Une escroquerie rien que pour vous

JENNOTTE,ALAIN

Jeudi 14 juin 2007

Technologies Internautes, gardez-vous du « spear phishing » qui vous guette

Les attaques par phishing se font plus insidieuses. La victime est ciblée et l'attaque personnalisée. Danger !

Les attaques par phishing se font plus insidieuses. La victime est ciblée et l'attaque personnalisée. Danger !

Alors que les firmes de sécurité informatique tentent d'enrayer l'inquiétante progression du phishing, une forme particulièrement dangereuse d'escroquerie sur l'internet, les pirates poussent toujours plus loin leur maîtrise de l'ingénierie sociale destinée à tromper leurs victimes. La nouvelle tendance ? Personnaliser les attaques pour tenter de prendre la grosse prise au bout du hameçon plutôt que de pêcher le tout-venant au filet.

Le phishing a commencé à se répandre à partir de 2004. La technique consiste à convaincre un internaute de cliquer innocemment sur un lien contenu dans un email qu'il vient de recevoir. Il sera alors redirigé vers une page web qui est la copie conforme d'un site bancaire ou de commerce électronique, où des pirates tenteront de lui extorquer des informations confidentielles, tels des mots de passe ou des numéros de carte de crédit. La Belgique n'est pas épargnée. En 2005, Citibank a reconnu que plusieurs de ses clients avaient été victimes de phishing et les a complètement indemnisés.

Depuis, l'expansion du phishing se poursuit. Dans son dernier rapport mensuel, MessageLabs, un spécialiste de la sécurisation des messageries, note qu'en 2006 on comptait en moyenne un message de phishing sur 322. La proportion est désormais d'un sur 156.

Hameçon personnalisé

Et la menace se fait plus insidieuse encore lorsque le pirate peaufine ses travaux d'approche. Utilisant un logiciel-espion (« spyware »), il dresse un profil précis de l'internaute qu'il veut cibler. Il tente de découvrir quelle est sa banque par exemple ou quel genre de produits il cherche sur eBay. Il crée alors un faux site très personnalisé et envoie par mail, au moment psychologiquement le mieux choisi, le petit lien qui attirera à lui le malheureux internaute, toutes gardes baissées.

Plus efficace, ce phishing personnalisé, surnommé « spear phishing », est également moins éphémère. Les sites de phishing « traditionnels » ont une durée de vie qui n'excède guère vingt-quatre heures, le temps que les spécialistes de la sécurité puissent les détecter. Avec le « spear phishing », ils peuvent rester en ligne plusieurs jours.

Les pirates ont aussi d'autres tours dans leur sac. Pour échapper à la traque des logiciels qui jaugent la fiabilité d'un site web (Le Soir du 15 mars), les sites de phishing ont développé une nouvelle astuce : ils n'activent pas immédiatement leurs fonctions malveillantes dans les premiers jours qui suivent leur mise en ligne. Les bases de données qui évaluent la fiabilité du site les considèrent donc comme anodins et sans risque. « Cela rend ce type de sites bien plus difficiles à intercepter, expliquent les responsables de MessageLabs. Nous sommes contraints de poursuivre les contrôles durant au moins 72 heures ».