Beaucoup de techniques existent pour essayer de duper les utilisateurs et de récupérer une partie de leurs données. Nous avons déjà abordé un certain nombre d’entre elles, comme celles permettant :

  • d’espionner les communications de l’utilisateur dans le cas où il visite un site non sécurisé par HTTPS[1] ;
  • de récupérer les mots de passe des utilisateurs lorsque les éditeurs ne les chiffrent pas[2] ;
  • d’extraire les informations contenues dans les e-mails des utilisateurs[3].

Si ces techniques peuvent nécessiter des compétences plus ou moins avancées en informatique, d’autres peuvent être beaucoup plus basiques, sans pour autant être moins efficaces. C’est le cas du phishing.

Fonctionnement du phishing

Le phishing[4] est une technique qui consiste à réaliser un site Internet dans le but de leurrer les utilisateurs et de les amener à renseigner des informations importantes, confidentielles ou personnelles.

Pour que cette technique fonctionne correctement, la personne malintentionnée fait en sorte que son site soit similaire comme deux gouttes d’eau à un site officiel, comme celui d’une banque, d’un organisme public, ou de n’importe quelle société en laquelle l’utilisateur a confiance.

Ce site ne se contenterait pas seulement d’afficher de fausses informations, mais demanderait à l’utilisateur de saisir, par exemple, ses identifiants ou son numéro de carte bancaire, dans le but de les utiliser ultérieurement à son insu, ou de les revendre au marché noir.

Copie d’écran d’un site de phishing se faisant passer pour l’Assurance Maladie. Le site demande à ses victimes de remplir leur nom, prénom, numéro de téléphone, date de naissance, adresse et les coordonnées bancaires pour recevoir un montant de 850,99 €
Exemple d’un phishing se faisant passer pour l’Assurance Maladie, et demandant le numéro de carte bancaire de l’utilisateur sous prétexte d’un remboursement de soin.

Une fois le site frauduleux réalisé et en ligne, l’attaquant doit ruser pour essayer d’amener les utilisateurs à s’y rendre. Il peut, par exemple, envoyer un message aux internautes par e-mail ou SMS, ou créer de fausses bannières publicitaires.

Le contenu du message envoyé aux internautes doit faire en sorte que l’utilisateur ait envie de cliquer sur le lien, par exemple, en lui faisant miroiter quelque chose, comme un cadeau, une promotion ou un remboursement.

SMS indiquant « Compte Ameli : nous avons déterminté que vous recevrez un remboursement de 850,99 €. Veuillez remplir votre formulaire de remboursement et confirmez-le via le lien ci-dessous »
Exemple d’un SMS invitant l’utilisateur à se rendre sur le site Internet de l’attaquant.

L’utilisateur, pensant être l’heureux élu, clique sur le lien et communique ses informations à l’attaquant.

Pourquoi le phishing marche aussi bien

Si les internautes tombent dans le panneau, ce n’est pas seulement parce qu’ils manquent de connaissances en informatique, mais parce qu’il est très difficile de différencier un site officiel d’un site frauduleux.

Les sites de phishing comme les sites officiels peuvent :

  • Contenir les informations personnelles de l’internaute comme leur nom, prénom ou leur date de naissance, que l’attaquant se serait procurées en amont ;
  • Être communiqués directement à l’internaute, par e-mail ou par SMS ;
  • Être une copie exacte de l’original ;
  • Être sécurisés par le protocole HTTPS.

Chacun de ces points améliore davantage le taux de réussite de l’attaque et rend la tâche encore plus difficile aux internautes.

Augmenter l’efficacité d’un phishing en le personnalisant

D’une manière générale, plus l’attaquant connait sa ou ses victimes, plus il peut communiquer avec elles de façon précise, et plus il peut personnaliser l’apparence du site. Le fait de personnaliser sa communication ou son site permet de prouver à l’utilisateur qu’il peut avoir confiance et que l’auteur est bien la personne qu’il prétend être.

Un message comme celui-ci a donc beaucoup de chance d’aboutir, en partant du principe que les informations affichées sont réelles :

E-mail avec un texte faisant croire à une réduction de 10 €
Exemple d’un message personnalisé incitant l’internaute à se rendre sur un site de phishing.

Si vous pensez que c’est un exemple irréel parce que l’attaquant n’a aucun moyen d’obtenir toutes ces informations, vous vous trompez.

Si j’ai pris l’exemple de la société Cdiscount[5], ce n’est pas par hasard, mais parce qu’un communiqué de leur part est tombé la veille de l’écriture de cet article dans lequel le spécialiste français de l’e-commerce annonce être victime d’un vol de données et indique, à juste titre, que ces données peuvent être utilisées « pour des tentatives de phishing ou de prospection commerciale non sollicitée » :

Communiqué du 6 février 2021 à propos d’une intrusion sur leur système informatique
Communiqué de la société CDiscount annonçant la perte de données de ses clients.

Comme pour tous les incidents de ce type, ce n’est qu’une question de temps avant que ces données se retrouvent sur Internet et soient utilisées à des fins frauduleuses. Une petite-annonce de vente de données de clients de Cdiscount a d’ailleurs été repérée sur le Web[6] récemment, preuve que mon message[7] pourrait bientôt être une réalité pour certains.

Augmenter l’efficacité d’un phishing en utilisant une adresse Internet bien choisie

Pour éviter d’être victime de phishing, l’internaute peut être attentif à l’adresse du site Internet sur lequel l’attaquant souhaite l’amener. Il est d’ailleurs généralement conseillé de vérifier que l’adresse corresponde bien à l’adresse officielle du site.

La réalité est que, même avec les meilleures précautions, l’utilisateur est incapable de différencier l’adresse officielle d’une fausse, non pas parce qu’il est incompétent, mais parce qu’il est très difficile de faire la distinction tant les subtilités sont minimes.

Les adresses des sites peuvent être composées de tous les caractères, de tous les alphabets. Certains sont malheureusement très semblables et peuvent être facilement confondus comme :

  • Le caractère o majuscule O et le chiffre zéro 0 : « CDISCOUNT.FR » au lieu de « CDISC0UNT.FR ».
  • Le caractère i majuscule I et le caractère L minuscule l : « googIe.fr » contre « google.fr »
  • Le caractère a en alphabet latin a et a en alphabet cyrillique а : « ameli.fr » contre « аmeli.fr »

La liste pourrait être longue et certaines polices de caractère accentuent encore davantage les ambiguïtés.

Pour le moment, nous avons parlé seulement du nom du site, mais un site n’est pas composé uniquement d’un nom, mais aussi d’une extension, par exemple, .org pour le site que vous êtes en train de consulter.

Initialement, seules quelques extensions étaient disponibles comme .com, .net, ou .org, et bien sur les extensions de chaque pays : .fr pour la France, .de pour l’Allemagne, etc.

Aujourd’hui, un grand nombre d’extensions sont proposées, et on trouve de tout[8] : .space, .christmas, .art, .baby, etc. Les sociétés et collectivités ont même la possibilité d’acheter les leurs contre un gros chèque. Il est donc possible de voir des adresses finissant avec .leclerc, .alsace ou .sncf.

Toutes ces extensions ne simplifient pas la tâche aux utilisateurs, car si une société peut acheter les noms de domaine .fr, .com ou .net, elle ne peut pas tous les acheter. Un attaquant pourrait alors facilement acheter le nom de domaine du site qu’il souhaite falsifier avec une extension différente.

Si on souhaitait se faire passer pour l’Assurance Maladie par exemple, comme l’image présentée plus haut, on pourrait choisir parmi tous ces noms de domaine :

Exemple d’extensions proposées : assurance-maladie.store à 1,99 €, assurance-maladie.site à 0,99 € ou assurance-maladie.link à 3,29 €
Exemple d’extensions disponibles pour le nom « assurance-maladie ».

Nous pouvons donc être l’heureux locataire du nom de domaine assurance-maladie.site pour moins d’un euro, et même sécuriser notre site avec HTTPS en installant gratuitement un certificat. Notre site https://assurance-maladie.site serait identique au site officiel et aucun internaute n’aurait la capacité de différencier notre site du site officiel.

Comment ne pas être victime de phishing

Nous l’avons vu, il est impossible de se fier à l’adresse d’un site, ou à son apparence, pour juger si un site est officiel ou pas. Le fait que le site soit sécurisé par HTTPS n’apporte aucune garantie sur ce point précis, car n’importe qui peut implémenter gratuitement un certificat sur son site.

Ne comptez pas non plus sur votre antivirus ou je ne sais quel logiciel pour vous protéger, ils ne peuvent rien pour vous.

L’unique solution est de ne jamais saisir quoi que ce soit à partir d’un lien qui se trouve dans un e-mail ou dans un SMS, même si cet e-mail vient d’une personne que vous connaissez. Son adresse e-mail a très bien pu être piratée.

Lorsque vous souhaitez vous authentifier sur un service, comme sur un site d’achats en ligne ou votre banque, passez soit par un moteur de recherches, soit par un lien présent dans vos favoris, ou saisissez manuellement l’adresse de la page d’accueil.

Aussi, ne saisissez jamais vos identifiants manuellement et laissez votre gestionnaire de mots de passe remplir vos identifiants à votre place, car lui seul a la capacité technique de reconnaitre si le site que vous visitez correspond bien à celui pour lequel les identifiants sont enregistrés.

Que faire face à un site de phishing

L’Administration[9] propose une plateforme pour signaler les sites illicites : internet-signalement.gouv.fr

Votre serviteur a testé ce service en signalant le site de phishing présenté plus haut, qui m’indique être l’heureux bénéficiaire d’un remboursement de 850,99 € de l’Assurance Maladie. Le signalement a été effectué le 28/01/2021 à 22h44, mais le site de phishing signalé reste encore accessible à ce jour.

L’Administration recommande aussi le site phishing-initiative.fr édité par la société Orange Cybersécurité, et qui alimenterait une base de données utilisée par les navigateurs pour combattre le phishing.

Un signalement a été effectué sur ce site le 09/02/2021 à 16h21 mais le site reste accessible à ce jour à partir de mon navigateur.

Enfin, étant donné que le message de phishing m’a été communiqué par SMS, un signalement a aussi été effectué auprès du service 33700.fr, la « plateforme de signalement des spams vocaux et SMS », en espérant que cela fasse avancer les choses.

Notes et références

  1. Les communications des utilisateurs visitant des sites non sécurisés par HTTPS peuvent être interceptées. Voir « Protégez vos utilisateurs en sécurisant votre site Internet avec HTTPS ».
  2. Les mots de passe des utilisateurs peuvent être lus s’ils n’ont pas été chiffrés. Voir « Ne stockez pas les mots de passe de vos utilisateurs en clair ».
  3. Certaines applications et certains fournisseurs lisent le contenu e-mails des utilisateurs. Voir « Amazon retire le détail des commandes de ses e-mails pour protéger ses clients ».
  4. Le terme phishing est traduit en français par le terme hameçonnage.
  5. La société Cdiscount appartient au groupe Casino, qui possède les magasins de grande distribution du même nom, mais aussi les enseignes Monoprix, Leader Price, et Spar.
  6. Les données des clients de la société Cdiscount ont été mises en vente sur Internet. La société Cdiscount a cependant indiqué n’avoir pas subi de vol de données (source : zataz.com).
  7. L’e-mail de cet article est fictif et est uniquement donné à titre d’exemple.
  8. La liste des extensions proposées par la société OVHCloud est disponible sur ovh.com.
  9. L’Administration explique la démarche à suivre en cas de phishing : service-public.fr.