Overblog Suivre ce blog
Editer l'article Administration Créer mon blog
Solutions IT, Audit et Assistance Douanière

Le phishing (Hameçonnage) : comment le reconnaître et l'éviter ?

12 Décembre 2015 , Rédigé par Antoine TAKOUDJOU Publié dans #Informatique

Le phishing (Hameçonnage) : comment le reconnaître et l'éviter ?

Combien de fois vous est-il arrivé de recevoir un email d'une banque chez laquelle vous n'avez pas de comptes, ou d'un jeu massivement multijoueur auquel vous n'avez jamais touché, vous demandant de vous connecter à votre compte ?
Parfois même, vous avez un compte chez cette banque ou ce jeu... Mais l'email n'était pas envoyé par la véritable institution. C'était une manipulation habile pour vous soutirer vos informations. C'est ce qu'on appelle le phishing ou hameçonnage en français.

Et des gens se font avoir. Ils entrent leurs informations secrètes, et se trouvent avec un personnage principal tout nu dans leur jeu préféré. Ou plus gênant, avec des euros en moins, ou un compte email qui envoie des milliers de spam journaliers...

C'est pourtant souvent facile de repérer le phishing. Je ne suis pas du tout un expert, mais je vais vous faire partager ce que je sais, parce-que je me retrouve souvent à le répéter à mes connaissances. Alors pourquoi ne pas le faire partager à tous le monde ?

Qu'est ce que le Phishing ?

Le phishing est un terme informatique qui relève de l'envoi d'emails frauduleux incitant les utilisateurs à se connecter sur un site ressemblant à un site de leur connaissance avec leurs identifiants, permettant de stocker lesdits identifiants dans une base de données pour utilisation future.

Techniquement, en français, on dit filoutage, ou hameçonnage . Phishing est le terme anglais, dérivé de fishing, qui signifie pêche. Bref, c'est de la pêche de filous, quoi !

À quoi ça ressemble?

Généralement, ça consiste en un email envoyé à des milliers d'utilisateurs par des techniques de spam. Cet email prend la forme d'un envoi d'une banque, d'une entreprise gérant un jeu vidéo en ligne, d'un service de poste électronique, etc. globalement connu, demandant à l'utilisateur de se connecter sur le site, via un lien fourni, pour une raison quelconque.

Si l'on suit le lien, on arrive en général sur une copie conforme du site où l'on pense se diriger. Si l'on ne réfléchi pas, on entre ses identifiants, on confirme, et on arrive soit sur une page d'erreur, soit sur une page vous remerciant, disant que votre connexion a été confirmée, ou quelque excuse correspondant à l'email envoyé.

Tout content, on repart vaquer à ses occupations, pour se rendre compte plus tard que quelqu'un s'est connecté à votre compte. Et fort probablement, qu'il ne s'est pas contenté de faire un petit coucou...

Pourquoi ça marche ?

Ça marche parce que les personnes qui reçoivent ces emails ne prennent pas le temps de vérifier que l'email est légitime.

L'email est envoyé à tellement de gens qu'il touche forcément des personnes qui ont un compte sur le site émulé. De plus, la raison invoquée demandant une connexion impose souvent une notion de temps limité et de problèmes en cas de non-connexion. En général, cela s'exprime par quelque chose du style "Votre compte a été compromis. Veuillez vous connecter suivant le lien ci-dessous pour éviter la suppression de votre compte."

Alors évidemment, on ne veut pas risquer de perdre son compte. Et qui sait quand le compte va être supprimé ? Mieux vaut se connecter sans perdre de temps...

En plus, personne ne peut rien faire pour contrer cela. Le pirate n'a même pas touché au site officiel, ni à votre ordinateur. Il a juste envoyé un mail vous demandant vos coordonnées, et vous les lui avez gentiment données. Évidemment, en cas de vol, ça reste un crime, mais il est difficile d'aller chercher un pirate Russe ou autres...

Mais heureusement, avec un peu de bon sens et de logique, il est facile de repérer ces emails frauduleux ! C'est ce que je vais vous apprendre dans la suite de ce tutoriel.

Tout d'abord, il est souvent facile de voir si l'email est légitime ou non.

L'expéditeur

L'expéditeur de l'email est malheureusement souvent peu indicatif. Bien sûr, si jojo_le_pirate@hackerZ.org vous écrit de la part de votre banque, c'est même pas la peine de vous fatiguer à ouvrir le message.

Malheureusement, il est très facile d'envoyer un message soi-disant en provenance de n'importe quelle adresse. Ou alors de créer une adresse email qui ressemble à quelque chose de légitime.

Jetez donc un oeil à l'expéditeur, mais ne basez pas votre jugement uniquement sur ceci !

Le contenu

Lisez le contenu du message d'un oeil critique. Les pirates informatiques sont souvent assez mauvais en orthographe. Surtout s'ils écrivent dans une langue qui n'est pas leur langue maternelle !

Déjà, si Amazon, dont vous n'avez jamais fréquenté que la partie française, vous écrit en anglais, c'est louche.

Ensuite, guettez les petites fautes, comme les "-é" à la place des "-er". Les institutions professionnelles ont généralement les moyens de se payer des gens qui savent écrire dans leur langue. Et ils savent que les fautes font mauvais effet. Il y a rarement de fautes dans les emails des professionnels.

Mais certains pirates sont suffisamment organisés pour vérifier leur orthographe. Ou alors ils sont cultivés !
Donc une bonne orthographe n'est pas suffisante. (De la même manière qu'une petite faute perdue toute seule ne veut pas forcément dire que l'email est du phishing ! Même les meilleurs font des fautes de temps en temps !)

Le lien fourni

Le plus décisif, à ce niveau, c'est le lien fourni. Parce-qu'au final, les pirates ne peuvent pas vous envoyer vers le site officiel. Il y a plein de moyens de déguiser un lien (parce-que peu de gens vont cliquer sur http://www.jojoLePirate.org/hackerZ... bien que...). Je vais vous expliquer un peu plus comment repérer les liens frauduleux.

Tout d'abord, je vais commencer par vous expliquer à quoi ressemble une URL (autre mot pour une adresse internet).
Une URL est de la forme suivante:
protocole://sous-domaine.domaine.extension(autre)
Vous remarquerez que chaque partie est séparée par un point. Les points dans une URL ne peuvent être utilisés que pour séparer ces parties.

  • Le protocole est généralement http ou https.

  • Le sous-domaine est généralement www mais peut être n'importe quoi !

  • Le domaine définit véritablement chez qui vous êtes.

  • L'extension est importante aussi, puisqu'il peut exister des sites avec le même nom de domaine mais des extensions différentes. monsite.fr et monsite.com n'ont probablement rien à voir !

Ce qui définit sur quel site vous êtes, c'est le domaine et l'extension. C'est tout. Tout le reste peut être n'importe quoi.
On va prendre un exemple, pour simplifier les choses. Supposons que le site de ma banque est http://www.banquedekatz.fr.
banquedekatz.fr est ce qui défini le site de ma banque. Et il faut que ce soit à la bonne position. Qu'est-ce-que ça veut dire ?

Ça veut dire que les adresses suivantes ne me mèneront pas sur le site de ma banque:

Les adresses ci-dessus mèneront en fait vers les domaines suivants, au lieu de vers le domainebanquedekatz.fr:

  • jojolepirate.fr

  • banquedekatz.com

  • jojolepirate.fr

  • jojolepirate.fr

En revanche, l'adresse http://jojolepirate.banquedekatz.fr mènera bel et bien vers le site de ma banque. Peut-être vers une partie du site dédiée entièrement à combattre ce malin qu'est Jojo le Pirate.

Évidemment, les adresses ci-dessus sont pour la plupart assez évidentes. Mais qu'arrive-t-il si Jojo le Pirate est plus futé que ça, et que son site devient: http://banquedekatz.servicesconso.fr ? Cette adresse nous guide vers le domaine servicesconso.fr, qui n'est probablement pas déposé par ma banque...

Bien entendu, ceci n'était qu'un des moyens de déguiser une URL. Un autre moyen tout simple est de changer l'adresse, carrément.

Reprenons l'exemple de ma banque imaginaire (je suis millionnaire dans cette banque ), dont l'adresse est http://www.banquedekatz.fr.

Beaucoup de gens ne connaissant pas l'adresse exacte de leur banque. Et si Jojo le Pirate avait réussi à acquérir l'adresse http://www.labanquedekatz.fr ?

Il y a un moyen simple pour contrer cela, si je ne connais pas le domaine exact de ma banque. Google !
Je vais sur Google (ou mon moteur de recherche favori), et je cherche "banque de katz". Il y a de grandes chances que le premier lien soit le bon ! En tout cas, le lien du pirate a peu de chances de tomber dans les 50 premières pages...

Maintenant, même si je sais que le domaine de ma banque est banquedekatz.fr, il faut faire attention à bien lire l'URL fournie dans l'email:
www.bnaquedekatz.fr n'est pas bon ! wwwb.anquedekatz.fr non plus !

Il y a aussi toutes les lettres qui se ressemblent si on lit trop vite:
banquedekatz.fr et barquedekatz.fr, par exemple. Ou BANQUEDEKATZ.FR et BANQUEDEKAT2.FR (les majuscules ne font pas de différences dans une URL). Ou encore, spécialement avec les liens soulignésbanquedekatz.fr et banguedekatz.fr

Enfin, prêtez attention à l'extension. L'extension du cameroun est .cm. Il suffit d'un peu d'inattention pour cliquer sur http://www.facebook.cm en croyant arriver sur sa page Facebook...

De nos jours, on peut recevoir des emails en code HTML. C'est-à-dire codés comme un site internet. La plupart des grandes compagnies envoient d'ailleurs leurs messages en code internet, c'est pour ça qu'il y a plein de couleurs et des tableaux (et des pubs... ).
Essayez par exemple le lien ci-dessous (et ne paniquez pas, tout est sous contrôle ! ):
http://www.banquedekatz.fr

Mais comment on peut combattre ça ?

Plusieurs façons, en fait:

  • Ne pas accepter les emails en HTML. L'option est disponibles dans la plupart des clients de courrier électronique. (Malheureusement, je ne crois pas qu'on puisse faire grand-chose si vous regardez vos emails sur un site internet comme MSN)

  • Regarder en bas de votre client ou de votre navigateur. Dans la petite barre en bas. Dans Firefox ou Thunderbird, par exemple (et je suis sûr que c'est pareil dans d'autres, bien que probablement pas dans tous), l'adresse réelle apparaît quand vous passez la souris sur un lien.

  • Souvent, il est possible de faire clic droit sur le lien, puis de copier la destination du lien. Vous pouvez coller cela quelque part et examiner cette adresse.

  • Enfin, au pire, cliquez dessus ! Et examinez l'adresse une fois arrivés sur la page concernée ! Tant que vous n'entrez pas vos informations, et que vous n'acceptez aucun téléchargement, il ne devrait rien vous arriver ! (Bon, il parait qu'il peut arriver des trucs... Mais c'est plus rare, surtout si vous avez un bon anti-virus et un explorateur internet intelligent. En cas de doute, rendez-vous sur le site via Google ou vos favoris !)

Enfin, il existe d'autres moyens de déguiser une adresse. http://www.banquedekatz.fr@jojolepirate.fr est un exemple. Utiliser des signes de pourcentage (%) permet de camoufler une adresse en utilisant le code ASCII au lieu des lettres. Donc évitez de cliquer sur une adresse qui contient un %. Toute partie de l'adresse se trouvant après un %00 sera aussi ignorée.
Il est aussi possible de donner une URL par son adresse IP. Comment savoir si http://152.165.23.241 est légitime ou non ? (Quoique par défaut, si ce n'est pas facile à identifier, c'est louche...)

Si vous avez le moindre doute, la méthode la plus sûre est toujours la suivante:
Allez sur le site concerné en suivant l'adresse que vous suivez habituellement, ou en cherchant sur Google. Connectez-vous depuis ce site-là. Si votre compte est vraiment en danger, vous pouvez être sûr que les administrateurs du site auront laissé un message vous prévenant et vous donnant la marche à suivre pour y remédier bien en vue.

Reconnaître le faux site

Supposons que vous n'avez pas réussi à identifier l'email comme un faux. Vous avez suivi le lien. Vous êtes sur le site. Ici encore, il y a plusieurs façons d'identifier un site de phishing !

L'adresse

Comme énoncé plus tôt, vérifiez que vous êtes sur le bon site. L'adresse dans votre barre d'adresse est beaucoup plus difficile à camoufler que dans un email !

Les liens

Maintenant, le site devrait avoir l'air très proche du site sur lequel vous êtes censé croire être. Le pirate aura été chercher toutes les images dont il a besoin sur le vrai site. Il est même assez facile de récupérer les feuilles de style qui définissent l'aspect d'un site.
Mais il va rarement avoir pris le temps de recopier le site en entier. La plupart du temps, il se contente de recopier la page de connexion à votre compte.

Je ne sais pas si vous avez remarqué, mais sur la plupart des grands sites, il y a toujours un myriade de liens, même sur la page de connexion: Aide, Page d'Accueil, News, Nous contacter, Ouvrez un nouveau compte avec nous , etc.
Or, sur toutes ces pages se trouvent probablement d'autres liens, et des pages et des pages de textes, d'images, etc. Des trucs qui prendraient un temps monstre à reconstruire.
Donc les pirates ont trois possibilités pour ne pas avoir à reconstruire le site en entier:

  • Soit ils font des liens morts, qui ne font rien du tout quand vous cliquez dessus

  • Soit ils font des liens qui conduisent tous à la page sur laquelle vous vous trouvez déjà.

  • Soit ils font des liens qui conduisent vers le site officiel.

Les deux premières options sont faciles à débusquer: il suffit de cliquer sur quelques liens !
La dernière est un peu plus délicate, mais je ne l'ai jamais vu mise en application. Une des raisons est peut-être que d'une part, s'ils vous renvoient vers le site original, ils risquent de vous perdre si vous suivez les liens là-bas plutôt que de faire "Retour". Une autre est que le site original peut être au courant de la tentative de phishing, et avoir un gros message en rouge sur toutes ses pages disant: "Attention, phishing en cours ! Suivez ce lien pour vous connecter !"
Quoi qu'il en soit, si vous avez suivi les explications sur la forme d'une URL plus haut, vous devriez pouvoir reconnaître si vous changez de domaine en suivant ces liens.

Connectez-vous!

Finalement, si vous ne savez plus si le site est justifié ou non, il reste un moyen très simple... Connectez-vous sur ce site !

Si vous utilisez le nom d'utilisateur "JojoLePirate", avec le mot de passe "TuNousPrendsPourDesC*?", et que le site ne vous dit pas "Nom d'utilisateur ou mot de passe incorrect" (ou une variation appropriée), c'est que soit vous avez une chance inouïe, et vous vous êtes connectés sur le compte de Jojo le Pirate , soit le site accepte tout et n'importe quoi... Phishing

Voilà, j'espère que ceci vous permettra de ne plus vous faire avoir par le phishing. N'hésitez pas à faire partager ce tutoriel à vos connaissances ! Si plus personne ne se fait avoir, les phisheurs disparaîtront !

SOURCES : OPEN CLASSROON

Partager cet article

Repost 0

Commenter cet article