Le phishing ou hameçonnage

Le phishing également appelé hameçonnage est une technique frauduleuse utilisée par des pirates informatiques pour récupérer illégalement des données personnelles comme un mot de passe, un numéro de carte de crédit, une date de naissance...

Le phishing est une technique basée sur la création d'un piège informatique frauduleux. Ce piège est destiné à soutirer d'un internaute des informations personnelles comme un mot de passe, un numéro de carte de crédit, etc qui seront utilisés par la suite pour escroquer la personne piégée.

Une pratique frauduleuse

Le phishing passe le plus souvent sous le couvert d'un tiers de confiance comme une banque, une administration, un système de paiement en ligne de type Paypal, ou des sites reconnus pour leur sérieux comme Ebay par exemple. Généralement, les fraudeurs envoient à des dizaines de milliers d'exemplaires des faux e-mails à en-tête du tiers de confiance qui laissent croire à leurs destinataires qu'ils ont à faire avec une demande légitime de sécurité.

Dans la plupart des cas, l'e-mail demande de se connecter sur le site du tiers de confiance pour confirmer des informations personnelles. L'e-mail frauduleux comporte des liens cliquables qui renvoient sur un faux site, copie conforme du site du tiers de confiance. L'internaute saisie alors ses informations qui sont récupérées pour être utilisées frauduleusement. Un autre système de phishing est également très courant et plus pervers encore. Le lien cliquable renvoie en effet sur le vrai site du tiers de confiance et ouvre dans le même temps un faux formulaire de renseignement à en-tête falsifiée sous la forme d'un pop-up. L'internaute est porté à croire que le site sur lequel il s'est connecté est également l'émetteur du fameux pop-up. Il renseigne donc sans se méfier ce formulaire et les informations récoltées pourront ainsi facilement être exploitées à des fins frauduleuses avec usurpation d'identité.

Les parades au phishing

Les pirates informatiques étant de plus en plus inventifs, les parades au phishing sont elles-mêmes de plus en plus compliquées. Mais dans la majorité des cas, un internaute peut déceler une tentative de phishing simplement. La technique la plus simple est de ne jamais cliquer sur un lien cliquable dans un e-mail demandant des renseignements complémentaires d'identification. En effet, la vérification de l'adresse web dans la barre d'adresse du navigateur web peut souvent porter à confusion avec la multiplication des extensions possibles (.pro, .eu, .tv...) et des sous-domaines. Si un site connu réclame une information complémentaire, il est de l'intérêt de l'internaute de passer pour l'atteindre par le système de favoris qui donnera une adresse exacte de connection.

L'autre parade anti phishing est d'utiliser la fonction anti-pop-up des navigateurs. La mise à jour de la version de son navigateur est également conseillée puisque globalement, tous les grands navigateurs ont développé récemment des technologies spécifiques pour éviter les pièges du phishing. Ainsi, Safari, Firefox, Opera et Internet Explorer 7 proposent des systèmes d'alerte pour limiter le phishing. Netscape 8 de son côté intègre lui aussi des technologies qui tiennent à jour des listes noires de sites de phishing.

Le saviez-vous ?

Le terme hameçonnage a été créé par l'Office québécois de la langue française en 2004 pour traduire le terme anglais phishing en français. En France, depuis le 2006, la pratique du phishing est appelée officiellement filoutage.

Article rédigé par Dominique A.C. pour Bloc.com - Publié le 19/01/2009