ORIGINE & TERMINOLOGIE
. Le mot Phishing vient de de la combinaison de « Fishing », la pêche en anglais et « Phreaking » désignant le piratage de lignes téléphoniques.
. En avril 2004, l’Office québécois de la langue française a proposé, le mot Hameçonnage.
. En France, la Commission générale de terminologie et de néologie, a adopté le terme Filoutage par publication au JORF le 12 février 2006.
DÉFINITION
. En France, la Commission générale de terminologie et de néologie, a adopté le terme Filoutage par publication au JORF le 12 février 2006.
. Une fois les renseignements obtenus, il pourra les utiliser pour usurper l’identité de sa victime. Le plus souvent le pirate vole des identifiants bancaires, pour pénétrer le compte en ligne de sa victime et se faire virer des fonds.
. Le Phishing repose sur l’ingénierie sociale, un type d’escroquerie où le pirate abuse de la confiance, l’ignorance ou la crédulité de personnes possédant ce qu’il tente d’obtenir.
AVANTAGES
• Simplicité
• Rapidité
• Risques limités
• Grand nombre de cibles potentielles
• Rentabilité :
- en 2004 : 20% ont cliqué
- 1,3% ont donné des informations.
LES PRINCIPAUX PAYS PRODUCTEURS DE PHISHING – MAI 2009
MODE OPERATOIRE USUEL
. MAIL PIEGEUR : La victime reçoit un mail d’une banque ou d’une société d’e-commerce qui le redirige vers un site factice où il est invité à donner ses informations personnelles.
. SITE FACTICE : La victime croit être sur un site de confiance pour saisir ses données personnelles, mais en réalité il est en train de les envoyer au pirate informatique.
CREER UN MAIL PIEGEUR
Simple, rapide, efficace.
1. Créer une adresse mail imitant un tiers de confiance(adresses jetables, faux mail…), par exemple : support@socgen.fr
2. Reproduire le logo de la société dont on usurpe l’identité.
3. Trouver un prétexte pour que les victimes se rendent sur le site factice, pour y entrer leurs infos personnelles.
4. Envoyez le mail piégeur à autant de gens que possible.
FAUSSE ADRESSE
CREER UN SITE FACTICE
. Nom de domaine et apparence du site similaires à celui du tiers de confiance.
. Les données saisies sont envoyées au pirate soit par le biais d’une base de données, soit par mail.
. Après, le site factice envoie un message d’erreur puis renvoie sur le vrai site. L’internaute ne s’aperçoit alors pas de la supercherie.
LA LUTTE EDUCATIVE CONTRE LE PHISHING
LES MAILS
1. Vérifiez l’e-mail de l’expéditeur.
(Contactez l’expéditeur pour être sûr)
(Contactez l’expéditeur pour être sûr)
2. Vérifier le lien de l’e-mail.
Pour plus de sécurité, allez sur le site officiel.
Pour plus de sécurité, allez sur le site officiel.
3. Vérifier les fautes d’orthographe et bugs graphiques.
4. Signalez la tentative de phishing à la vraie société/administration, aux sites spécialisés dans la chasse au phishing.
(Phistank, antiphishing.org…)
(Phistank, antiphishing.org…)
LES SITES DEMANDANT DES INFORMATIONS PERSONNELLES
1. Faites attention à l’URL du site.
2. Vérifiez le « https », et le cadenas dans votre navigateur.
3. Si la page est sécurisée, jetez un œil au certificat SSL. Un pirate aurait très bien pu en obtenir un.
4. Surveillez les fautes d’orthographe, et des bugs graphiques.
5. Signalez la tentative de phishing à la vraie société/administration, aux sites spécialisés dans la chasse au phishing.
(Phistank, antiphishing.org…)
(Phistank, antiphishing.org…)
LA LUTTE ADMINISTRATIVE CONTRE LE PHISHING
. Les NIC (Network Information Center) bloquent les noms de domaine « pathogènes ».
. Les registrars vérifient les demandes de nom de domaine.
. Les FAI bloquent les IP « pathogènes ».
LA LUTTE TECHNIQUE CONTRE LE PHISHING
. Le phishing est lié au spam, donc il faut le stopper à sa source.
. Repérer les incohérences URL dans les mails.
. Repérer les sites de façade.
. Real time Blacklist (RBL) pour l’utilisation Web.
LUTTER CONTRE LE SPAM
. Logiciels anti-spam (DSpam, SpamAssassin, ASSP…).Souvent, les clients de messageries, et les serveurs de messageries électroniques ont déjà des filtres anti-spam.
. Filtres bayésiens adaptatifs (statistiques)
. Chaînes markoviennes (probabilités)
. Greylisting : rejet temporaire d’un mail.Les vrais serveurs renvoient le mail, les serveurs de spam ne le font pas.
•Real time Blacklist (RBL)
LES NOUVEAUX MODES DE PHISHING
. Faille XSS (Cross Site Scripting) dans les sites sécurisés.
Le webmestre :
- doit sécuriser son code pour éviter les failles.
L’internaute :
- vérifie l’URL du site.
- surveille les fautes d’orthographe, et des bugs graphiques.
. Pharming : le pirate modifie la requête DNS d’un nom de domaine pour qu’elle renvoie vers l’IP d’un site factice.=> Problème : l’URL est celle du site de confiance, mais la page qui s’affiche est celle du pirate.
Pour y remédier, l’internaute doit :
- mettre à jour son système d’exploitation pour empêcher le piratage de ses paramètres réseaux.
- vérifier le https, et le cadenas dans le navigateur.
- si la page est effectivement sécurisée, vérifier le certificat SSL, car un pirate aurait très bien pu en obtenir un.
- surveiller les fautes d’orthographe, et des bugs graphiques.
CONCLUSIONS
. L’information des internautes est primordiale : ce sont les premières victimes, ils doivent savoir comment lutter.
. Une lutte sur tous les fronts : Spam, noms de domaines, failles xss, paramétrage des serveurs, sites façades…
. La collaboration de tous les acteurs est essentielle surtout pour les RBL.
. Il faut aussi une coopération internationale pour fermer les sites frauduleux.
Bryce Chan
