Le phishing : une méthode d’ingénierie sociale
Origine Étymologiquement, le mot « phishing » est une contraction du mot «fishing» signifiant « pêche » en anglais et du mot « phreaking » désignant le piratage téléphonique. En français, le phishing est traduit par le mot «hameçonnage ». Il est apparu aux alentours de l’année 1995. Encore méconnu à cette époque, ce type d’arnaque sur internet commençait déjà à causer quelques problèmes. Selon les archives d’internet, il semblerait que la première mention du mot phishing date du 2 janvier 1996. Elle est apparue dans un groupe de discussion Usenet appelé alt.online-service.america-online à la suite des mesures prises par America Online (AOL) pour empêcher l’ouverture de comptes par l’utilisation de faux numéro de cartes de crédit algorithmiquement générés. En effet, à cette époque, AOL étant le leader des fournisseurs d’accès à internet, des millions de personnes utilisaient leurs services ce qui en faisait une cible naturelle pour des attaques.
Les pirates créaient des algorithmes de génération aléatoire de numéros de cartes de crédit afin d’ouvrir des comptes AOL pour ensuite les utiliser à des fins frauduleuses. Lorsque AOL introduira des mesures de sécurité destinées à empêcher l’utilisation de cette technique, les pirates orienteront leurs attaques vers les systèmes de messageries, définissant ainsi l’orientation qu’allaient prendre les attaques de phishing à l’avenir. Pendant près d’une dizaine d’années, le phishing resta très méconnu des internautes sans pour autant en être moins dangereux. A partir des années 2000, les attaques de phishing évoluent pour s’orienter dans un premier temps vers les sites de paiement en ligne puis vers des sites bancaires, développant ainsi de plus en plus de méthodes plus sophistiquées les unes que les autres.
Vérifier si le site internet visité est sécurisé
La règle d’or sur internet serait de ne jamais se fier aveuglément à un site web, d’autant plus si le site en question ne montre aucune preuve de sécurité. Il est donc de rigueur d’être vigilant et réticent à vouloir fournir des d’informations personnelles en ligne. En principe, un site internet sécurisé ne devrait poser aucun problème lorsque des renseignements confidentiels y sont introduits. Mais étant donné le nombre de fraudes perpétrées sur la toile et la sophistication toujours plus pointue de celles-ci, il est indispensable de rester attentif même si le site en question paraît sécurisé. Il est tout à fait envisageable que des pirates puissent créer des sites sécurisés afin de mieux tromper les victimes. Quelques indices, permettent de reconnaître un site sécurisé. Il faut tout d’abord vérifier dans la barre d’adresse du navigateur si l’URL du site visité commence par « https ». Ceci a pour but de garantir, en principe, la confidentialité et l’intégrité des données transmises entre le client et le serveur. De plus, une petite icône ressemblant à un cadenas fermé s’affichera aussi dans la barre d’adresse. Ce cadenas ainsi que le « https » indiquent que la connexion entre le navigateur et le site est chiffrée afin d’empêcher toute tentative d’interception de données transmises. Lorsque l’on clique sur ce petit cadenas, cela permet d’afficher le certificat de sécurité. Si le nom de l’organisation ou de l’entreprise s’affiche en vert conjointement au cadenas cela indique que le site en question a recours à un certificat de validation étendue. Ce type de certificat sollicite un processus de contrôle largement plus drastique en comparaison aux autres types de certificats. En affichant en toutes lettres le nom de l’organisation ou de l’entreprise directement dans la barre d’adresse, l’internaute est informé directement sur le propriétaire du certificat.
Vérifier le message reçu avec précaution
Un courrier électronique de phishing peut certifier être d’une entreprise authentique et fournir un lien qui redirige vers un site internet qui peut ressembler à s’y méprendre au site officiel de celle-ci. Afin de garantir la crédibilité du piège, le lien peut en outre conduire vers la politique de confidentialité de l’entreprise ou sur d’autres pages non pertinentes. La plupart du temps, les courriers électroniques génériques de phishing ne contiennent jamais le nom du destinataire mais commencent souvent par une formule impersonnelle de type « Cher client » suivi par un avis d’alerte demandant une réponse rapide. En revanche, il est possible que soit mentionné dans ce courrier électronique des noms de personnes fictives qui travaillent soi-disant dans l’entreprise en question. Pour savoir si la personne dont le nom est présent dans le message existe effectivement dans l’entreprise, il est judicieux de contacter directement l’entreprise elle-même. Cependant, il ne faut jamais appeler avec un numéro de téléphone potentiellement affiché dans le courrier électronique mais au contraire utiliser les formulaires de contact disponibles sur le site officiel de l’entreprise. Par ailleurs, lors de la réception d’un courrier électronique, il est primordial de s’interroger d’abord sur la probabilité que l’on ait communiqué son adresse de messagerie à l’établissement expéditeur du message. Si l’expéditeur est un ami ou une connaissance, il préférable de rester aussi aux aguets, car il se peut que cette personne ait été infectée ou son compte compromis. Dans la mesure du possible, vérifier avec cette personne l’authenticité du message. Enfin, il faut être vigilant par rapport aux messages contenant d’éventuelles fautes d’orthographe ou de grammaire. En cas de doute, il est préférable de supprimer le message. Un expéditeur légitime ne recevant pas de réponse aura toujours la possibilité de relancer le destinataire en cas de non réponse de sa part.
MELANI MELANI, signifiant en allemand, « Melde- und Analysestelle Informations sicherung » est la Centrale d’enregistrement et d’analyse pour la sûreté de l’information de la Confédération suisse opérationnelle depuis le 1er octobre 2004. Elle est chargée par le Conseil fédéral d’assurer la protection des infrastructures nationales critiques et vitales relevant de l’information et de la communication. Son objectif dans le domaine de la sécurité informatique étant d’anticiper d’éventuelles nouvelles menaces et de résoudre les problèmes existants. Elle est le fruit de la coopération entre le Département fédéral des finances (DFF) et le département fédéral de la défense, de la protection de la population et des sports (DDPS). Les informations publiées sur le site internet de MELANI sont destinées à toute personne physique ou morale utilisant un ordinateur connecté à internet, du particulier à la PME. Ses informations englobent des formulaires de signalement de problèmes relatif à la navigation sur internet, des rapports sur les principales tendances en matière d’escroquerie sur les technologies de l’information et de la communication ainsi que des renseignements à propos des dangers actuels d’internet. Par ailleurs, MELANI propose des règles comportementales destinées aux internautes afin qu’ils adoptent un comportement adéquat lors de leur navigation sur internet. Chaque annonce transmise est analysée et évaluée. Dans la mesure où un danger imminent a été découvert, MELANI se charge de prévenir l’hébergeur ainsi que le propriétaire du site internet lorsque la page est hébergée sur un site piraté afin de solliciter la suppression du contenu frauduleux. De plus, afin de contribuer à lutter efficacement contre ces menaces, les URL de pages web estimées comme néfastes sont transmises aux navigateurs web, aux administrateurs de listes noires ainsi qu’à des entreprises actives dans le domaine de la sécurité informatique. N’étant pas rattaché à un corps de police, MELANI n’entreprend aucune investigation pénale en rapport avec les annonces reçues et de ce fait n’engage aucune poursuite à l’encontre des cybercriminels.
SCOCI
Le SCOCI est le Service national de coordination de la lutte contre la criminalité sur Internet inhérent à la police judiciaire fédérale (PJF), elle-même division principale de l’Office fédéral de la police (fedpol). Il est chargé d’être l’interlocuteur privilégié pour toute personne désirant communiquer l’existence de sites internet dont le contenu est compromettant. Le SCOCI est le fruit de la collaboration entre le Département Fédéral de Justice et Police (DFJP) et la Conférence des directrices et directeurs des départements cantonaux de justice et police (CCDJP). En tant que centre de compétence technique pour le public, les administrations et les fournisseurs d’accès internet dans le domaine de la criminalité sur internet, il s’occupe d’analyser les données suspectes en vue de les transmettre aux autorités de poursuites pénales compétentes en Suisse ainsi qu’aux services étrangers exerçant la même fonction. Pour ce qui a trait à la cybercriminalité sur le plan international, le SCOCI collabore de manière proactive avec Interpol, Europol et le FBI en jouant le rôle d’intermédiaire privilégié entre les cantons et ces organisations.
Il est notamment partenaire du Centre européen de lutte contre la cybercriminalité EC3 d’Europol en étant membre du Focal Point (FP) CYBORG. L’équipe de collaborateurs affiliés au SCOCI est pluridisciplinaire. Elle se compose de spécialistes en matière de protocoles internet et de sécurité de l’information, de techniciens réseau, d’analystes criminels, de juristes et de policiers. Le SCOCI a pour responsabilité de gérer la coordination dans les opérations menées entre les différents corps de police cantonaux en permettant de diffuser de manière efficace les suspicions qui lui sont annoncées. Ainsi, en termes de cybercriminalité en Suisse, les prérogatives incombant à la police criminelle comme l’enregistrement de plaintes et les investigations, sont essentiellement endossées par les corps de police cantonaux et municipaux offrant par conséquent une meilleure proximité avec les citoyens. Enfin, le SCOCI met à disposition sur son site internet un formulaire d’annonce permettant de signaler et de dénoncer toutes tentatives d’arnaque sur le web. En se basant sur les annonces transmises au moyen de ce formulaire, le SCOCI publie les alertes sur son site internet et sur les réseaux sociaux participant ainsi à la prévention.
|
Table des matières
1. Introduction
2. L’ingénierie sociale en termes de sécurité de l’information
2.1 Une manipulation psychologique
2.2 Principales méthodes d’approche
2.3 Principales formes d’approche
3. Le phishing : une méthode d’ingénierie sociale
3.1 Origine
3.2 Explications
3.3 Techniques de phishing
3.3.1 Courrier électronique et spam
3.3.2 Messagerie instantanée
3.3.3 Manipulation de lien
3.3.4 Phishing par QR-Code
3.3.5 Phishing par moteur de recherche
3.3.6 Phishing par logiciel malveillant
3.3.7 Phishing par téléphone
3.3.8 Phishing par SMS
3.3.9 Tabnabbing
3.3.10 Evil Twin
3.3.11 Key Loggers
3.3.12 Vol de session
3.3.13 Reconfiguration du système
3.3.14 Injection de contenu
3.3.15 Attaque de l’homme du milieu
3.3.16 Pharming
3.4 Formes spécifiques de phishing
3.4.1 Spear phishing
3.4.2 Whaling
3.5 Les méthodes utilisées par les attaquants
3.5.1 Le partage d’information
3.5.2 Scénario d’attaque possible
4. Les victimes du phishing
4.1.1 Les conséquences d’une attaque réussie
4.1.2 Ce que font les attaquants des données récoltées
4.1.3 Les démarches à entreprendre suite à une attaque
5. Les mesures de protection contre le phishing
5.1.1 Mesures comportementales
5.1.1.1 Se tenir informé au sujet des techniques de phishing
5.1.1.2 Rester méfiant quant aux liens hypertextes et QR-Code
5.1.1.3 Vérifier si le site internet visité est sécurisé
5.1.1.4 Se méfier des pop-up
5.1.1.5 Ne jamais divulguer de renseignements personnels
5.1.1.6 Se connecter régulièrement à ses comptes en ligne
5.1.1.7 Vérifier le message reçu avec précaution
5.1.1.8 Consulter ses relevés de compte régulièrement
5.1.1.9 Ne jamais télécharger des fichiers de sources peu fiables
5.1.2 Mesures techniques
5.1.2.1 Utiliser un logiciel antivirus à jour
5.1.2.2 Garder son navigateur à jour
5.1.2.3 Activer le filtre anti-spam de son client de courrier électronique
5.1.2.4 Utiliser des pare-feu
5.1.2.5 Activer le filtre anti-phishing des navigateurs
5.1.2.6 Installer une barre d’outil anti-phishing
5.1.2.6.1 WOT
5.1.2.6.2 TrafficLight de Bitdefender
5.1.2.6.3 Link Extend
5.1.2.6.4 McAfee Site Advisor
5.1.2.6.5 AVG Link Scanner
5.1.2.6.6 Netcraft Toolbar
5.1.2.6.7 PhishTank SiteChecker
5.1.2.6.8 Web Security Guard
5.1.2.7 Vérifier la réputation d’un site internet à partir de son URL
5.1.2.7.1 PhishTank
5.1.2.7.2 Google Safe Browsing Diagnostic
5.1.2.7.3 Norton Safe Web
5.1.2.7.4 Is It Phishing
5.1.2.7.5 Scan URL
5.1.2.7.6 URL Void
5.1.2.7.7 Sucuri Site Check
5.1.2.7.8 Online Link Scan
6. Les moyens de lutte mis en oeuvre
6.1 En Suisse
6.1.1 MELANI
6.1.1.1 MELANI Check Tool
6.1.2 SCOCI
6.1.2.1 Statistique d’annonces reçues
6.2 En Europe
6.2.1 EC3
6.2.2 Phishing Initiative
6.3 Dans le monde
6.3.1 Anti-Phishing Working Group
7. Les bases légales suisses
7.1 Code pénal suisse
7.1.1 Infraction contre le patrimoine
7.1.1.1 Article 143 : Soustraction des données
7.1.1.2 Article 143 bis : Accès indu à un système informatique
7.1.1.3 Article 144 : Dommage à la propriété
7.1.1.4 Article 144 bis : Détérioration des données
7.1.1.5 Article 147 : Utilisation frauduleuse d’un ordinateur
7.1.2 Faux dans les titres
7.1.2.1 Article 251 : Faux dans les titres
7.1.3 Infraction contre le domaine secret ou le domaine privé
7.1.3.1 Article 179 novies : Soustraction de données personnelles
7.2 Loi fédérale sur la protection des marques
7.2.1 Dispositions pénales
7.2.1.1 Article 62 : Usage frauduleux
7.3 L’usurpation d’identité
8. Cas réels
8.1 Courriers électroniques au nom d’entités de confiance
8.1.1 Paypal
8.1.2 Apple
8.1.3 Ricardo.ch
8.1.4 Groupe des Banques Cantonales
8.1.5 UBS
8.1.6 Cembra Money Bank
8.1.7 PostFinance
8.1.8 UPC Cablecom
8.1.9 Office fédéral de l’énergie (OFEN)
8.1.10 Département fédéral de l’intérieur (DFI)
8.2 Phishing par Whatsapp
8.2.1 Faux sondage et abonnement piège au nom d’H&M
9. Conclusion
Bibliographie
Télécharger le rapport complet
