Recherchez sur tout Techno-Science.net
       
Techno-Science.net : Suivez l'actualité des sciences et des technologies, découvrez, commentez
 A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | +
Hameçonnage

Introduction

Exemple de hameçonnage

L'hameçonnage (ou phishing, et parfois filoutage), est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse (Les adresses forment une notion importante en communication, elles permettent à une entité de s'adresser à une autre parmi un ensemble d'entités. Pour qu'il n'y ait pas d'ambiguïté,...) à un tiers de confiance (Un tiers de confiance est un organisme habilité à mettre en œuvre des signatures électroniques reposant sur des architectures d'infrastructure à clés...) ? banque, administration, etc. ? afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique (L´informatique - contraction d´information et automatique - est le domaine d'activité scientifique, technique et industriel en rapport avec le traitement automatique de l'information...) reposant sur l'ingénierie (L'ingénierie désigne l'ensemble des fonctions allant de la conception et des études à la responsabilité de la construction et au contrôle des équipements d'une installation technique ou industrielle.) sociale (sécurité de l'information). L'hameçonnage (L'hameçonnage (ou phishing, et parfois filoutage), est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le...) peut se faire par courrier électronique (Le courrier électronique, courriel ou email/e-mail, est un service de transmission de messages envoyés électroniquement via un réseau...), par des sites Web falsifiés ou autres moyens électroniques.

Terminologie

« Hameçonnage » est un néologisme québécois créé en avril 2004 par l'Office québécois de la langue française. En France, la Commission générale de terminologie et de néologie a choisi « filoutage » en 2006.

Le terme anglais phishing est une variante orthographique du mot fishing ; il s'agit d'une variation orthographique du même type que le terme phreaking (f remplacé par ph). Il aurait été inventé par les « pirates » qui essayaient de voler des comptes AOL et serait construit sur l'expression anglaise password harvesting fishing, soit « pêche aux mots de passe » : un attaquant se faisait passer (Le genre Passer a été créé par le zoologiste français Mathurin Jacques Brisson (1723-1806) en 1760.) pour un membre de l'équipe AOL et envoyait un message (La théorie de l'information fut mise au point pour déterminer mathématiquement le taux d’information transmis dans la communication d’un message par un...) instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, « vérifier son compte AOL » ou « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser à des fins malveillantes, comme l'envoi de spam (Le spam, pourriel ou polluriel est une communication électronique non sollicitée, en premier lieu via le courrier électronique. Il s'agit en général d'envois en grande quantité effectués...).

Exemple d'hameçonnage passé

Les attaques par hameçonnage sont le plus souvent dirigées vers les sites sensibles tels que les sites bancaires. Les sites de réseaux sociaux sont aujourd'hui également la cible de ces attaques. Les profils des utilisateurs des réseaux sociaux contiennent de nombreux éléments privés qui permettent aux pirates informatiques de s'insérer dans la vie (La vie est le nom donné :) des personnes ciblées et de réussir à récupérer des informations sensibles.

Hameçonnage sur Internet

Les criminels informatiques utilisent généralement l'hameçonnage pour voler de l'argent (L’argent ou argent métal est un élément chimique de symbole Ag — du latin Argentum — et de numéro atomique 47.). Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay ou Paypal (PayPal est un service de paiement en ligne qui permet de payer des achats, de recevoir des paiements, ou d’envoyer et de recevoir de l’argent. Pour bénéficier de ces services, une personne doit...). Les adeptes de l'hameçonnage envoient habituellement des courriels à un grand nombre (La notion de nombre en linguistique est traitée à l’article « Nombre grammatical ».) de victimes potentielles.

Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à ne pas alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien (Un hyperlien ou lien hypertexte ou simplement lien, est une référence dans un système hypertexte permettant de passer automatiquement d'un document consulté à un document lié.) qui dirige l'utilisateur vers une page web (Une page Web est une ressource du World Wide Web conçue pour être consultée par des visiteurs à l'aide d'un navigateur Web. Elle a une adresse Web. Techniquement, une page Web est souvent...) qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page trompeuse, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel.

En 2007, ces criminels informatiques ont changé de technique, en utilisant un moyen de piratage appelé attaque de l'homme (Un homme est un individu de sexe masculin adulte de l'espèce appelée Homme moderne (Homo sapiens) ou plus simplement « Homme ». Par...) du milieu pour recueillir les informations confidentielles données (Dans les technologies de l'information (TI), une donnée est une description élémentaire, souvent codée, d'une chose, d'une transaction d'affaire, d'un événement, etc.) par l'internaute (Un internaute est un utilisateur du réseau Internet.) sur le site visité.

Il existe différentes variantes à l?hameçonnage. On notera le spear phishing et le in-session phishing qui sont respectivement l'hameçonnage ciblé (notamment à l'aide des réseaux sociaux) et l'hameçonnage de session (basé sur des pop-up (Un pop-up (de l'anglais pop-up window ou pop-up tout court), parfois appelée fenêtre surgissante ou fenêtre intruse est une fenêtre secondaire qui s'affiche, parfois sans avoir été sollicitée par l'utilisateur...) pendant la navigation).

Parades

La vérification de l'adresse web (Les adresses Web sont une des trois inventions[1] à la base du World Wide Web, et selon ses inventeurs[2], la plus fondamentale. Le grand public les...) dans la barre d'adresse du navigateur web (Un navigateur Web est un logiciel conçu pour consulter le World Wide Web. Techniquement, c'est au minimum un client HTTP.) peut ne pas être suffisante pour détecter la supercherie, car certains navigateurs n'empêchent pas l'adresse affichée à cet endroit d'être contrefaite. Il est toutefois possible d'utiliser la boîte de dialogue (Le dialogue est une communication entre deux ou plusieurs personnes ou groupes de personnes. Il doit y avoir au minimum un émetteur et un récepteur. Une donnée émise, c'est le message. Un code, c'est...) « propriétés de la page » fournie par le navigateur pour découvrir la véritable adresse de la fausse page.

Une personne contactée au sujet d'un compte devant être « vérifié » doit chercher à régler le problème directement avec la société concernée ou se rendre sur le site web (Un site Web est un ensemble de pages Web hyperliées entre elles et mises en ligne à une adresse Web. On dit aussi site Internet par métonymie, le World Wide Web reposant sur Internet.) en tapant manuellement l'adresse dans son navigateur. Il faut savoir que les sociétés bancaires n'utilisent jamais le courriel pour corriger un problème de sécurité avec l'un de ses clients. En règle générale, il est recommandé de faire suivre le message suspect à usurpation ou abuse (par exemple, si l'hameçonnage concerne societe.com, ce sera usurpation@societe.com ou abuse@societe.com), ce qui permettra à la société de faire une enquête.

Il faut être particulièrement vigilant (Le SNLE Vigilant (S30) de la Royal Navy est le 3eme des 4 sous-marin de la classe Vanguard.) lorsque l'on rencontre une adresse contenant le symbole « @ », par exemple http://www.mabanque.com@members.unsite.com/. Ce genre d'adresse va essayer de connecter l'internaute en tant qu'utilisateur « www.mabanque.com » sur le serveur « members.unsite.com ». Il y a de fortes chances que cela se réalise même si l'utilisateur indiqué n'existe pas réellement sur le serveur, mais par cette méthode la première partie de l'adresse semble être tout (Le tout compris comme ensemble de ce qui existe est souvent interprété comme le monde ou l'univers.) à fait innocente (www.mabanque.com). De même, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sous-domaines, par exemple http://www.mabanque.com.unsite.net/.

Des navigateurs récents, tels que Safari, Firefox, Opera et Internet Explorer (Internet Explorer (officiellement Windows Internet Explorer depuis la version 7), parfois abrégé IE, MSIE ou MS IE, est le navigateur Web de Microsoft, installé par défaut avec...) 7, possèdent un système permettant d'avertir l'utilisateur du danger et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses. Netscape 8 intègre également des technologies permettant de tenir à jour (Le jour ou la journée est l'intervalle qui sépare le lever du coucher du Soleil ; c'est la période entre deux nuits, pendant laquelle les rayons du Soleil éclairent le ciel. Son début (par rapport à minuit heure locale) et sa durée...) une liste noire de sites dangereux de ce type.

Les filtres antipourriels aident aussi à protéger l?utilisateur des criminels informatiques en réduisant le nombre de courriels que les utilisateurs reçoivent et qui peuvent être de l'hameçonnage. Le logiciel (En informatique, un logiciel est un ensemble d'informations relatives à des traitements effectués automatiquement par un appareil informatique. Y sont inclus les instructions...) client de messagerie (Un client de messagerie est un logiciel qui sert à lire et envoyer des courriers électroniques. Les Webmails offrent les mêmes fonctionnalités.) Mozilla (Mozilla est un nom utilisé en informatique avec beaucoup de significations différentes. Cependant toutes ces significations sont liées à l'ancienne entreprise américaine Netscape...) Thunderbird comporte un filtre (Un filtre est un système servant à séparer des éléments dans un flux.) bayésien très performant (filtre anti-pourriel auto-adaptatif).

Les fraudes concernant les banques en ligne visent à obtenir l'identifiant (En informatique, on appelle identifiants (également appelé parfois en anglais login) les informations permettant à une personne de s'identifier auprès d'un système.) et le mot de passe du titulaire d'un compte. Il est alors possible au fraudeur de se connecter sur le site web de la banque et d'effectuer des virements de fonds vers son propre compte. Pour parer à ce type de fraude, la plupart des sites bancaires en ligne n'autorisent plus l'internaute à saisir lui-même le compte destinataire du virement : il faut, en règle générale, téléphoner à un service de la banque qui reste seul habilité à saisir le compte destinataire dans une liste de comptes. La conversation téléphonique est souvent enregistrée et peut alors servir de preuve.

D'autres banques utilisent une identification renforcée, qui verrouille l'accès aux virements si l'utilisateur n'indique pas la bonne clé à huit chiffres demandée aléatoirement, parmi les soixante-quatre qu'il possède. Si la clé est la bonne, l'internaute peut effectuer des virements en ligne.

En France, les internautes sont invités à communiquer avec la cellule de veille de la gendarmerie nationale pour témoigner de leurs propres (mauvaises) expériences ou leur envoyer des liens conduisant à des sites qu'ils jugent contraires aux lois.

Source: Wikipédia publiée sous licence CC-BY-SA 3.0. Vous pouvez soumettre une modification à cette définition sur cette page.

La liste des auteurs de cet article est disponible ici.