Contacter l'auteur / Contact the author

Recherche dans ce site / Search in this site

 

La cybercriminalité

Le phishing (III)

A côté des virus et des Troyens, il y a notamment le "phishing" et le "spam", deux formes de courrier indésirable dont vous pouvez être victime même si votre système ou celui de l'hébergeur est sécurisé.

Le "phishing" (l'hameçonnage ou pêche à l'information) est une technique consistant pour une personne malveillante à récupérer sous une forme déguisée vos informations personnelles, notamment le numéro de votre carte de crédit, de votre compte en banque ainsi que le mot de passe, votre numéro de sécurité sociale, votre code PIN, etc, pour voler votre argent.

Comment procède le pirate ? Le pirate ou l'arnaqueur vous contacte soit après avoir trouvé votre adresse e-mail sur Internet (sur un forum, dans des petites annonces, etc) soit par le biais d'un site de vente en ligne (Kapaza, Le Bon Coin, VivaStreet, 2ememain, etc).

Après avoir pris contact par e-mail (généralement en utilisant une adresse en @gmail.com, parfois @outlook.fr ou .com), l'arnaqueur vous propose de lui envoyer l'article mis en vente par courrier express (même quand habite soi-disant la même ville que vous !) ou par avion (même entre pays frontaliers !) en insistant sur le fait qu'il prend tous les frais en charge.

Ensuite, il vous propose ou plutôt exige que vous utilisiez PayPal ou créez rapidement un compte sur ce site de paiment.

Si vous acceptez le paiment par PayPal, c'est ici que l'arnaque commence.

En effet, comme on le voit ci-dessous, un acheteur qui veut payer un article via PayPal peut procéder de deux manières (préalablement il a fallut que l'acheteur relie son e-mail à sa carte de crédit et que le vendeur fasse de même avec son propre compte) :

- 1°. L'acheteur se connecte à PayPal (toujours en https://) puis indique l'adresse e-mail du vendeur et le montant qui doit être crédité.

Le vendeur reçoit ensuite un e-mail de PayPal confirmant que de l'argent lui a été versé et le débiteur reçoit une confirmation de sa transaction.

Après avoir encodé et confirmé la transaction, il n'a aucune vérification ou demande d'information à valider par l'acheteur et c'est transparent pour le vendeur.

Quant au vendeur, dès qu'il a reçu la notification de PayPal par e-mail précisant qu'une somme d'argent lui a été versée, s'il vérifie son compte PayPal, la même somme d'argent doit apparaître immédiatement dans le récapitulatif de son compte.

Cela veut dire que si un escroc vous envoie une notification factice avec un certain montant soi-disant payé, et que ce montant n'apparaît pas dans votre compte PayPal, c'est qu'il s'agit d'une tentative d'arnaque. En aucun cas n'expédier l'article à cet acheteur car c'est un escroc.

Si vous voulez en être certain, avant d'envoyer l'article, téléphoner au service client de PayPal.

Deux exemples de formulaires utilisés pour effectués des paiments via PayPal. A gauche, un paiment sécurisé initié par le client sur le site de Paypal. A droite, un e-mail envoyé par le marchand à la demande du client comprenant un hyperlien (le bouton "Payer") qui le conduira sur le site sécurisé de PayPal où le client pourra confirmer la transaction.

- 2°. Le vendeur envoie un e-mail au client lui demandant de payer le montant de la facture par PayPal. Comme on le voit ci-dessous à gauche, l'e-mail contient un hyperlien (le bouton "Payer") permettant au client d'effectuer la transaction sur le site sécurisé de PayPal.

Ensuite vous vous retrouvez dans le cas N°1 à la différence que le destinataire (vendeur) et le montant à payer sont déjà indiqués. Il suffit à l'acheteur de valider les données.

Notez qu'ebay propose une procédure similaire via son option "Demander le paiement" qui permet au vendeur d'adresser par e-mail au client un formulaire contenant un hyperlien lui permettant de finaliser sa transaction et de payer l'article.

Jusqu'ici cette procédure fonctionne très bien pour des millions d'adhérents.

Or dans le cas du phishing ou de la tentative d'escroquerie, à l'instar du cas N°2, comme on le voit ci-dessous le pirate va prendre l'initiative de vous envoyer par e-mail un formulaire factice dont l'entête et le texte ressemblent à s'y méprendre au courrier officiel d'une institution avec laquelle vous avez des chances de travailler, (PayPal, eBay, VISA, Amazon, Microsoft, une banque, etc).

Deux exemples de phising. A gauche, un e-mail imitant le formulaire de PayPal (mais que PayPal ne vous envoie jamais sous cette forme !). A droite, un e-mail envoyé par un arnaqueur soi-disant au nom d'Outlook demandant vos données personnelles. Microsoft n'envoie jamais ce genre de document. Notez les adresses e-mail bidons. N'Y REPONDEZ JAMAIS au risque de perdre votre argent !

Il est même possible que le pirate soit suffisamment habile pour utiliser une adresse e-mail similaire à celle de ces institutions (par ex. service@paypal.fr, info@amazon.fr, etc). Vous ne pouvez donc pas identifier le pirate à 100% à partir de son adresse e-mail.

Parfois le document factice envoyé par e-mail vous explique que vos informations personnelles doivent être vérifiées. Pour ce faire vous devez cliquer sur un lien qui vous conduira sur une page, cette fois celle programmée par le pirate où le système vous demandera notamment le numéro de votre carte de crédit et votre mot de passe. Vous avez compris : confiant et naïf, si vous y répondez, vous tombez dans la toile du pirate !

Aussi, par prudence, si un acheteur vous paie par PayPal, dès que vous recevez une notification de paiment versé à votre nom vérifiez d'abord que ce montant est bien indiqué dans votre compte PayPal. Si le montant n'apparaît pas, bloquez immédiatement l'adresse e-mail de cet escroc et rompez tout contact avec lui.

En fait, PayPal ne contacte jamais ses clients par e-mail pour confirmer des données personnelles. Suite aux nombreuses anarques dont il a fait indirectement l'objet PayPal a publié le communiqué suivant : "Nous ne vous demandons jamais les numéros de votre compte ou de votre carte bancaire, de votre permis de conduire, ni vos adresses email, votre nom complet, votre mot de passe, ou les réponses à vos questions secrètes PayPal par email".

Moralité

Par sécurité, sur Internet ou par téléphone ne donnez jamais votre véritable identité ni vos coordonnées à un acheteur tant que ce n'est pas indispensable.

Utilisez si possible un pseudonyme anonyme. En cas de litige, votre véritable identité sera malgré tout connue des services clients des sites marchands.

Soyez très méfiant quand un acheteur réside à l'étranger, spécialement dans un pays à risque (souvent en Afrique), quand il ne discute pas de la qualité ou des particularités du produit qu'il va acheter, quand il évoque un déplacement à l'étranger ou qu'il est prêt à surfacturer l'article sans discuter.

Ne cliquez jamais sur un lien contenu dans un e-mail émis par une société qui vous demande de confirmer ou de vérifier vos données personnelles, et d'autant moins si vous n'avez jamais été en relation avec cette entreprise !

Enfin, pas de panique ! Soyez simplement prudent quand vous achetez ou vendez par Internet. Ce n'est pas parce qu'une personne réside à l'étranger qu'il s'agit d'un escroc, sinon ebay et autre Amazon ne vendraient pas grand chose !

Si vous êtes victime d'une (tentative) d'arnaque via PayPal, PayPal demande aux internautes de leur envoyer l'adresse e-mail et éventuellement les e-mails échangés avec le pirate à l'adresse spoof@paypal.fr comme expliqué ci-dessous. PayPal vous répondra directement par un e-mail automatique. En cas d'arnaque avérée, il sera utile que vous dressiez un procès-verbal mais il aura peu de chance d'aboutir car ces pirates résident en général en Afrique (Nigéria, Côte d'Ivoire, Sénégal, etc).

A lire : Les sites de ventes en ligne : attention aux arnaques (sur le blog, 2014)

Un informaticien pourra s'assurer du degré de confiance de l'émetteur en vérifiant l'origine du courrier. On peut par exemple commencer par interroger l'émetteur indiqué dans l'e-mail (il peut soi-disant s'agir d'une banque proche de chez vous). Le préposé à la hot-line ou au guichet vous dira rapidement si un département vous a envoyé ou non un courrier électronique. Ensuite on peut utiliser des outils réseau tels que WHOIS et NSLOOKUP qui doivent tous deux indiquer le même serveur (nom de domaine). Enfin, on peut vérifier l'émetteur du certificat SSL qui doit également être émis par la même source. Toutefois ces contrôles ne permettent pas de vérifier l'identité ou les intentions d'une personne.

Rappelez-vous également que toutes les sociétés de commerce électronique disposent d'une hot-line accessible par téléphone ou tchat, d'un formulaire de contact ou d'une adresse e-mail où vous devez vous renseigner *avant* de répondre à ce genre d'e-mail inhabituel.

Ceci dit, certaines PME et notamment des librairies en ligne travaillent parfois de manière non sécurisée et vous demandent par exemple votre numéro de carte VISA par e-mail pour payer un achat. L'une des méthodes consiste d'abord à téléphoner à cette société pour s'assurer de son existence et de l'authenticité de l'offre et ensuite à leur faire parvenir deux e-mails contenant chacun la moitié de votre code. Mais cette solution reste risquée. Demandez plutôt au vendeur s'il accepte un virement bancaire s'il est affilié à PayPal.

Notons que parmi les plus spectaculaires de ces piratages, il a celui révélé en mars 2007, où pas moins de 45.7 millions de numéros de cartes de crédit ont été volées sur une période de 18 mois, entre 2005 et 2006, par des pirates informatiques dans les bases de données du groupe de distribution américain TJX, ainsi que les données personnelles (nom, adresse, numéros de sécurité sociale) d'environ 455000 clients du groupe !

En août 2007, le site d'annonces emplois Monster a été victime de hackers malveillants qui ont téléchargé 1.6 millions de fichiers des bases de données reprenant les données personnelles ainsi que les CV de plusieurs centaines de milliers de membres. Monster fut contraint d'éteindre les serveurs concernés appartenant à deux sous-domaines de son réseau. A défaut de pouvoir identifier toutes les victimes, Monster fut obligé d'envoyer un e-mail d'avertissement à tous ses membres à travers le monde. La transmission des e-mails a duré plus d'une semaine !

Parmi les outils de protection, citons le firewall, les logiciels anti-spam, anti-phishing, anti-malware et Netcraft, une barre anti-phishing pour les navigateurs Internet FireFox, Chrome et Opera.

A lire : Le long combat des victimes d'usurpation d'identité (sur le blog, 2013)

Le spam

Dans le monde, on estime qu'il s'échange 70 milliards d'e-mails chaque jour (on cite même le chiffre de 150 milliards) ! CNN aurait déclaré avoir reçu 700000 e-mails en octobre 2006 dont 40000 seulement étaient valides, ce qui représente une proportion de 6%.

Selon Postini, une société américaine spécialisée dans la protection des communications électroniques, 91 à 94% des e-mails seraient des spams, c'est-à-dire du courrier non sollicité, généralement des publicités douteuses. Sur 35000 sociétés protégées par leurs produits, Postini aurait intercepté 1 milliard de spams chaque jour !

Les pays émetteurs de spams fin 2006. Oui, vous avez bien vu, certains parmi les pays les plus informatisés sont à la source du problème ! Document Postini.

Selon une étude plus impartiale réalisée par le groupe américain Radicati publiée dans le "Wall Street Journal" en août 2003, le spam représentait 45% de tout le trafic e-mail en 2003 soit un trafic de 15 milliards de spams par jour ainsi que le montre ce graphique préparé par Verisign-Italie. Cela représentait 20 milliards de dollars par an en productivité perdue et frais technologiques.

Le spam représente 70% du trafic en 2007 soit 50 milliards d'e-mails pour un coût d'environ 200 milliards de dollars par an !

Comment l'émetteur de spam obtient-il votre adresse e-mail ? Il y a deux méthodes. La première, le spammer prend un nom au hasard des pages blanches ou des noms de domaine et crée une adresse e-mail. Si le courrier ne revient pas, c'est qu'il est arrivé à destination, il a donc réussi. La deuxième méthode peut dépendre de vous.

En effet, si votre adresse e-mail a été publiée sur Internet, sur un forum non modéré par exemple, elle a toutes les chances d'être récupérée par une personne malveillante (par le biais d'un script automatique). Des logiciels de spam recherchent en permanence des adresses e-mails valides pour leur envoyer de la publicité pour une liste de sociétés à la morale douteuse. Une fois qu'ils détiennent votre adresse électronique, c'est pour la vie où jusqu'à ce qu'elle réponde aux abonnés absents.

A partir du moment où votre adresse e-mail est publiée sur Internet, vous n'avez plus aucun moyen de supprimer votre adresse e-mail de votre message car il a déjà été récopié sur des centaines de serveurs publics à travers le monde. Le fait de contacter le service "Abuse" du fournisseur d'accès par lequel a transité le message ne changera rien à la situation. C'est ici qu'on se rend compte de la puissance d'Internet mais également de ses lacunes.

A lire : Près de 95% des e-mails seraient des spams (sur le blog, 2007)

Les blondes à la rescousse des cybercriminels

Solutions de contournement

De manière générale, évitez d'afficher votre adresse e-mail sur Internet, même cachée derrière le bouton d'un script, car toute personne malveillante pourra facilement la recopier sur un forum.

Pour éviter ces problèmes, sur les forums et les sites de ventes en ligne, la plupart des utilisateurs ont trouvé une parade : ils utilisent une adresse e-mail publique (par exemple sur le domaine de gmail ou outlook) qui peut éventuellement recevoir du spam et du courrier indésirable qu'il suffira de supprimer. D'autres indiquent carrément une adresse e-mail bidon afin que leur mailbox privée ne soit pas envahie de spams et de phishing.

Si le spam concerne votre adresse e-mail privée, il n'y a qu'une solution et radicale : changer d'adresse e-mail, mais vous serez contraint de prévenir tous vos contacts, de modifier vos abonnements électroniques ainsi que votre papier à lettre. De plus, si vous passez par un fournisseur d'accès à Internet, ce changement d'adresse électronique vous sera facturé au prix fort.

Etant donné que vous changez d'adresse e-mail, profitez-en cette fois pour installer un logiciel anti-spam. Nous allons y revenir.

En revanche, sur un forum modéré (c'est-à-dire géré par des modérateurs qui filtrent les courriers selon des critères éthiques) vous avez toujours la possibilité de ne pas afficher votre adresse e-mail et de recevoir ou non le courrier des internautes.

Les solutions anti-spam

Il existe d'autres manières d'éviter le spam tout en maintenant la visibilité de votre adresse e-mail. La première solution consiste à demander à votre fournisseur d'accès à Internet  (P&T par exemple) d'activer l'anti-spam sur votre mailbox.

Le spam intercepté sur le serveur d'un fournisseur d'accès sans que l'utilisateur n'ait à installer de logiciel ou de firewall localement Il vous garantit une mailbox exempte de spam. Ce service comme celui de l'anti-virus est généralement facturé 1€ par mois.

Ce service est généralement facturé 1 € par mois. Il bloquera tous les e-mails suspects (les émetteurs indésirables connus, les fichiers avec images, en recherchant certains mots-clés dans le texte, etc) avant qu'ils n'atteignent votre ordinateur. Certaines sociétés conservent ces spams dans un répertoire spécifique auquel vous pouvez accéder par Internet ainsi qu'on le voit sur l'image présentée à droite. Ces messages sont détruits au bout de quelque temps, les adresses venant parfois alimenter une base de données de sites suspects. 

L'alternative consiste à installer un logiciel anti-spam sur votre ordinateur. Vous pouvez également configurer votre messagerie pour bloquer tous les courriers indésirables mais cette solution est lente et pas très efficace.

La deuxième solution consiste à installer un firewall (pare-feu) hardware telle la solution NETASQ à la place de votre modem ou un firewall software sur votre ordinateur (telle la solution proposée par Apple, Bullguard ou intégrée à Windows. Le firewall peut-être configuré de manière à bloquer tous les trafics indésirables, quel que soit le protocole utilisé (http, ftp, smtp, irc, ...).

La troisième solution consiste à installer une messagerie associée à un mot de passe et d'autres stratégies de protection tel le shareware MailWasher Pro. Tout qui souhaite vous envoyer un courrier électronique doit être authentifié sinon son courrier sera refusé ou lui sera renvoyé. C'est vous-même qui validez les utilisateurs autorisés. Ensuite, l'échange de courrier est transparent.

Bien entendu, toute solution proposée par un fournisseur d'accès à Internet est de loin préférable car elle agit en amont et soulage votre ordinateur de la gestion du spam. La solution du firewall hardware est également préférable à la solution software car elle est toujours plus performante. 

Le logiciel anti-virus, anti-spyware, anti-spam, la messagerie sécurisée et le firewall sont des solutions très efficaces qui vous mettront à l'abri de pratiquement tous les actes cybercriminels. Pratiquement tous en effet, car vous devez encore vous protéger contre les actes d'espionnage, de piraterie et autres impostures qu'on rencontre quelquefois sur Internet.

Prochain chapitre

L'espionnage sur Internet

Page 1 - 2 - 3 - 4 - 5 -


Back to:

HOME

Copyright & FAQ