La sécurité sur Internet et le phishing

Lire son courrier ou effectuer une recherche sur Internet sont devenues des opérations tellement habituelles qu’on en vient naturellement à banaliser les risques, pensant être protégé par nos antivirus et autres firewalls.

Si les outils habituels (antivirus, firewall, antispam, etc) sont de bonnes réponses aux risques techniques, ils ne sont en revanche que peu utiles lorsqu’il faut se prémunir d’une attaque d’ingénierie sociale (social engineering) comme l’hameçonnage –  phishing.

Qu’est-ce que c’est?

  • L’ingénierie sociale est une famille de techniques qui exploitent non pas les failles techniques mais les comportements humains pour outrepasser la sécurité.
  • L’hameçonnage consiste à récupérer des informations sur une personne en se faisant généralement passer auprès d’elle pour un organisme de confiance – banque, entreprise, etc. Il s’agit souvent de voler l’identité numérique d’une personne – nom d’utilisateur et mot de passe.

A titre d’exemple voici un courrier électronique envoyé lors d’une tentative récente:

Sujet: AVIS DE VOTRE ATTENTION désactivation FINAL compte de l'administrateur système
AVIS DE VOTRE ATTENTION désactivation FINAL compte de l'administrateur
système
Votre boîte aux lettres est presque plein.
20GB 23FR
AVIS DE VOTRE ATTENTION désactivation FINAL compte de l'administrateur
système 

Votre boîte aux lettres a dépassé la limite de stockage de 20 Go
est défini par votre administrateur, vous travaillez sur 20.9GB, vous
peut ne pas être en mesure d'envoyer ou de recevoir de nouveaux
messages jusqu'à ce que vous revalider votre boîte aux lettres. Pour
revalider votre boîte aux lettres s'il vous plaît cliquez sur:
xxx/form1.html
Remplissez vos informations dans le lien ci-dessus et cliquez sur
soumettre-Déposer
L'administrateur système aidera également à réduire les spam mails de
votre boîte aux lettres.
Vous êtes conseiller à combler dans les données afin de réactiver et de
réduire les spam à votre compte de messagerie.
Je vous remercie
L'administrateur du système.

L’auteur du courrier essaye ici de récupérer des informations au travers d’un formulaire en ligne en se faisant passer pour l’administrateur système.

Cela peut apparaître comme évident quand on lit le courrier avec du recul mais le système fonctionne souvent parce qu’il prend le lecteur au dépourvu. Il faut également noter qu’il est relativement facile de se forger une fausse identité numérique:

  • Il est très facile de créer une adresse email admin.monentreprise@domain.com sur un site d’hébergement quelconque.
  • On peut entrer n’importe quel texte dans les champs nom et prénom pour afficher Administrateur Système en lieu et place d’une adresse par trop évidente.
  • L’adresse de réponse peut ne pas être la même que celle de l’expéditeur.

Ces exemples ne résistent pas si on y est attentif mais ils permettent de générer un sentiment de confiance qui suffit à tromper le lecteur.

Il faut également noter que ces attaques restent dangereuses même si le risque de se faire piéger est faible. Ceci est lié au fait qu’elles ciblent un grand nombre d’utilisateurs. Avec un taux de réussite de 1% on obtient 10 comptes en interrogeant 1000 personnes, 100 comptes en interrogeant 10 000 personnes, etc. Une fois un compte obtenu les pirates peuvent l’utiliser pour obtenir d’avantage d’information en se servant de la confiance accordée à la personne piratée.

Pour se prémunir de tels risques il y a une règle d’or simple à suivre:

Il ne faut jamais donner des informations privées comme son mot de passe. Et ce, quelque soit la raison invoquée.

Car aucune entreprise ou service informatique ne vous demandera jamais votre mot de passe. S’il faut agir en votre nom, comme pour diminuer la taille de votre boîte au lettre, les services informatiques peuvent toujours le faire sans se connecter avec votre accès.

Que faire si vous avez déjà donné vos coordonnées?

Il faut immédiatement changer votre mot de passe pour le compte concerné et également pour tous les comptes qui utilisent le même mot de passe.

Il faut noter que la plupart des personnes utilisent le même mot de passe pour plusieurs comptes: adresse email privée, adresse email publique, etc. Ce fait est bien connu et les pirates peuvent l’exploiter pour obtenir un accès à vos autres comptes en testant plusieurs combinaisons de façon automatique : nom.prénom@gmail.com, nomprénom@hotmail.com, etc.