Hameçonnage

Un article de Wikipédia, l'encyclopédie libre.

L'hameçonnage, appelé en anglais phishing, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. L'hameçonnage peut se faire par courrier électronique, par des sites web falsifiés ou autres moyens électroniques.

Sommaire 1 Étymologie 1.1 Étymologie de phishing 1.2 Traductions françaises 2 Hameçonnage sur Internet 2.1 Parades 3 Voir aussi 3.1 Articles connexes 3.2 Liens externes 4 Référence

[modifier] Étymologie

[modifier] Étymologie de phishing

• Le terme phishing s'inspire du terme phreaking : mot-valise de « phone » et « freak ». Originellement, le phreaking était un type d'arnaque utilisé afin de profiter de services téléphoniques gratuits surtout présent à l'époque des appareils analogiques (années '70).
• Le terme phishing aurait été inventé par les pirates qui essayaient de voler des comptes AOL. Il serait construit sur l'expression anglaise password harvesting fishing, soit « pêche aux mots de passe ». Un attaquant se faisait passer pour un membre de l'équipe AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, « vérifier son compte AOL » ou « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser à des fins malveillantes, comme l'envoi de pourriel.

[modifier] Traductions françaises

Les termes hameçonnage et appâtage ont été proposés par l'Office québécois de la langue française (OQLF) en avril 2004 comme traduction française de phishing. Au Canada, hameçonnage est rapidement devenu d’usage courant.

Parmi les autres termes considérés par l'OQLF, mais non retenus, on trouve :

• Escroquerie par courriel - Manque de précision ; l'hameçonnage est plutôt une tentative d'escroquerie, car il ne réussit pas à tous les coups et ne constitue sûrement pas la seule façon d'escroquer au moyen du courrier électronique.
• Pêche aux données/informations personnelles/confidentielles - Plus descriptif que dénominatif, peut servir de périphrase comme l'expression le réseau des réseaux lorsqu'on parle d'Internet.
• Pêche au(x) gogo(s) - Trop péjoratif.
• Filoutage - Manque de précision ; peut désigner toute forme d'escroquerie.
• Usurpation d'interface - Manque de précision ; l'usurpation d'interface ou d'identité (d'entreprise) n'est que l'un des moyens principaux utilisés pour effectuer un hameçonnage.

Plus récemment, on a vu apparaître :

• Piégeonnage - Un « piégeon » est un pigeon (personne dont on va abuser de la crédulité) via un piège électronique. Cette nouvelle proposition conserve le sens des autres mais apporte un recentrage sur la personne ciblée tout en réutilisant des images pré-existantes du français courant.

Phishing scam peut se traduire par « escroquerie par hameçonnage », et convient lorsque l'hameçonnage a réussi, c'est-à-dire lorsque celui-ci a permis d'escroquer un internaute naïf (OQLF).

Brand spoofing, qui peut se traduire par usurpation de marque ou usurpation d'identité d'entreprise, fait plutôt référence au moyen utilisé pour mener à bien un hameçonnage. (OQLF) (voir Usurpation d'interface, ci-haut).

La Commission générale de terminologie et de néologie de France retient depuis le 12 février 2006 le terme filoutage pour traduire phishing^[1].

[modifier] Hameçonnage sur Internet

Les criminels informatiques utilisent généralement l'hameçonnage pour voler de l'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay. Les adeptes de l'hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles.

Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à ne pas alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page trompeuse, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel.

En 2007, ces criminels informatiques ont changé de technique, en utilisant un moyen de piratage appelé attaque de l'homme du milieu pour recueillir les informations confidentielles données par l'internaute sur le site visité.

[modifier] Parades

La vérification de l'adresse web dans la barre d'adresse du navigateur web peut ne pas être suffisante pour détecter la supercherie, car certains navigateurs n'empêchent pas l'adresse affichée à cet endroit d'être contrefaite. Il est toutefois possible d'utiliser la boîte de dialogue « propriétés de la page » fournie par le navigateur pour découvrir la véritable adresse de la fausse page.

Une personne contactée au sujet d'un compte devant être « vérifié » doit chercher à régler le problème directement avec la société concernée ou se rendre sur le site web en tapant manuellement l'adresse dans son navigateur. Il faut savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité avec l'un de ses clients. En règle générale, il est recommandé de faire suivre le message suspect à usurpation ou abuse (par exemple, si l'hameçonnage concerne societe.com, ce sera usurpation@societe.com ou abuse@societe.com), ce qui permettra à la société de faire une enquête.

Il faut être particulièrement vigilant lorsque l'on rencontre une adresse contenant le symbole « @ », par exemple http://www.mabanque.com@members.unsite.com/. Ce genre d'adresse va essayer de connecter l'internaute en tant qu'utilisateur « www.mabanque.com » sur le serveur « members.unsite.com ». Il y a de fortes chances que cela se réalise même si l'utilisateur indiqué n'existe pas réellement sur le serveur, mais par cette méthode la première partie de l'adresse semble être tout à fait innocente (www.mabanque.com). De même, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sous-domaines, par exemple http://www.mabanque.com.unsite.net/.

Des navigateurs récents, tels que Firefox, Opera et Internet Explorer 7, possèdent un système permettant d'avertir l'utilisateur du danger et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses. Netscape 8 intègre également des technologies permettant de tenir à jour une liste noire de sites dangereux de ce type.

Les filtres antipourriels aident aussi à protéger l’utilisateur des criminels informatiques en réduisant le nombre de courriels que les utilisateurs reçoivent et qui peuvent être de l'hameçonnage. Le logiciel client de messagerie Mozilla Thunderbird comporte un filtre bayesien très performant (filtre anti-pourriel auto-adaptatif).

Les fraudes concernant les banques en ligne visent à obtenir l'identifiant et le mot de passe du titulaire d'un compte. Il est alors possible au fraudeur de se connecter sur le site web de la banque et d'effectuer des virements de fonds vers son propre compte. Pour parer à ce type de fraude, la plupart des sites bancaires en ligne n'autorisent plus l'internaute à saisir lui-même le compte destinataire du virement^{[réf. nécessaire]} : il faut, en règle générale, téléphoner à un service de la banque qui reste seul habilité à saisir le compte destinataire dans une liste de comptes. La conversation téléphonique est souvent enregistrée et peut alors servir de preuve. D'autres banques utilisent une identification renforcée, qui verrouille l'accès aux virements si l'utilisateur n'indique pas la bonne clé à quatre chiffres demandée aléatoirement, parmi les soixante-quatre qu'il possède. Si la clé est la bonne, l'internaute peut effectuer des virements en ligne.

[modifier] Voir aussi

[modifier] Articles connexes

• Usurpation d'identité
• Ingénierie sociale (sécurité de l'information)
• Authentification forte
• DKIM, technologie de lutte contre l'hameçonnage
• Pharming

[modifier] Liens externes

• (fr) Fiche terminologique du Grand Dictionnaire terminologique (OQLF)
• (fr) Exemple pour tester votre navigateur
• (fr) Exemple d'hameçonnage BNP Paribas
• (fr) Exemple d'hameçonnage LCL & SG
• (fr) Cross Site Scripting et Phishing
• (fr) cases.lu Dossier thématique sur le phishing avec test
• (en) Anti-Phishing Working Group
• (en) FraudWatch International
• (en) Safe Browsing for Enterprise Users
• (en) Extended Validation SSL Certificates - A New, Higher Standard for Internet Security
• (en) 10 tips to avoid phishing attacks on net-security.org

[modifier] Référence

• Portail de la sécurité informatique