Publicité

Décryptage: phishing, ne mordez pas à l'hameçon

Chaque année, des internautes se font vider leur compte en banque après avoir répondu à un e-mail piégé. Connaître les stratégies des escrocs permet de mieux se protéger.

Quel internaute n’a jamais reçu un e-mail lui demandant, sous un prétexte plausible, de se connecter à un site internet et d’y laisser ses coordonnées bancaires? Cette escroquerie, appelée phishing (hameçonnage, en français), vise à recueillir des informations personnelles par la diffusion en masse de courriels censés provenir d’une banque, d’un opérateur de téléphonie, etc. Elle est en train de monter en puissance. “2012 a été une année record concernant la diffusion de propositions à caractère frauduleux. Nos messageries tests ont reçu plusieurs courriels quotidiennement, alors qu’auparavant nous n’en recensions que deux ou trois par semaine. Le dernier trimestre a été particulièrement marqué par l’envolée du nombre d’e-mails usurpant l’identité visuelle d’EDF”, explique Pascal Tonnerre, président du Réseau antiarnaques, une association de bénévoles, partenaire de l’UFC-Que choisir, qui lutte contre les offres trompeuses de toute nature.

Se faire passer pour une institution connue

Ces messages utilisent les noms de prestataires courants, car, étant diffusés en très grand nombre, ils ont statistiquement plus de chances d’être reçus par un client de ces établissements. Les pirates empruntent, par exemple, l’identité de la Caisse d’allocations familiales ou de l’administration fiscale. La plupart du temps, ces courriels falsifiés sont faciles à repérer: ils ne respectent pas les termes officiels et contiennent des informations erronées, voire grossières. Tout récemment, un e-mail présenté comme provenant du service comptabilité de SFR invoquait une erreur de TVA, calculée à 80 % au lieu des 20 % applicables.

L’adresse e-mail de l’expéditeur est un premier indice (sauf s’il s’agit d’un opérateur internet: Orange, Free, SFR…). Celle d’un courrier frauduleux peut ainsi se présenter sous la forme edf@ suivi du nom du serveur de messagerie (Free, Yahoo!, etc.), alors que dans l’adresse e-mail officielle d’EDF, le nom de la société est mentionné derrière l’arobase ; par exemple, serviceclients@edf.com. Restez, malgré tout, très vigilant, car les méthodes des pirates s’améliorent. Les fautes d’orthographe se raréfient, les interfaces sont de mieux en mieux imitées et l’objet des messages change pour inciter le destinataire à y répondre plus volontiers.

Réclamer un impayé ou faire état d’un trop-perçu

Auparavant, les expéditeurs de courriels frauduleux exigeaient un dû faisant suite à un impayé. Ils invoquent maintenant le remboursement d’un trop-perçu. Un argument beaucoup plus persuasif! Une autre technique du phishing consiste à pirater le carnet d’adresses de la victime. Celle-ci reçoit un message d’une personne qu’elle connaît et qui, étant soi-disant bloquée à l’étranger, lui réclame de l’argent. La première règle de prudence est de ne communiquer aucune donnée sensible - numéro de compte ou de carte bancaires, mots de passe -par courriel. Aucune administration - a fortiori le fisc pour le paiement d’un impôt ou le remboursement d’un crédit d’impôt -, aucune société sérieuse ne les demande par ce biais. En cas de doute, prenez contact directement avec l’organisme ou l’entreprise concerné.

Une autre précaution consiste à ne jamais cliquer sur le lien inséré dans les messages, car il peut renvoyer vers un faux site, une contrefaçon parfaite des pages que vous connaissez. Pour accéder à un site, saisissez de préférence l’adresse dans la barre d’adresse de votre navigateur, quitte à mettre la page en favori (voir Apprivoiser Internet Explorer: pour surfer en tout confort) si vous la consultez fréquemment. Les navigateurs sont, en effet, capables de filtrer les sites contrefaits. Il faut, pour cela, activer l’option antiphishing (voir: activer l'option antihameçonnage de son navigateur). Lorsque vous vous rendez sur un site sécurisé (un site bancaire, par exemple), assurez-vous de l’activation du cryptage des données (l’adresse doit commencer par https, et non par http). N’ouvrez pas non plus les pièces jointes des mails qui vous semblent douteux, car elles peuvent contenir des virus espions. Il est plus que conseillé d’équiper votre ordinateur d’une suite de sécurité (antivirus et antispam), dont certaines - Kapersky Internet Security 2013 ou Norton 360, par exemple - détectent également les sites contrefaits.

Face aux escrocs, la parade s’organise

Vous pouvez signaler les messages frauduleux sur le site ouvert par le ministère de l’Intérieur (internet-signalement.gouv.fr) et sur celui de l’association regroupant les professions de l’e-mailing (signal-spam.fr). Des fournisseurs d’accès mettent en place des cellules de lutte contre le phishing. Par exemple, Orange invite ses clients à dénoncer les messages suspects en envoyant un mail à abuse@orange.fr. Les sites phishtank.com (en anglais) et phishing-initiative.com permettent d’analyser l’adresse de sites internet pour détecter s’ils sont contrefaits.

Enfin, la jurisprudence commence à donner raison aux victimes. En novembre 2011, le Crédit agricole Loire et Haute-Loire, qui refusait d’indemniser un client, estimant qu’il avait fait preuve de négligence en communiquant sur internet son numéro de carte bancaire, a été condamné par le tribunal d’instance de Saint-Étienne à recréditer le compte de l’internaute et à lui verser des dommages et intérêts.

Isabelle Coune

Décryptage: phishing, ne mordez pas à l'hameçon

S'ABONNER
Partager

Partager via :

Plus d'options

S'abonner