Phishing
Nous communiquons par courriel, nous effectuons nos paiements en ligne, nous revendons nos objets sur Internet. Pour utiliser tous ces services, nous devons à chaque fois divulguer certaines données personnelles. Une aubaine pour les escrocs qui vont tenter de nous les soustraire en utilisant 1001 astuces.
Définition
Le terme « phishing » est une contraction des mots anglais password (mot de passe), harvesting (moisson) et fishing (pêche). Il s’agit d’une technique d’escroquerie, aussi appelée hameçonnage, utilisée pour se procurer subrepticement les données confidentielles d’internautes. Les informations convoitées sont celles permettant entre autres d’accéder à ses comptes de messagerie, de services bancaires ou de la Poste en ligne ou de sites d’enchères. Les malfaiteurs agissent tantôt en bande organisée, tantôt en solitaire. L’attaque peut se produire par courriel, par un site web, par un service de téléphonie sur Internet (VoIP) ou par SMS.
A l’aide des données soutirées ou volées, les escrocs commettent ensuite des infractions contre le patrimoine au nom de la victime : virements bancaires, achats en ligne et même placements de fausses offres sur des sites d’enchères. De plus, l’escroc devient maître du compte de messagerie électronique dont il a soutiré les données d’accès. Il peut ainsi l’utiliser pour envoyer d’autres courriels frauduleux aux contacts de la victime, mais aussi le bloquer ou en modifier le mot de passe.
Caractéristiques d’une attaque de phishing
Les modalités des attaques de phishing varient beaucoup. Mais elles ont certaines caractéristiques en commun :
- L’escroc commence toujours par sommer la cible de divulguer ses données personnelles. Le prétexte invoqué peut varier : nécessité de renouveler les données pour des raisons de sécurité ou de mettre à jour le compte de l’utilisateur, données requises par une autorité pour procéder au remboursement de frais d’électricité, etc.
- En général, la sommation est envoyée par courriel et le message contient un lien vers un site contrefait.
- Sur le site factice, la victime est invitée à remplir un formulaire. Dans la plupart des cas, il lui est demandé de divulguer des données bancaires confidentielles et d’autres données personnelles (nom, prénom, adresse électronique, nom d’utilisateur et mot de passe pour différents comptes, etc.).
- L’adresse de l’expéditeur, mais aussi le contenu du courriel et la conception du site web auquel il renvoie visent à faire croire au destinataire que son interlocuteur est un établissement financier connu, la Poste, une plate-forme d’enchères en ligne (Ricardo ou eBay par ex.), un service de messagerie électronique ou une autorité.
- Il arrive aussi que la page d’hameçonnage soit placée sur le site d’une entreprise sérieuse après piratage de celui-ci. L’utilisation de ce procédé est surtout connue dans le domaine des services bancaires en ligne.
Situation juridique
L’hameçonnage ne fait pas l’objet d’une norme pénale particulière en Suisse. Mais il tombe souvent sous le coup des articles suivants du Code pénal :
- Art. 143 CP Soustraction de données
- Art. 143bis CP Accès indu à un système informatique
- Art. 144 CP Dommages à la propriété
- Art. 147 CP Utilisation frauduleuse d’un ordinateur
- Art. 251 CP Faux dans les titres
- Art. 305bis CP Blanchiment d’argent
Que fait la police ?
La répression du phishing est très compliquée au cas par cas, car on ne peut pas remonter à l’infrastructure technique utilisée par les escrocs. Seule une analyse complète des attaques de ce type pourrait livrer des enseignements. En effet, Les malfaiteurs produisent souvent les pages d’hameçonnage à l’aide de services proxy situés à l’étranger. Pour dissimuler leur identité, ils envoient fréquemment les pages par l’intermédiaire de réseaux de programmes informatiques automatisés (botnets) ou les hébergent à l’étranger, ou encore les placent sur des serveurs de tiers piratés. Par ailleurs, les données volées sont en général revendues à d’autres malfaiteurs pour recyclage. L’instruction des cas est ainsi souvent vouée à l’échec ou, du moins, exige une grande débauche de moyens. C’est une raison de plus de se protéger contre les attaques.
Comment se protéger?
Pour éviter d’être victime d’une attaque de phishing
- En principe, les prestataires sérieux tels que banques, la Poste, sites d’enchères, autorités et institutions similaires ne vous demanderont jamais de divulguer vos mots de passe ou vos données de cartes de crédit par courriel ou au téléphone.
- Une extrême méfiance est donc de mise à l’égard de courriels qui vous réclameraient des données personnelles et affirmeraient que les conséquences en cas d’inexécution seraient une perte financière, une dénonciation pénale ou le blocage de votre carte de crédit par exemple.
- Ne répondez pas à ce genre de courriels. Effacez-les systématiquement sans cliquer sur les liens proposés.
- Vérifier des sites web suspects: https://checkawebsite.ibarry.ch
Si vous avez été victime d’une attaque de phishing
- Modifier immédiatement les mots de passe divulgués et assurez-vous que les nouveaux sont sûrs.
- Si vous avez divulgué des données confidentielles, contactez immédiatement le prestataire concerné (établissement financier, fournisseur d’accès ou service de messagerie électronique). Expliquez votre situation pour recouvrer le contrôle de vos données.
- Avisez aussi MELANI de l’attaque au moyen du formulaire ad hoc.
Phishing
Vol de données – voici comment se protéger
Le dépliant « Phishing – Vol de données – voici comment se protéger » a été réalisé en collaboration avec « eBanking – en toute sécurité! ». Le dépliant détaille le mode opératoire du phishing et les mesures de précaution à prendre en présence de mails qui visent un vol de données. (Le dépliant est aussi disponible en anglais.)
