|
Le « phishing » en France [...] une menace grandissante |
|
|
| Auteur |
Message |
Vlaljak
Webmestre
Inscrit le: 27 Jan 2005
Messages: 1146
Localisation: Besançon - Doubs
|
Posté le: Lundi 10 Avril 2006 23:30
Sujet du message: Le « phishing » en France [...] une menace grandissante
|
|
|
|
Le « phishing » en France, peu de victimes mais une menace grandissante
Le nombre de clients touchés par cette escroquerie en ligne reste limité. Mais les attaques s'améliorent et des variantes plus sournoises apparaissent
C'est toujours le même procédé. Un mail dans votre boîte aux lettres électronique envoyé par une banque, avec logo et typographie officiels, qui vous demande de cliquer sur un lien inclus dans le message. La raison ? La banque étant en train de revoir sa sécurité informatique ou ayant récemment été victime d'une attaque, ses clients doivent vite ressaisir leurs coordonnées bancaires, mots de passe et identifiants, pour une mise à jour...
C'est évidemment un piège, assez connu maintenant, que l'on appelle le « phishing ». Le mail est faux, le lien proposé renvoie à un site de banque contrefait (avec une URL légèrement différente de la vraie). Derniers établissements visées : HSBC en avril, BNP Paribas fin mars, LCL (Le Crédit Lyonnais) en février. La Société générale, le CIC, le CCF, BNP Paribas ou le Crédit Mutuel y ont également eu droit l'an dernier.
Actuellement, les sites bnpparibas.net, lcl.com ou societegenerale.fr arborent en permanence un message d'alerte sur leurs pages d'accueil. Car l'originalité de ce type d'attaque sur Internet n'est pas d'exploiter une quelconque vulnérabilité informatique, mais la faille humaine. Un client crédule, peu méfiant, trop curieux.
D'ailleurs, depuis le premier signalement de ce type d'attaque en France, par le Club de la sécurité des systèmes d'information français (Clusif), en 2003, le mode opératoire n'a pas changé. Seule vraie évolution, la qualité des faux mails expédiés et des faux sites. Moins grossiers, plus souvent rédigés en français, avec moins de fautes...
« Toutes les attaques depuis des mois sont le fait d'un seul et même groupe , explique Nicolas Woirhaye, du groupe Lexsi, cabinet d'audit expert en sécurité informatique. Il était déjà actif en 2005, mais il n'y avait pas de francophones avec eux, d'où des e-mails mal faits à l'époque. »
Un bilan chiffré difficile à obtenir
Cependant plusieurs variantes, plus sournoises, commencent à arriver. Tout d'abord le « pharming », où, à la suite d'un acte de piraterie sur les serveurs de DNS , le site de banque est faux mais l'URL est bel est bien celle du site officiel ! Ensuite, le cas d'un pop-up demandant des données confidentielles lorsque l'internaute vient visiter sa banque en ligne... Le client arrive sur le bon site, doté de la bonne adresse, mais c'est le pop-up qui est frauduleux. « Il est très difficile pour un particulier de le repérer », reconnaît Danielle Kaminsky, chercheuse en cybercriminalité au Clusif.
Un bilan chiffré des victimes de phishing reste cependant difficile à obtenir, les banques préférant rester discrètes sur le sujet. « Aucun client touché », affirme BNP Paribas. Aucune communication au CIC. A la Société Générale, on admet quelques clients victimes de la dernière attaque, mais « sans préjudice ».
LCL a quand même dû empêcher certaines transactions en ligne . « On ne sait pas combien il y a eu de victimes , ajoute Laurent Courtade, à l'Association française des usagers des banques. Il n'y a pas eu d'incident relevé dernièrement et porté à notre connaissance. »
Nicolas Woirhaye confirme : « En France, ce sont des attaques de petite envergure, de 30 000 à 400 000 e-mails en 2005. Ce n'est rien du tout comparé aux vagues de plusieurs millions de messages aux Etats-Unis. Il y a donc très peu de victimes. Trente, quatre-vingt, cent... Cela reste très marginal. » Il faut reconnaître aussi que les établissements bancaires multiplient les alertes (messages animés sur leurs sites Internet, communiqués officiels...).
Avec toujours, ce rappel : les banques ne demandent jamais d'informations sensibles par mail. « Il faut que les gens résistent à l'idée de cliquer sur le moindre lien, insisite Danielle Kaminsky, ne serait-ce que parce que cela peut télécharger un cheval de Troie. C'est le b.a.-ba. »
Mais ces efforts d'information et de sensibilisation des banques peuvent avoir un effet pervers. « Jusqu'à présent, les personnes victimes de phishing ont toujours obtenu un geste commercial de la part de leur banques , remarque Laurent Courtade, à l'Afub. Maintenant, avec toutes leurs mises en garde, il n'est pas dit qu'elles vous indemnisent encore... »
Car, à la différence d'une fraude à la carte bancaire, la victime de phishing est la cause de ses propres problèmes : elle a d'elle-même saisi ses codes et identifiants sur un site frauduleux, sans qu'il y ait eu piraterie. Dans ce cas, les banques n'ont pas d'obligation légale de l'indemniser.
Mais, pour Nicolas Woirhaye, les banques ont quand même une part de responsabilité. « Ce n'est pas tant la faute de la sécurité informatique que celle du marketing. En France, on accepte un haut niveau de convivialité qui permet de faire un virement sur le compte d'un nouveau destinataire avec juste la création d'un log-in et d'un mot de passe. » Certains établissements imposent néanmoins maintenant une confirmation par téléphone.
Citation: Des actions judiciaires internationales souvent nécessaires
En France, on connaît deux condamnations d'auteurs de « phishing ». La première à Strasbourg, en janvier 2005 (un faux site du Crédit Lyonnais), la deuxième à Paris, en septembre 2005 (un faux site MSN). Dans les deux cas, il s'agissait d'individus isolés, agissant en France.
Mais la plupart des attaques émanent de groupes de malfaiteurs organisés depuis l'étranger. Et dans ce cas, si les banques déposent systématiquement plainte, l'action judiciaire est beaucoup plus compliquée et sera fonction des accords internationaux passés par la France.
« Il y a deux phases , explique Catherine Chambon, commisaire divisionnaire à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). D'abord la fermeture des sites. Là, nous avons des actions coordonnées assez efficaces. Ensuite, pour engager des poursuites, l'identification des auteurs. C'est plus aléatoire, il y a plus de difficultés. »
L'OCLCTIC est familier du « phishing » depuis deux ans et estime qu'il y a une réelle expansion en volume, notamment avec l'utilisation de « botnet » (réseaux de PC utilisés par des pirates).
Source : 01net
Publié par Arnaud Devillard, le 10/04/2006 à 19h20
_________________
Vlaljak
Webmestre et Administrateur
Merci de consulter la Netiquette
|
|
|
| Page 1 sur 1 |
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
|
|
|