C’est quoi une tentative d’hameçonnage ?

Hameçonnage

L’hameçonnage (en anglais phishing) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d’identité, date de naissance, etc. L’attaque peut aussi être réalisée par courrier électronique ou autres moyens électroniques.

Lorsque cette technique utilise les SMS pour obtenir des renseignements personnels, elle s’appelle SMiShing2.

Il existe différentes variantes :

  • le spear phishing, qui vise une personne précise, par exemple sur des réseaux sociaux
  • l’in-session phishing, qui tente de récupérer la session utilisateur durant la navigation

Cette dernière variante est possible du fait de la présence d’une faille informatique de type XSS sur le site web visé.

Parades:

  • Vérification de l’orthographe du nom de domaine

Exemple d’hameçonnage pour obtenir l’accès à un compte webmail à fin de spam. La syntaxe défaillante et le caractère inadéquat de l’adresse Web proposée dans le corps du message sont susceptibles d’éveiller les soupçons.
La vérification de l’adresse web dans la barre d’adresse du navigateur web est la première parade. Ainsi, une attaque simple consiste à utiliser un nom de domaine très semblable (par exemple avec une faute grammaticale ou orthographique), comme http://www.societegeneral.fr au lieu de http://www.societegenerale.fr.

  • Vérification de l’absence d’arobase dans l’URL

Dans les années 1990 et au début des années 2000, une méthode très utilisée était la possibilité de laisser au sein de l’URL le nom d’utilisateur et le mot de passe dans le cadre d’une authentification HTTP. L’URL prend alors la forme « « « http://login:motdepasse@www.domaine.tld ».

À cette époque, il était fréquent que les URLs comportent une longue chaîne de caractère pour identifier la session de l’utilisateur.

Du fait de cette technique d’hameçonnage, les navigateurs web ont été améliorés afin de prévenir leurs utilisateurs lorsqu’ils détectent cette manœuvre. Ainsi, dans le cas précédent, le navigateur Firefox proposerait le message suivant :

Vous êtes sur le point de vous connecter au site « 88.132.11.17 » avec le nom d’utilisateur « a », mais ce site web ne nécessite pas d’authentification. Il peut s’agir d’une tentative pour vous induire en erreur.

« 88.132.11.17 » est-il bien le site que vous voulez visiter ?
Cette technique d’hameçonnage est donc aujourd’hui minoritaire.

  • Vérification l’absence de caractèresUnicode

Une méthode plus élaborée pour masquer le nom de domaine réel consiste à utiliser des caractères bien choisis parmi les dizaines de milliers de caractères du répertoire Unicode4. En effet, certains caractères spéciaux ont l’apparence des caractères de l’alphabet latin. Ainsi, l’adresse web http://www.pаypal.com/ a la même apparence que http://www.paypal.com/, mais est pourtant bien différente car elle renvoie vers un site web différent.

  • Vérification des certificats électroniques

Cette interface était connue sous les traits d’un petit cadenas. Il était simplement expliqué au grand public que le cadenas signifie que la communication est chiffrée, ce qui est vrai, mais ne protège aucunement contre l’hameçonnage. Dans les années 2000, des certificats étendus ont été inventés. Ils permettent d’afficher plus clairement l’identité vérifiée d’un site.

  • Écriture manuelle des URL

Une personne contactée au sujet d’un compte devant être « vérifié » doit chercher à régler le problème directement avec la société concernée ou se rendre sur le site web en tapant manuellement l’adresse dans la barre d’adresse dans son navigateur web plutôt qu’en cliquant sur un lien qui lui aurait été fourni.

ajouter un commentaire

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.

Commenting as . Not you?