Generic selectors
Correspondance stricte
Recherche dans le titre
Recherche dans le contenu
Post Type Selectors
Filtre par catégorie
ADNEthique
Algorithmique
Asso Référentiel
Association
Bibliographie
Domaines abordés
Données personnelles
Economie numérique
Emploi
IA
IA Etat de l'art
IA Risques
Informatique
Marché
Usages du numérique
Menu

Phishing

Categories: Termes et expressions

Le phishing est une des pratiques malveillantes les plus répandues sur L’Internet qui consiste à récupérer les informations personnelles d’un internaute pour usurper son identité et s’approprier ses biens.

Étymologie et synonymes :

Le terme phishing d’origine anglo-saxonne est la contraction de phreaking (piratage de réseau) et de fishing (pêche).

Il existe plusieurs termes équivalents ou proches:

  • Pour reprendre la référence à la pêche, l’Office Québécois de la Langue Française (OQLF) a créé le néologisme hameçonnage.
  • Même si elle reconnaît l’usage antérieur du terme français d’hameçonnage, l’Académie Française et plus particulièrement la Commission générale de terminologie et de néologie française, lui ont préféré celui de filoutage qui reprend phonétiquement le début du terme original anglais.
  • Le terme Smishing est aussi un synonyme, mais en référence particulière au phishing par SMS.

Le phishing dans sa pratique :

On peut imaginer que le choix de la traduction française en « filoutage » tient aussi à ceux que les moyens mis en œuvre ne font pas appel à des techniques particulièrement élaborées, mais plutôt à des méthodes ordinaires d’escroquerie. Pour exemples :

  • Les sites d’acteurs officiels de l’Internet (agences bancaires, d’assurance ou gouvernementales, œuvres charitables ou autres sociétés de services en ligne ayant pignon sur rue) sont copiés par des moyens grossiers à la portée des non-spécialistes. Un simple copier-coller d’écrans de site officiel suffit souvent pour créer l’illusion. L’internaute qui tombe dans le filet est alors invité à fournir ses coordonnées (adresse de domicile ou de messagerie, employeurs, coordonnées bancaires…). Elles seront alors réutilisées pour solliciter des transferts financiers, pour usurper l’identité de l’Internaute piégé et réaliser des achats en son nom, voire solliciter en son nom les dons de personnes de son entourage.
  • Quand vous vous débarrassez d’un smartphone ou d’un vieil ordinateur personnel sans prendre le soin d’effacer le contenu de sa mémoire magnétique, il arrive qu’un tiers un peu plus avisé que vous récupère dans une décharge lointaine le contenu de vos contacts ou de vos listes de diffusion. Il enverra de vos nouvelles à vos amis, leur faisant part de vos mésaventures et leur demandant une aide financière pour vous sortir de ce mauvais pas. Il suffit d’une réponse favorable sur plusieurs milliers de tentatives pour que ce système devienne pour eux une aubaine.

Comment détecter le phishing, comment se protéger, comment réagir

Vérifier l’adresse du courriel reçu ou l’URL du site de connexion

Il est techniquement difficile de se substituer réellement à l’opérateur d’un site ou à l’utilisateur d’une boite de messagerie existante, mais il est très facile d’acheter un domaine proche de celui ciblé (exemple adnethique-org.fr ou adnetique.org en lieu et place de adnethique.org) ou de créer une nouvelle adresse de messagerie (exemple : jacques.dechossoy@gmail.com à la place de jacques.duchossoy@gmail.com)

 

Tant qu’à faire, pour être efficace et accroître la population de leurs victimes potentielles, les escrocs n’hésitent pas usurper l’identité d’un acteur connu de l’Internet. Imiter le site du Pentagone, ou l’adresse de la Présidence de la République n’est pas en soi techniquement plus difficile que le site d’adnethique.org ou l’adresse de messagerie de jacques.duchossoy@gmail.org.

Au moindre doute, commencez à méticuleusement vérifier l’orthographe de l’identifiant unique (voir URL) de celui à qui vous avez à faire.

Un lien proposé peut en cacher un autre.

Il est très facile sur un site d’afficher une URL et de lui substituer un autre identifiant après le clic.
Il existe aussi des techniques pour remplacer dans l’adresse de messagerie un caractère latin par un caractère très proche dans une autre série typographique internationale.

En cas de doute, plutôt que d’utiliser un lien proposé à votre clic, préférez toujours ressaisir vous-même le nom du site que vous pensez atteindre ou choisissez l’adresse du destinataire de votre mail parmi la liste habituelle de vos contacts de messagerie.

Vérifier les certificats électroniques des sites

Aujourd’hui, la certification électronique a été beaucoup améliorée. L’affichage d’un petit cadenas devant l’URL affichée du site atteste de l’identité du site que vous avez accédé (voir HHTP/HTTPS).

Attention cependant : l’absence d’un cadenas ne vous indique pas que vous êtes sous la coupe d’un dangereux malfaiteur, pas plus que la présence d’un cadenas ne vous dispense pour autant de la lecture attentive de l’orthographe du nom de site accédé.

L’intérêt des filtres antispam

Aujourd’hui, les offres de messagerie intègrent le plus souvent des outils pour protéger leurs utilisateurs contre les envois massifs de messages, parmi lesquels ceux lancés dans la nature par des « hameçonneurs ». Ces filtres constituent donc apriori une aide intéressante contre le phishing.
Leur paramétrage est parfois complexe et leur activation peut avoir alors des conséquences fâcheuses pour leurs utilisateurs, notamment le blocage intempestif de messages envoyés par les automates des sites accédés. Leurs messages de service (de confirmation d’enregistrement ou de désinscription, des notifications de nouvelles versions…) peuvent alors être redirigés en « indésirables ».

Témoigner de ses mauvaises expériences

Le dispositif gouvernemental d’assistance et de prévention du risque numérique, Cybermalveillance.gouv.fr a été lancé en 2017, incubé par l’Agence nationale de sécurité des systèmes d’information (ANSSI), en co-pilotage avec le ministère de l’Intérieur et avec le soutien des ministères de l’Économie et des Finances, de la Justice et du Secrétariat d’État chargé du Numérique. Concernant plus particulièrement le phishing, il travaille en collaboration avec l’association Phishing Initiative, lancée par Microsoft, PayPal et le CERT-LEXSI.

Un service a été créé pour permettre aux internautes victimes de phishing de le signaler sur le site www.phishing-initiative.com. On ne peut que recommander à ces internautes de remonter également l’information à leur Fournisseur d’Accès à l’Internet. Toutes actions permettront de limiter les effets de ces escroqueries en les bloquant au plus tôt.

Synonymes:
Filoutage, Smishing
Articles associés:
Termes associés:

Last posts

Sidebar