Beaucoup de techniques existent pour essayer de duper les utilisateurs et de récupérer une partie de leurs données. Certaines ont déjà été évoquées sur ce site, notamment celle permettant d’espionner les communications de l’utilisateur dans le cas où il visite un site non sécurisé par HTTPS[1] ou celle consistant à extraire les informations contenues dans les e-mails des utilisateurs[2].

Si ces techniques peuvent nécessiter des compétences plus ou moins avancées en informatique, d’autres peuvent être beaucoup plus basiques, sans pour autant être moins efficaces. C’est le cas du « phishing ».

Fonctionnement du phishing

Le phishing[3] est une technique qui consiste à réaliser un site Internet dans le but de leurrer les utilisateurs et de les amener à renseigner des informations importantes, confidentielles ou personnelles.

Pour que cette technique fonctionne correctement, la personne malintentionnée fait en sorte que son site soit similaire comme deux gouttes d’eau à un site officiel, comme celui d’une banque, d’un organisme public, ou de n’importe quelle société en laquelle l’utilisateur a confiance. Ce site ne se contenterait pas seulement d’afficher des informations crédibles, mais demanderait aussi à l’utilisateur de saisir, par exemple, ses identifiants ou son numéro de carte bancaire, dans le but de les utiliser ultérieurement à son insu, ou de les revendre au marché noir.

Copie d’écran d’un site de phishing se faisant passer pour l’Assurance Maladie. Le site demande à ses victimes de remplir leur nom, prénom, numéro de téléphone, date de naissance, adresse et les coordonnées bancaires pour recevoir un montant de 850,99 €
Exemple d’un phishing se faisant passer pour l’Assurance Maladie, et demandant le numéro de carte bancaire de l’utilisateur sous prétexte d’un remboursement de soin.

Une fois le site frauduleux réalisé et en ligne, l’attaquant doit ruser pour essayer d’amener les utilisateurs à s’y rendre. Il peut, par exemple, envoyer un message aux internautes par e-mail ou SMS, ou créer de fausses bannières publicitaires.

Le contenu du message envoyé aux internautes doit faire en sorte que l’utilisateur ait envie de cliquer sur le lien, par exemple, en lui faisant miroiter quelque chose, comme un cadeau, une promotion ou un remboursement.

SMS indiquant « Compte Ameli : nous avons déterminté que vous recevrez un remboursement de 850,99 €. Veuillez remplir votre formulaire de remboursement et confirmez-le via le lien ci-dessous »
Exemple d’un SMS invitant l’utilisateur à se rendre sur le site Internet de l’attaquant.

L’utilisateur, pensant être l’heureux élu, clique sur le lien et communique ses informations à l’attaquant.

Pourquoi le phishing marche aussi bien

Si les internautes tombent dans le panneau, ce n’est pas seulement parce qu’ils manquent de connaissances en informatique, mais parce qu’il est très difficile de différencier un site officiel d’un site frauduleux.

Les sites de phishing comme les sites officiels peuvent :

  • contenir les informations personnelles de l’internaute comme leur nom, prénom ou leur date de naissance, que l’attaquant se serait procurées en amont ;
  • être communiqués directement à l’internaute, par e-mail ou par SMS ;
  • être une copie exacte de l’original ;
  • être sécurisés par le protocole HTTPS.

Chacun de ces points améliore davantage le taux de réussite de l’attaque et rend la tâche encore plus difficile aux internautes.

Augmenter l’efficacité d’un phishing en le personnalisant

D’une manière générale, plus l’attaquant connait sa ou ses victimes, plus il peut communiquer avec elles de façon précise et plus il peut personnaliser l’apparence du site. Le fait de personnaliser sa communication ou son site permet de prouver à l’utilisateur qu’il peut avoir confiance et que l’auteur est bien la personne qu’il prétend être.

Un message comme celui-ci a donc beaucoup de chance d’aboutir, en partant du principe que les informations affichées sont réelles :

E-mail avec un texte faisant croire à une réduction de 10 €
Exemple d’un message personnalisé incitant l’internaute à se rendre sur un site de phishing.

Si vous pensez que c’est un exemple irréel parce que l’attaquant n’a aucun moyen d’obtenir toutes ces informations, vous vous trompez. Si j’ai pris l’exemple de la société Cdiscount, ce n’est pas par hasard, mais parce qu’un communiqué de leur part est tombé la veille de l’écriture de cet article dans lequel le spécialiste français de l’e-commerce annonce être « victime d’un vol de données » et indique, à juste titre, que ces données peuvent être utilisées « pour des tentatives de phishing ou de prospection commerciale non sollicitée » :

Communiqué du 6 février 2021 à propos d’une intrusion sur leur système informatique
Communiqué de la société CDiscount annonçant la perte de données de ses clients. © CDiscount

Comme pour tous les incidents de ce type, ce n’est qu’une question de temps avant que ces données se retrouvent sur Internet et soient utilisées à des fins frauduleuses.

Augmenter l’efficacité d’un phishing en utilisant une adresse Internet bien choisie

Pour éviter d’être victime de phishing, l’internaute peut être attentif à l’adresse du site Internet sur lequel l’attaquant souhaite l’amener. Il est d’ailleurs généralement conseillé de vérifier que l’adresse corresponde bien à l’adresse officielle du site. La réalité est que, même avec les meilleures précautions, l’utilisateur est incapable de différencier l’adresse officielle d’une fausse, non pas parce qu’il est incompétent, mais parce qu’il est très difficile de faire la distinction tant les subtilités sont minimes.

Les adresses des sites peuvent être composées de tous les caractères, de tous les alphabets. Certains sont malheureusement très semblables et peuvent être facilement confondus comme :

  • Le caractère o majuscule O et le chiffre zéro 0 : « CDISCOUNT.FR » au lieu de « CDISC0UNT.FR ».
  • Le caractère i majuscule I et le caractère L minuscule l : « googIe.fr » contre « google.fr »
  • Le caractère a en alphabet latin a et a en alphabet cyrillique а : « ameli.fr » contre « аmeli.fr »

La liste pourrait être longue et certaines polices de caractère accentuent encore davantage les ambiguïtés.

Pour le moment, nous avons parlé seulement du nom du site, mais un site n’est pas composé uniquement d’un nom, mais aussi d’une extension, par exemple, .org pour le site que vous êtes en train de consulter.

Initialement, seules quelques extensions étaient disponibles comme .com, .net, ou .org, et bien sur les extensions de chaque pays : .fr pour la France, .de pour l’Allemagne, etc. Aujourd’hui, un grand nombre d’extensions sont proposées, et on trouve de tout : .space, .christmas, .art, .baby, etc. Les sociétés et collectivités ont même la possibilité d’acheter les leurs contre un gros chèque. Il est donc possible de voir des adresses finissant avec .leclerc, .alsace ou .sncf.

Toutes ces extensions ne simplifient pas la tâche aux utilisateurs, car si une société peut acheter les noms de domaine .fr, .com ou .net, elle peut difficilement tous les acheter. Un attaquant pourrait alors facilement acheter le nom de domaine du site qu’il souhaite falsifier avec une extension différente. Si on souhaitait se faire passer pour l’Assurance Maladie par exemple, comme l’image présentée plus haut, on pourrait choisir parmi tous ces noms de domaine :

Exemple d’extensions proposées : assurance-maladie.store à 1,99 €, assurance-maladie.site à 0,99 € ou assurance-maladie.link à 3,29 €
Exemple d’extensions disponibles pour le nom « assurance-maladie ». © OVHCloud

Cela veut dire que nous pouvons donc être l’heureux locataire du nom de domaine « assurance-maladie.site » pour moins d’un euro, et même sécuriser notre site avec HTTPS en installant gratuitement un certificat. Notre site « https://assurance-maladie.site » serait identique au site officiel et les internautes auraient bien du mal à différencier notre site du site officiel.

Comment ne pas être victime de phishing

Il est très difficile de se fier à l’adresse d’un site ou à son apparence pour juger si un site est officiel ou pas. Le fait que le site soit sécurisé par HTTPS n’apporte aucune garantie sur ce point précis, car n’importe qui peut implémenter gratuitement un certificat sur son site. Ne comptez pas non plus sur votre antivirus ou je ne sais quel logiciel pour vous protéger, ils ne peuvent rien pour vous.

L’unique solution est de ne jamais saisir quoi que ce soit à partir d’un lien qui se trouve dans un e-mail ou dans un SMS, même si cet e-mail vient d’une personne que vous connaissez. Son adresse e-mail a très bien pu être piratée.

Lorsque vous souhaitez vous authentifier sur un service, comme sur un site d’achats en ligne ou votre banque, passez soit par un moteur de recherches, soit par un lien présent dans vos favoris, ou saisissez manuellement l’adresse de la page d’accueil. Aussi, ne saisissez jamais vos identifiants manuellement et laissez votre gestionnaire de mots de passe remplir vos identifiants à votre place, car lui seul a la capacité technique de reconnaitre si le site que vous visitez correspond bien à celui pour lequel les identifiants sont enregistrés.

Que faire face à un site de phishing

L’Administration[4] propose une plateforme pour signaler les sites illicites. Votre serviteur a testé ce service en signalant le site de phishing présenté plus haut, qui m’indique être l’heureux bénéficiaire d’un remboursement de 850,99 € de l’Assurance Maladie, mais le site de phishing signalé n’a pas été retiré.

L’Administration recommande aussi un site édité par la société Orange Cybersécurité. Ce site semble alimenter une base de données utilisée par les navigateurs pour combattre le phishing. Un signalement a également été effectué sur ce site, sans conséquence visible.

Enfin, étant donné que le message de phishing m’a été communiqué par SMS, un signalement a aussi été effectué auprès du service 33700, la « plateforme de signalement des spams vocaux et SMS ».

Il aura finalement fallu des échanges sur Twitter avec le compte Cybermalveillance pour que le site de phishing soit rapidement retiré.

Notes et références

  1. Les communications des utilisateurs visitant des sites non sécurisés par HTTPS peuvent être interceptées. Voir « Comment espionner ou pirater les internautes qui visitent des sites Internet non sécurisés ».
  2. Certaines applications et certains fournisseurs lisent le contenu e-mails des utilisateurs. Voir « Amazon retire le détail des commandes de ses e-mails pour protéger ses clients ».
  3. Le terme « phishing » est traduit en français par le terme « hameçonnage ».
  4. L’Administration explique la démarche à suivre en cas de phishing sur son site Internet.