses données personnelles à l’attaquant. Ce dernier peut ensuite usurper l’identité numérique de la victime et utiliser les données récoltées pour faire des achats, envoyer du spam ou simplement espionner ou encore effacer le compte de la victime. Vu que la majorité des internautes utilisent le même mot de passe pour plusieurs services, il suffit de se faire avoir une fois pour voir plusieurs de ses comptes menacés.

En résumé, le pêcheur virtuel « lance » une masse d’e-mails (les « hameçons » dans l’analogie avec la pêche) en espérant qu’une victime crédule « morde » et divulgue ses informations.

Un exemple typique d’une tentative d’hameçonnage

Généralement, les e-mails de phishing sont relativement rudimentaires et se repèrent assez aisément. Par exemple, une orthographe et une grammaire douteuse ou un texte à la limite du compréhensible façon Google Translate devrait vous mettre la puce à l’oreille.

La signature du courriel est souvent impersonnelle et générique, et ces courriels vous sont rarement destinés directement, commençant souvent par « cher client » ou « cher utilisateur ». Les fraudeurs mentionnent généralement que le sujet de l’e-mail est urgent, que vous devez agir vite ou votre compte sera supprimé ou bloqué. Dans la plupart des cas, l’adresse e-mail de réponse ou celle de l’expéditeur ne vient pas de l’institution que les attaquants tentent d’imiter.

Venant souvent de l’étranger, les e-mails contiennent parfois des problèmes d’encodage, les lettres accentuées s’affichent bizarrement et sont remplacées par des points d’interrogation.

L’indice principal qui confirme la tentative de fraude est le lien contenu dans le courriel. Celui-ci est souvent caché derrière un texte (« Cliquer ici ») ou plus sournoisement, sous un faux lien (le lien se nomme www.bonsite.com mais vous dirige sur www.mechantsite.com). Pour vérifier, passez le curseur de la souris sur le lien et le vrai lien s’affichera dans la barre de statut ou en pop-up.


Exemple d’e-mail frauduleux avec quelques points de repère

Dans le doute, entrez le lien affiché vous-même avec le clavier dans votre navigateur plutôt que de cliquer directement dessus : cela évitera de cliquer sur un lien masqué.

Si par hasard vous cliquez quand même sur le lien, vérifiez bien celui-ci dans la barre d’adresse de votre navigateur afin d’être sûr que c’est n’est pas une adresse frauduleuse et que celui-ci vous dirige bien sur le site voulu.

Et, petit rappel, tout site sérieux vous fournira une connexion sécurisée qui devrait se manifester dans votre navigateur par un petit cadenas et/ou une barre verte dans la barre d’adresse.

Nous concernant, les fraudeurs peuvent être intéressés par votre compte UNIL dans le but d’envoyer des e-mails non sollicités en masse, car les serveurs mails de l’UNIL ont bonne réputation. Cela peut avoir pour conséquence de divulguer et utiliser votre nom et e-mail sans votre accord. La réputation de nos serveurs en pâtirait et ils pourraient être mis sur une liste noire comme envoyant du spam chez certains fournisseurs. Cela signifie que les e-mails légitimes de l’UNIL pourraient être marqués comme étant des e-mails non sollicités à leur tour.

Comment lutter contre le phishing ?

L’UNIL a mis en place un système anti-spam efficace qui, dans la plupart des cas, intercepte les e-mails de phishing avant même qu’ils n’apparaissent dans votre boîte de réception (système antispam MailCleaner). Mais ces filtres ne sont pas infaillibles et il arrive que l’un ou l’autre de ces e-mails arrive jusqu’à vous.

L’information est le rempart le plus efficace. Plus les utilisateurs sont au courant de la technique, moins ces attaques seront efficaces. À l’UNIL, lors de la journée d’accueil des étudiants « A vos marques », fréquentée par environ 50% des nouveaux étudiants, et lors de la journée d’accueil des nouveaux collaborateurs, le problème du phishing est abordé. Sur la page d’accueil du webmail ou sur la page d’authentification de my.unil.ch, il y a un avertissement avec un lien vers un article expliquant le problème.


Faites confiance au cadenas et au surf sécurisé (photo : © jim – Fotolia.com)

Du côté de votre navigateur, il faut vous assurer du certificat de sécurité du site visité si vous devez transmettre des données personnelles en vérifiant que vous avez bien une icône symbolisant une serrure ou un petit cadenas dans la barre d’état et que l’adresse du site web commence par https:// plutôt que http://.

D’autre part, les utilisateurs recevant un e-mail d’hameçonnage, ou qui ont un doute concernant un courriel, sont invités à contacter le help desk pour être rassurés ou, le cas échéant, pour que nous puissions prendre des mesures proactives.

En résumé, si un e-mail vous demande de fournir des données personnelles telles que votre mot de passe, numéro de compte ou toute autre donnée sensible, n’y répondez pas ! Et évitez de cliquer sur des liens dans des e-mails que vous n’avez pas sollicités.

Partager: Share on FacebookTweet about this on TwitterShare on LinkedInEmail this to someone

,