Qu'est-ce que le Phishing?
C'est une technique assez simple qui peut être imagée par le pêcheur capturant son poisson : depuis sa barque à la surface, il parsème d'appâts la masse d'eau. Les appâts coulent lentement vers le fond, croisant la route des poissons. Il lance ensuite sa ligne au bout de laquelle un hameçon se pend fièrement! Les poissons dévorent à tout va les appâts sans prêter attention qu'au beau milieu de ce nuage de nourriture flotte l'hameçon mortel... Un instant d'inattention, et hop, promenade gratuite en barque de pêcheur... la seule et la dernière ;-) Après, ce sera poêle à frire au milieu de l'huile d'olive et de l'origan. Stop! Ceci n'est pas un article culinaire!Sur Internet, la situation est identique. La barque du pêcheur, c'est un site internet frauduleux qui ressemble à s'y méprendre à un site officiel, quel qu'il soit. Il a été dessiné et mis en ligne au préalable par le pirate.
Les appâts? Ce sont les dizaines de mails publicitaires que nous recevons chaque jour. Ils nous font relâcher notre vigilance. De ceux-là, en général, on ne s'inquiète pas car on les jette de suite à la corbeille.
L'hameçon? C'est l'email provenant soi-disant d'un ami en détresse, d'une banque qui vous demande si tout va bien.
Le piège ? C'est vous qui l'activez! Comme le poisson, c'est vous qui mordez en cliquant sur le lien et en vous connectant au site que vous pensez être officiel et sécurisé...
Que se passe-t-il après avoir mordu à l'hameçon?
Rien pour vous dans l'immédiat. Mais pour le pirate, c'est là que le travail commence. Bien sûr, il a tout automatisé et ce sont des logiciels programmés par ses soins qui feront le travail.Récupérer votre mot passe? Pas besoin, il l'a déjà. Ce qu'il possède maintenant de très intéressant (dépendant du type d'attaque), ce sont :
- vos historiques d'emails
- vos comptes bancaires, les soldes et la possibilité de transférer de l'argent depuis votre carte de crédit
- la liste de tous vos contacts et des contacts des contacts de vos contacts, etc. (cela lui donne des millions de possibilités supplémentaires pour fomenter de nouvelles attaques)
- votre agenda
- vos données personnelles
- la localisation de vos appareils personnels (smartphones, tablettes, pc, etc)
- l'accès à vos photos (qui vous êtes, qui sont les membres de votre famille)
- votre localisation (vous n'êtes pas à la maison en ce moment? Son pote pourrait venir visiter votre demeure...)
- l'accès aux données de votre disque dur virtuel (Dropbox, Google Drive, One Drive, etc)
- l'historique de votre navigation sur internet
- votre vie privée dans son ensemble...
N'oubliez pas! Le Phishing n'est pas une attaque dite de "Force Brute" qui consiste à craquer votre mot de passe. Il s'agit de subtiliser votre mot de passe, comme un pickpocket le ferait avec votre porte-feuille en pleine rue bondée. Il ne vous attaque pas avec une arme, ce qui attirerait l'attention du public, mais juste avec sa dextérité puis se fait oublier aussitôt.
Comment s'en prémunir
La complexité du mot de passe? Oui et non... Ce n'est pas l'objet de cette attaque. Donc, un mot de passe de 10 à 16 caractères avec des minuscules et des majuscules, des chiffres, des caractères spéciaux (comme , ; . : § &, etc) est déjà une excellente base.L'important est de créer 4 ou 5 mots de passe plus ou moins compliqués mais de pouvoir les retenir facilement. Ne pas utiliser le même mot de passe sur deux comptes en même temps!!! Cette dernière remarque est capitale!!!
Mais le principal : NE JAMAIS RÉPONDRE OU CLIQUER SUR UN LIEN DEPUIS UN EMAIL !!!
Sauf pour :
- Confirmer votre inscription à un nouveau site (email de confirmation reçu dans la minute)
- Cliquer sur un lien qu'un ami (identifié juste avant par téléphone ou autre) vous envoi directement
De toute façon, pensez bien à ceci : si vous ne répondez pas à un email, vous n'irez pas en prison! Si l'email était un vrai, d'une source officielle ou d'un ami de confiance, on vous contactera d'une autre manière : téléphone, gsm, ami d'un ami, etc.
Suggestions
Il est TOUJOURS utile de communiquer un email douteux ici : https://www.ecops.be/webforms/Default.aspx?Lang=FR C'est le site de la police fédérale belge. Ils enquêteront et entraveront le travail des pirates. Bien sûr, il ne mettront pas tous les pirates en prison ;-)Si vous voulez consulter d'autres détails sur la manière de procéder pour éviter d'être victime de Phishing, consultez l'excellente page Wikipédia à ce sujet : http://fr.wikipedia.org/wiki/Hame%C3%A7onnage
Conclusion
Je n'ai pas écrit cet article pour rien, soyez-en sûrs. Je rencontre cette situation toutes les semaines. Ne soyez donc pas paresseux. Soyez réalistes : si vous êtes piratés par du Phishing, c'est de votre faute ;-) Soyez donc méfiants! Suivez scrupuleusement les conseils de cet article.Olivier.