Sécurité informatique: connaître les dangers

Le " phishing " (ou hameçonnage)

Le " phishing " est une technique par laquelle des malfaiteurs tentent d'entraîner un client d'une banque vers un site web qui ressemble très fort à celui de sa banque.

Ils persuadent la personne de fournir son numéro de carte de crédit et le mot de passe qui y est associé.

Ce qui leur permet ensuite très facilement de faire des achats ou de retirer de l'argent sur le compte en banque de leur victime.

Exemple de " phishing "

Le " phishing " ne cible généralement pas les clients connus d'une banque. Les malfaiteurs envoient des courriers électroniques tous azimuts, en utilisant les mêmes techniques que les spammeurs.

Parmi les personnes qui reçoivent le courrier électronique, certaines sont réellement clientes de la banque cible.

Dans l'exemple ci-dessous, les victimes sont averties de la mise en service d'un nouveau système de sécurité et sont invitées à mettre leur compte à jour pour pouvoir en profiter.

Lorsque la victime clique sur le bouton " Continue ", au bas du message qu'elle a reçu, elle aboutit sur un site web qui ressemble très fort au site web de la banque.

Elle est invitée à y fournir des informations relatives à sa carte de crédit.

Le problème est qu'il ne s'agit pas du site web de la banque, mais d'une copie conforme. Si le client fournit les informations demandées, celles-ci sont alors transmises aux malfaiteurs.

Dans le cas présenté ci-dessus, certains indices montrent clairement aux internautes avisés qu'il s'agit d'une supercherie :

  • L'adresse URL de la banque ne figure pas dans la barre d'adresse ; à la place, on y trouve une adresse IP http dont on vérifiera aisément qu'elle ne correspond pas à la banque.
  • La connexion vers la banque n'est pas sécurisée : le protocole utilisé est simplement http et non https, comme il se devrait dans la communication de données confidentielles à une banque.

On ne trouve pas le symbole de la connexion sécurisée dans le navigateur:

    • Internet Explorer:
    • Firefox :
  • Dans certains cas, les pirates cachent l'adresse de destination à l'aide d'un petit programme qui superpose un rectangle où figure la vraie adresse de la banque.
    La technique est d'ailleurs parfois imparfaite, comme sur l'exemple ci-dessous ou le " cache " apparaît bien (l'adresse URL est un peu décalée vers le bas) :

D'autres exemples sont inventoriés à la page http://www.antiphishing.org/phishing_archive.html.

Il ne faut donc, en aucun cas, donner suite à des courriers électroniques censés provenir d'une banque ou de tout autre organisme qui vous demande de donner votre numéro de carte de crédit ou toute autre information confidentielle dans une simple connexion à l'Internet.

Le " phishing " est
Une sorte de spamming
Une technique pour faire dévoiler des informations bancaires condidentielles
L'envoi volontaire de virus vers une adresse de courrier électronique
L'envoi volontaire de spywares vers une adresse électronique
Dans le cadre du " phishing ", l'internaute est renvoyé vers une adresse web. L'adresse qui apparaît dans son navigateur est
Toujours fausse
Toujours exacte
Parfois fausse, parfois exacte
Lorsque l'on communique des informations sensibles avec un organisme quelconque, il faut toujours vérifier que le protocole d'échange utilisé est bien
http
ftp
https
On reconnaît l'utilisation du protocole https à un symbole présenté dans le navigateur
Une clé
Un verrou
Un trombone
Un cadenas
On peut être sûr que le protocole d'échange utilisé sur le web est https si
Le nom du protocole https précède l'adresse URL de la page web visitée
Un cadenas apparaît dans la barre d'état du navigateur
Le logo https apparaît dans la page web visitée

Quand tu as répondu à toutes les questions et bien compris les réponses, passe à la page suivante.

La page suivante


Dernière modification 11/07/2009