Le classement mensuel de Fortinet, une société spécialisée dans la sécurité des systèmes de communication, fait apparaître pour mars 2007 l'émergence d'une attaque au phishing ciblant un nouvel établissement financier, le retour de l'adware 180Solutions et l'entrée inhabituelle au Top 10 du rootkit Everda.

Ce dossier a pour objectif de présenter ces différentes menasses et proposer des méthodes de protection contre elles.

Première partie : Attaque au phishing

Le phishing est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations (généralement bancaires) auprès d'internautes. Le but de ces attaques est d’amener le destinataire à dévoiler des informations personnelles (code d’accès par exemple) ou d’installer des codes espions (chevaux de Troie) sur le PC visé. Le phishing est une forme de courrier électronique indésirable (spam) qui est non seulement gênant, mais aussi dangereux.

La technique consiste à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d'un courrier électronique semblant provenir d'une entreprise de confiance, typiquement une banque ou un site de commerce.
Le mail envoyé par ces pirates invite les internautes à se connecter en ligne pour mettre à jour des informations les concernant dans un formulaire d'une page web factice, copie conforme du site original de leur prestataire, en prétextant par exemple une mise à jour du service, une intervention du support technique, etc.
Les adresses électroniques sont collectées au hasard sur Internet et le message a généralement peu de sens puisque l'internaute peut ne pas être client de la banque de laquelle le courrier semble provenir. Mais sur la quantité des messages envoyés il arrive que le destinataire soit effectivement client de la banque.
Grâce à ces données les pirates sont capables de transférer directement l'argent sur un autre compte ou bien d'obtenir ultérieurement les données nécessaires en utilisant intelligemment les données personnelles ainsi collectées.

Les chiffres sont éloquents

Selon une enquête réalisée aux Etats-Unis, 41% d’individus (soir 57 millions d’Américains) reçoivent des courriels de phishing. Près de 1,8 millions de personnes interrogées ont avoué avoir ainsi diffusé des informations sensibles à des pirates.
Une étude réalisée par The Radicati Group, un groupe de recherche in informatique et télécommunication, le nombre d’attaques uniques par phishing aura plus que doublé en 2008, pour atteindre 110 par mois. Il devient primordial d’informer soigneusement le public sur les bons réflexes à adopter dans la gestion de leurs e-mails et sur les fonctions d’achats en ligne.

Comment se protéger du phishing ?

Face au succès du phishing trois simples mesures peuvent déjà limiter autant que possible les dégâts financiers et les risques de dégradation d’image de marque des entreprises ciblées.

Mettre en oeuvre une technologie de sécurisation.
De nombreux adeptes du phishing pratiquaient autrefois le spam (ou envoi massif de courriels indésirables) ce qui explique les nombreux points de similitude entre ces deux menaces Internet. Les solutions anti-spam permettent donc de retenir un assez grand nombre de courriels de phishing, mais la solution la plus efficace est celle qui vérifie aussi, dans les courriers entrants, la présence éventuelle d’un URL suspect dans le courriel mystifié, par rapport à une liste d’URL de phishing connus. Parmi les solutions les plus prometteuses, figure un logiciel qui vérifie si l’adresse IP de l’émetteur correspond bien à celle de l’entreprise officielle. Cette technique n’est cependant pas encore au point pour l’instant.

Informer employés, clients et relations d’affaires.
La technologie seule ne suffit pas. Le seul remède est de se profiler comme la cible la moins attrayante possible pour les ‘Phishers’. Communiquez de manière extensive à vos clients et relations que vous ne leur demandez jamais de communiquer données personnelles par courriel et certainement pas via un hyperlien. Consultez régulièrement les pages du site www.antiphishing.org pour vous informer des dernières nouveautés en matière de phishing et informez vos partenaires et relations si votre entreprise devait être victime d’une telle attaque. Demandez-leur de vous faire suivre les courriers suspects qui ‘semblent’ venir de votre organisation.

Faire une déclaration !
Le dernier point est au moins aussi important que les précédents : n’hésitez pas à faire une déclaration à la police ou au juge d’instruction si votre entreprise est victime d’un abus sous la forme de courriels falsifiés. Envoyez toujours le mail complet, avec l’en-tête du message ou le lien HTML complet du nepsite. Copier le contenu d’un mail suspect ne suffit pas car les autorités chargées de l’enquête ne disposeront alors pas des informations voulues pour rechercher l’émetteur.

Pour les internautes, lorsque vous recevez un message provenant a priori d'un établissement bancaire ou d'un site de commerce électronique il est nécessaire de vous poser les questions suivantes :

1. Ai-je communiqué à cet établissement mon adresse de messagerie ?
2. Le courrier reçu possède-t-il des éléments personnalisés permettant d'identifier sa véracité (numéro de client, nom de l'agence, etc.) ?

Par ailleurs il est conseillé de suivre les conseils suivants :

• Ne cliquez pas directement sur le lien contenu dans le mail, mais ouvrez votre navigateur et saisissez vous-même l'URL d'accès au service.
• Méfiez-vous des formulaires demandant des informations bancaires. Il est en effet rare (voire impossible) qu'une banque vous demande des renseignements aussi importants par un simple courrier électronique. Dans le doute contactez directement votre agence par téléphone !
• Assurez-vous, lorsque vous saisissez des informations sensibles, que le navigateur est en mode sécurisé, c'est-à-dire que l'adresse dans la barre du navigateur commence par https et qu'un petit cadenas est affiché dans la barre d'état au bas de votre navigateur, et que le domaine du site dans l'adresse correspond bien à celui annoncé (gare à l'orthographe du domaine) !

Source : www.reseaux-telecoms.net, www.commentcamarche.net, www.antiphishing.org, http://www.arobase.org/