Arnaques sur le Net: que fait la cyberpolice? | Mars 2010


Phishing: alors ça mord?

Qui n’a pas entendu parler du «Phishing» – technique appelée encore «filoutage» ou «hameçonnage»? Il s’agit de d’une nouvelle forme de fraude qui consiste à obtenir des renseignements personnels auprès des internautes puis de les utiliser à mauvais escient.

La victime potentielle reçoit  l’e-mail d’un fraudeur se faisant passer pour sa banque ou une autre société digne de confiance. Ce message l’informe d’un problème survenu sur son compte et de la nécessité d’une action urgente. Le message fournit un hyperlien qui dirige l’utilisateur vers un autre site Web qui ressemble à s’y méprendre au site officiel de la société en question. Une fois sur le faux site, l’utilisateur est invité à saisir des informations confidentielles, telles que son nom d’utilisateur, son mot de passe, son numéro de sa carte de crédit, sa date de naissance et autres informations personnelles, qui sont alors enregistrées par le criminel et utilisées pour escroquer la personne piégée.

Le terme «Phishing» est utilisé depuis 1996, date de la première apparition de cette fraude en ligne aux Etats-Unis, lors d’une attaque à l’encontre d’AOL (American Online), premier fournisseur américain de services Internet. Les hackers se sont attaqués par la suite aux banques américaines ainsi qu’à d’autres banques dans le monde, provoquant des pertes financières  importantes. Par la suite, des attaques similaires ont visé des particuliers. En 2004, le Phishing était déjà reconnu comme un délit faisant partie de l’économie de la fraude.






PayPal, eBay et les réseaux sociaux

Les tiers de confiance les plus souvent imités sont les banques, les sites de paiement en ligne tels que PayPal et les sites de ventes aux enchères tels qu’eBay. De même, les sites de réseaux sociaux sont aussi devenus la cible d’attaques, en raison du nombre de données personnelles contenues pouvant être utilisées pour usurper l’identité d’une personne. En 2006, un virus informatique s’est infiltré dans le site de MySpace transformant des liens sensés diriger les utilisateurs vers d’autres sites. Facebook a également été victime de tentatives de hameçonnage en mai 2009. On estime qu’environ 70% des attaques sur les réseaux sociaux réussissent à atteindre leur objectif, à l’insu des utilisateurs.

Bien que les techniques développées par les criminels du Net évoluent chaque jour, nous pouvons éviter de mordre à l’hameçon en nous montrant particulièrement prudents et attentifs au contenu des courriels reçus,  ou lors de l’ouverture de fenêtres pop-up. Dans le cas de la réception d’un e-mail non sollicité, quelques tests simples permettent d’évaluer son authenticité.




Le type de message reçu

Le message donne l’impression d’être une demande légitime de sécurité nécessitant une action urgente et immédiate de la part de l’utilisateur, comme par exemple une invitation à cliquer sur un lien pour réactiver un compte. Dans la plupart des cas, l'e-mail invite à se connecter sur le site du tiers de confiance et demande la confirmation d’informations personnelles telles que son nom d’utilisateur, son mot de passe, son numéro de carte de crédit ou encore sa date de naissance.

Usuellement, le message ne s’adresse pas à la personne de manière nominale mais plutôt par un nom générique, tel que «Cher Client/e».



Le lien

Un hyperlien peut être trompeur et afficher l’adresse exacte du tiers de confiance mais il ne conduira pas pour autant l’utilisateur là où il croit réellement aller. Pour vérifier la vraie nature du lien frauduleux, il suffit de  le survoler pour voir sa véritable adresse de destination, durant quelques secondes, en bas à gauche du navigateur.


L'addresse URL dans la barre de navigation


En général, l’adresse exacte et l’adresse factice se ressemblent, mais cette dernière ne correspond pas tout à fait  à l’adresse URL du site officiel; souvent il y aura des fautes de frappe ou des sous-domaines envoyant la victime sur le site frauduleux:


mabanque.com.unsite.net


Un autre signe douteux est une adresse contenant le symbole @:

mabanque.com@members.unsite.net

Même si la première partie de l’adresse semble authentique, elle ne l’est pas et conduira l’utilisateur vers le serveur du fraudeur.


Le symbole du cadenas

Les phishers arrivent même à reproduire le cadenas jaune affiché en bas de page, garantie des pages Internet sécurisées. Pour le tester, il suffit de double-cliquer sur ce symbole; si le certificat de sécurité ne s’affiche pas ou si un message indique que l’adresse ne correspond pas au certificat, alors il vaut mieux ne pas continuer.

Il est important de savoir que les banques n’utiliseront jamais le courriel pour régler un problème technique ou de sécurité avec l’un de ses clients.

Un autre type de hameçonnage encore plus pervers  dirige l’internaute, lorsqu’il clique sur le lien, vers le vrai site du tiers de confiance. Dans le même temps, une fenêtre pop-up s’ouvre sur le vrai site. Cette fausse fenêtre  présente un formulaire imitant l’en-tête de la banque. L’utilisateur est invité à s’y rendre et remplir le formulaire avec ses données. Une fois les données remplies, il est trop tard pour faire marche arrière…


En définitive:


• Ne répondez pas à des courriels demandant des renseignements personnels
• Ne cliquez jamais sur des liens dans ce type de courriels
• Utilisez un filtre anti-hameçonnage qui permette d'identifier les sites Web frauduleux
• Dans le doute, contactez directement l'institution ou la compagnie par téléphone


Autres mesures de protection


Partant du principe que toutes les précautions sont bonnes et qu’il vaut mieux prévenir que guérir, les grands navigateurs ont développé récemment des technologies spécifiques pour éviter les pièges du Phishing pour gérer les cookies. Les navigateurs les plus récents tels que Safari, Firefox, Opera, Google Chrome et Internet Explorer offrent des systèmes de protection permettant d’avertir l’utilisateur du danger et lui demander s’il souhaite vraiment naviguer sur des  sites douteux.


Les applications de messagerie, telles que Mozilla Thunderbird, comprennent des filtres antipourriels pour réduire le nombre d’e-mails indésirables.  


D’autres solutions payantes et plus poussées existent également, telles que des logiciels antivirus  regroupant des fonctionnalités antispam, pare-feu et antiphishing. La dernière version de Norton, Internet Security 2010 est une des plus sophistiquées du marché. Celle-ci intègre aussi la protection de l’identité et protège l’internaute contre les pirates qui tentent de voler des informations à l’aide d’enregistreurs de frappe.
(http://www.symantec.com/fr/fr/norton/internet-security)





Il est aussi possible de trouver des outils de protection gratuits sur Internet tels que EarthLink ScamBlocker (http://www.earthlink.net/earthlinktoolbar). 





Lorsqu'on se fait "phisher"

Si on se fait phisher malgré toutes les précautions mises en place,  l’ampleur des dégâts dépendra de la rapidité de réaction de l’utilisateur. Les mesures à prendre sont :

• Contacter l’institution émettrice de la carte bancaire (Visa, Mastercard etc.)
• Contrôler le relevé de compte après l’escroquerie
• Dénoncer les charges non autorisées
• Si les comptes dévoilés sont de type PayPal ou eBay, changer le mot de passe ou demander la suspension ou éventuellement même l’annulation du compte
• Déposer plainte au poste de police le plus proche


Lorsqu’il s’agit de cartes de crédit, il est recommandé de contacter immédiatement l’institution
émettrice de la carte, à savoir Visa, Mastercard, American Express etc. Le numéro d’urgence est toujours affiché au dos de la carte et d’autres informations peuvent également être trouvées sur les sites officiels.

En Suisse, le Service de coordination de la lutte contre la criminalité sur Internet ou SCOCI, permet de dénoncer un cas de cybercriminalité sur Internet par l’intermédiaire d’un formulaire disponible sur le site: http://www.scoci.ch/form.php?language=fr


Base légale

Au niveau transnational, il n’existe pas encore un cadre régulateur spécifique harmonisant les lois et méthodes de lutte contre la fraude sur Internet. Toutefois, les gouvernements s’efforcent d’harmoniser leurs différents systèmes. La Chambre de commerce internationale (ICC) fédérant des centaines de milliers de sociétés et d’associations économiques dans plus de 130 pays a entamé l’élaboration d’une certification d’application internationale, qui n’a pour l’instant pas encore abouti. Interpol suit de près les nouvelles tendances et les cas de fraude sur Internet. Il coopère avec les autorités nationales de 188 pays membres offrant un soutien opérationnel, services de bases de données et cours de formation pour la police dans les nouvelles technologies de l’information.


La Commission Européenne mène depuis quelques années une politique de lutte contre la cybercriminalité, en coopération étroite avec les Etats membres et les autres institutions de l’Union Européenne. L’objectif est de parvenir, à long terme, à une certaine harmonisation du droit pénal applicable. La mesure législative la plus importante est la décision-cadre 2005/222/JAI du Conseil relative aux attaques visant les systèmes d’information, adopté le 17 janvier 2005. La Commission encourage aussi la coopération transfrontalière en matière de répression au sein de l’UE.

Vu le caractère international de ce type d’escroquerie et la nécessité de globaliser la lutte contre celle-ci, il est toujours recommandé de dénoncer le cas auprès d’une association  de portée internationale telle que l’APWG (The Anti-Phishing Working Group). Cette association regroupe des entreprises de différents pays dont le but est l’élimination de cas d’usurpation d’identité et de  fraude liées au problème d’hameçonnage. Son forum de discussion partage des informations et bonnes pratiques pour éradiquer ce fléau. Le site permet de réaliser  un Copier/Coller de l’email frauduleux reçu qui sera éventuellement communiqué aux autorités.


Sources :

http://www.wikipedia.org/
http://www.tsr.ch/
http://www.antiphishing.org/
http://www.scoci.ch/
http://www.ec.europa.eu/
http://www.interpol.int/
http://www.icc-ccs.org/
http://www.symantec.com/fr/fr/norton/internet-security


dossier préparé par:


Rosa Garrido, Italo Goyzueta, Gabriel Hussy, Manojlo Jelic, Patricia Jordan