A en croire les spécialistes de la sécurité informatique aux Etats-Unis, un nouveau danger sérieux menace le commerce électronique : le phishing. Une technique sophistiquée pour voler des...

A en croire les spécialistes de la sécurité informatique aux Etats-Unis, un nouveau danger sérieux menace le commerce électronique : le phishing. Une technique sophistiquée pour voler des informations personnelles et financières, dont certains instigateurs travailleraient directement pour le crime organisé.

Depuis quelques mois, les internautes américains sont victimes d’un nouveau type d’attaques par email : le phishing. Le sujet a été largement débattu à la RSA Conference de San Francisco, car il prend des proportions inquiétantes. Selon l’Anti-Phishing Working Group (APWG) qui s’est constitué l’année dernière, 60 millions de messages frauduleux ont été envoyés pendant les deux dernières semaines de décembre. Et en janvier ce chiffre aurait augmenté de 50 %.

« Le phishing commence à poser un grave problème car il englobe à la fois le vol d’informations personnelles et la délinquance financière », explique Dave Jevans, de l’APWG, d’autant plus inquiet qu’environ 5 % des internautes se seraient laissés prendre et auraient confié des données personnelles ou financières.

De quoi s’agit-il ? Le phishing – dont personne n’a pu expliquer l’origine du mot pendant la conférence RSA – prolonge le spoofing, qui consiste pour le spammer à faire croire que son message vient d’un site connu du destinataire, alors que ce n’est pas le cas. Avec le spoofing, l’expéditeur se fait passer pour un cyber-marchand réputé (Amazon, eBay, etc…) et il suggère à l’internaute de profiter sans tarder d’une offre promotionnelle, qui n’existe pas naturellement.

Le phishing va plus loin puisque dans ce cas le message contient un lien, par exemple celui du site d’Amazon ou d’une société de services financiers. Il peut même s’agir de celui de la banque de l’internaute – si l’expéditeur est bien renseigné – et le message lui demande de cliquer sur le lien joint pour régler un important problème de sécurité. Ce faisant, l’internaute pénètre sur le site de la banque qui l’invite à saisir son numéro de carte de crédit ou un mot de passe lui permettant d’accéder à des services financiers. En général, l’illusion est parfaite et rien ne permet de détecter qu’il s’agit d’un faux site, très bien imité. Et le mal est fait. « Cette pratique fait naître un grave sentiment de méfiance à l’égard d’Internet qui pourrait, à terme, paralyser le commerce électronique », souligne Robert Enderle, président d’une firme d’analyses informatiques dans la Silicon Valley.

Parmi les sites les plus « imités » en ce moment aux Etats-Unis, figurent déjà de grands noms, preuve que le phishing n’est plus marginal : Visa, Citibank, mais également Paypal, le service de paiement en ligne d’eBay, ont ainsi leurs faux sites.

Evidemment, la première parade au spoofing et au phishing consiste à ne pas répondre à de tels messages en cas de simple doute. Et d’éviter dans ce cas de cliquer sur le lien.
Mais beaucoup de firmes spécialisées dans la sécurité informatique considèrent que cela n’est pas suffisant et ont présenté à San Francisco des parades logicielles au phishing. Comme par exemple celle de PassMarks, une start-up de Palo Alto, qui permet aux internautes enregistrés sur des sites sensibles de voir apparaître une image connue d’eux seuls lorsqu’ils se connectent sur ces sites. Si l’image n’apparaît pas, c’est que le site est un faux…

Pour sa part, Ciphertrust, une société d’Atlanta, a mis au point un logiciel qui bloque les messages de phishing dans le serveur du fournisseur d’accès à Internet, qui n’arrivent donc pas jusqu’à l’internaute. Le procédé consiste à comparer la liste des adresses Internet des sites les plus connus avec celles des messages qui se font éventuellement passer pour ces sites. Lorsque ces adresses Internet ne correspondent pas, le message n’est pas délivré. Reste à espérer que les nouveaux spécialistes du phishing – dont on n’a pas hésité, lors de la RSA Conference, à dire qu’ils venaient de la mafia – ne trouveront pas de parades efficaces à ces protections si récentes.

Michel Ktitareff
Pour plus d’infos sur la côte Ouest : cliquer ici