Phishing : regain d'activité et conseils pour s'en prémunir

Arnaud de la Grandière |
Il y a actuellement un regain d'activité dans le phishing autour d'Apple (hameçonnage). Il est maintenant courant que les noms de services et logos de l'entreprise soient utilisés au sein de courriers électroniques destinés à abuser leurs destinataires. La rançon du succès… Leurs auteurs surfent aussi sur l'actualité, profitant par exemple de transitions comme celle survenue par le passé entre MobileMe et iCloud.



Depuis quelques jours, plusieurs d'entre vous ont reçu un courrier identique, qui avertit l'utilisateur d'une expiration de son Apple ID (le sésame sur iTunes, le Mac App Store, etc). On est invité à cliquer sur un lien qui nous transporte vers une page reprenant la présentation d'Apple, où l'on nous demande de décliner nos identifiant et mot de passe. Si l'on s'exécute, le mal est fait votre compte sera entre de nouvelles mains. Ce message est un vieux client, il circule depuis déjà quelques années, sous une présentation ou une autre, avec de temps à autre quelques pics de diffusion.



À ce stade - si l'on ne s'est pas étonné des quelques fautes d'orthographe - on peut voir que l'URL de ce site n'a plus grand-chose à voir avec Apple, mais encore faut-il faire attention. Dans le courrier aussi, le lien fallacieux est accompagné d'un second de Questions/Réponse emmenant cette fois vers Apple.

Comme d'habitude, on peut douter de la légitimité de ce courrier en voyant qu'il est envoyé depuis une adresse inhabituelle, et encore… le itunes-service.fr peut aisément tromper son monde, sauf à aller vérifier ce qu'il y a derrière, c'est à dire rien.

Bonnes pratiques



Pour ne plus se faire avoir par les mails de hameçonnage, il est crucial pour tout internaute de savoir lire correctement les noms de domaine des sites Internet.

Commençons par définir ce qu'est un nom de domaine : il s'agit d'une adresse en texte (typiquement sous la forme www.exemple.com) qui se substitue à une adresse IP. Cela présente le double avantage d'être d'une part plus facile à retenir que des chiffres abscons, et d'autre part de pouvoir changer d'adresse IP sans devenir injoignable.

En effet, lorsque vous tapez l'adresse d'un serveur dans votre navigateur, la couche TCP/IP de votre système d'exploitation va d'abord demander à un serveur de noms de domaine quelle adresse IP correspond au nom de domaine en question. Par exemple, apple.com redirige vers l'IP 17.172.224.47 (l'un et l'autre sont interchangeables, vous pouvez donc accéder au site d'Apple en tapant http://17.172.224.47 dans votre navigateur). Lorsque vous accédez à http://www.apple.com, votre machine demande au DNS à quelle IP ce nom de domaine correspond, puis elle va se connecter à cette adresse IP directement.

Les escrocs du net s'appuient notamment sur le sens de lecture contre-intuitif des noms de domaines pour arnaquer leurs proies : la hiérarchie d'un nom de domaine va de droite à gauche, du plus important au moins important. Un nom de domaine est constitué de deux parties ou plus, séparées par un point (il s'arrête à la première barre oblique, par exemple, dans http://www.apple.com/ipad/specs/, le nom de domaine complet est www.apple.com)

La partie la plus à droite est appelée Top Level Domain, ou TLD. Il n'existe qu'une liste limitée (quoi que de plus en plus importante) de TLD (.com, .biz, .edu, .fr, etc). On ne peut donc pas choisir un texte arbitraire pour un TLD.

La partie immédiatement à la gauche du TLD est le Second-Level Domain (SLD). C'est le couple constitué par le TLD et le SLD auquel il faut impérativement se référer pour savoir à qui vous avez affaire, car c'est la partie qui est soumise à validation par les instances qui gouvernent leur attribution.

Notez par exemple que apple.com et apple.org ne pointent pas sur les mêmes sites : si la plupart des sites majeurs enregistrent leurs noms de domaines avec un maximum de TLD différents, ces différences d'attribution ne sont cependant pas rares. C'est donc rigoureusement apple.com qui pointera vers le site d'Apple. Il faut également vous méfier des noms de domaine qui semblent légitimes mais qui appartiennent à des personnes mal intentionnées (par exemple store-apple2012.com).

Mais plus important encore, chaque détenteur d'un nom de domaine est susceptible de créer un sous-domaine librement. Il s'agit d'une partie optionnelle du nom de domaine qui se trouve au tout début de l'adresse. La plupart du temps, le sous-domaine se résume à "www", mais vous avez déjà pu rencontrer bien d'autres cas. Il peut y avoir jusqu'à 128 sous-domaines, pour peu que le domaine complet ne dépasse pas 256 caractères. Il ne faut donc pas vous fier à tout ce qui précède le SLD, car nombre de hameçonnages reposent là dessus : http://www.apple.com.arnaque.com/ ne pointe pas sur le site d'Apple, mais sur un sous domaine du site arnaque.com !

Les emails en html ne simplifient pas la donne, car un faux domaine peut être caché derrière un vrai : on peut en effet associer n'importe quelle adresse à un lien dont le texte apparent sera différent. Si vous survolez le lien suivant avec votre souris vous verrez que l'adresse vers laquelle il pointe n'est pas la même que celle qui est affichée : http://www.apple.com.



Une vérification facile à faire sur Mac, par contre dans Safari Mobile pensez à faire une pression prolongée sur le lien pour afficher une fenêtre qui présentera la véritable URL.

Les mesures basiques de précaution exigent donc de vérifier que le nom de domaine du site sur lequel vous croyez être correspond bien à son détenteur apparent. Dans le doute, assurez-vous d'accéder à la page d'accueil du site en tapant uniquement le SLD suivi du TLD, cela suffit généralement à faire la différence.

Cependant n'y voyez pas là une mesure de sécurité absolue : même en vous assurant de la validité d'un nom de domaine, il reste des cas, certes bien plus rares, où vous pourriez être arnaqués : il suffit que le site ait été hacké, ou pire encore, que le serveur de nom de domaines l'ait été, ou encore que le certificat du nom de domaine soit compromis, pour être trompé. Mais l'écrasante majorité des méthodes d’hameçonnage repose sur ces quelques éléments de base, que chacun d'entre vous se doit donc de bien maîtriser.

Comment se protéger ?

Concernant les emails d’hameçonnage, certaines fraudes sont grossières (formatage différent de la source officielle, fautes d'orthographe…), mais c'est de moins en moins le cas. N'oubliez également pas que les sociétés de confiance qui ont éventuellement besoin d'une action de votre part sur votre compte chez eux procèdent de manière standard :
- les mails qui vous sont adressés contiennent votre nom en plus de votre adresse email (les fraudeurs ont plus rarement les deux).
- toute action requise se fait en vous connectant sur la page d'accueil du site et en navigant manuellement jusqu'à la partie concernée, et non en suivant un lien direct dans un email.



Lorsque vous avez détecté une page de hameçonnage, n'hésitez pas à la signaler sur ce lien, afin de protéger les internautes moins aguerris que vous. Il faut également savoir que la plupart des pages d’hameçonnage sont hébergées en pleine innocence par des serveurs qui ont été hackés - il ne faut donc voir aucune malice de la part du propriétaire des lieux, si ce n'est par le manque de protection de sa machine.
Tags
avatar patrick86 | 
Safari accepte d'ouvrir la fausse page sans réagir ?
avatar patrick86 | 
Un jour j'ai appris que j'avais un compte bancaire à la banque postal... Mais bien sur ^^
avatar platj21 | 
@patrick86 : Bah oui, normal il détecte pas les faux liens ;)
avatar alushta | 
Il me semble quand même que le plus simple est simplement d'ignorer les messages!!! Les banques, La Poste, Fed Ex ou qqch d'autre n'envoient jamais de mail et encore moins avec une pièce jointe! Concernant iTunes, c'est la même chose, il faut ignorer... au pire, on a le compte qui est bloqué et on réactive en 2 min! A tous mes clients, je recommande vivement de TOUJOURS ignorer ces messages car il y a trop peu de vrai contre le phishing! Cela simplifie la vie de directement les supprimer que de réfléchir!
avatar bugman | 
@ patrick86 : Moi aussi, j'y ai mis du coup tout l'argent que j'ai gagné chez Microsoft. De temps en temps j'aime remplir ces formulaires (c'est sympa de nous offrir des champs pour passer nos nerfs). :)
avatar Anonyme (non vérifié) | 
bjr et moi un heritage en afrique je suis riiicheee
avatar KeepAlive | 
J'ajouterai aux conseils de vérifier si le e-mail est signé électroniquement, et si ladite signature est valide. Dans Mail.app, cela est affiché par la présence de l'entête "Sécurité: ✔ Signé". C'est le cas des courriers envoyés par un nombre croissant de banques. Personnellement, cela fait une plusieurs années que j'utilise la signature électronique (S/MIME et PGP) pour dans les e-mails que j'envoie. Cela est certes encore un peu difficile à appréhender au départ (besoin d'obtenir et d'installer un certificat) et malheureusement pas bien supporté par les webmails, mais le jeu en vaut la chandelle car si cet usage se généralise, l'usurpation d'identité deviendra beaucoup difficile pour les spameurs. Un dernier conseil est d'afficher les entêtes complètes du message et de vérifier à l'aide des lignes de routage s'il a été envoyé à travers un serveur SMTP appartenant au domaine de l'adresse source (genre mabanque.fr et non pas hotmail.com ou 0wned.ru) Sylvain, ingénieur en sécurité informatique
avatar UgoD | 
Au moins ils font des efforts sur l'orthographe ces pirates la :) Quand on voit EDF et tout le reste c'est pas joli joli ^^. Bon week-end tout le monde :).
avatar Johnny B. Good | 
Le vrai danger, c'est Paypal, qui n'a toujours pas compris qu'il ne fallait pas envoyer de mails à ses clients. Paypal nous dit beaucoup de choses par mail, les arnaqueurs en tirent profit et font des copies quasi-conformes aujourd'hui.
avatar Philactere | 
@alushta : Je crois qu'il est en effet important de préciser que JAMAIS une banque, une institution financière, ou n'importe quel service un tant soit peu sérieux, ne vas vous demander par email de réinitialiser, valider un compte, ou toutes autres demandes d'informations relatives a un compte JAMAIS, J A M A I S, J.A.M.A.I.S ! Donc à IGNORER. Ayez aussi le réflexe si ce mail vous semble particulièrement bien ciblé (contenant votre nom prénom) de le transmettre à la société usurpée afin qu'elle en doit informée et qu'elle puisse agir si elle le souhaite.
avatar ekmickael | 
Pure coïncidence je suppose mais pas moins de cinq minutes après avoir acheté une application il y a quelques jours, je recevais un mail de ce genre. Il faut vraiment être aux aguets, surtout en fin de journée, même une personne généralement attentive peut en cas d'inattention tomber dans le panneau.
avatar Philactere | 
@KeepAlive : 'Un dernier conseil est d'afficher les entêtes complètes du message et de vérifier à l'aide des lignes de routage s'il a été envoyé à travers un serveur SMTP appartenant au domaine de l'adresse source (genre mabanque.fr et non pas hotmail.com ou 0wned.ru)' Oui c'est juste mais c'est un peu compliqué quand même. Sur Outlook va déjà trouver le menu pour afficher les en-têtes ! Pour l'avoir cherché je peux dire que ça ne va pas de soi. Ensuite comprendre et trouver ce qu'on cherche dans les en-tête est une autre paire de manche pour le non geek... Bref c'est tout sauf intuitif pour Mme Michu. Mais c'est vrais qu'à l'avenir comme moyen supplémentaire de lutte contre le phishing les clients mail introduiront un petit bouton + à côté de l'adresse de l'expéditeur pour exposer _clairement_ le contenu de l'en-tête complet, c'est une idée a creuser.
avatar bugman | 
@ Philactere : Le mieux est encore de faire un "copier le lien" sur l'adresse du mail et la coller (sans valider) dans ton navigateur pour voir si l'adresse (DNS) est bien celui de l'entreprise. Dans le doute, un petit whois dessus. "Oui c'est juste mais c'est un peu compliqué quand même [...] ... Bref c'est tout sauf intuitif pour Mme Michu." Pas faux. Mais à un moment faut peut être aussi se donner les moyens de combattre (pour son bien) ce genre de saloperie. C'est pas sorcier non plus et cela devient vite un automatisme.
avatar Philactere | 
Les seuls mails légitimes dans ces situations sont ceux que vous avez sollicité. Par exemple en créant un compte XY sur un site qui va vous informer (sur la page de création du compte) que vous allez recevoir un mail vous demandant de suivre un lien pour finaliser la création du compte. Ou en vous connectant à un compte auquel vous avez oublié le mot de passe, en suivant le processus d'attribution d'un nouveau mot de passe vous pouvez être amené de la même manière que dans l'exemple précédent a suivre un lien dans un mail sollicité. Pour le reste c'est du phishing.
avatar devin plompier | 
@KeepAlive À propos du chiffrement des pages, ça ne veut rien dire non plus. Je suis un jour tombé sur un phishing copiant Orange (le phishing le plus réaliste que j'ai jamais vu) et il était chiffré.
avatar bugman | 
@ devin plompier : Faut regarder l'autorité qui l'a délivré et pour quel domaine (auto-signé, tu fais une croix dessus ça ne vaut rien).
avatar patrick86 | 
@ platj21: Safari à un système de détection de site frauduleux, il fonctionne, ça m'est déjà arrivé. :)
avatar patrick86 | 
@ bugman : C'est une solution ^^ Moi c'est plutôt" commande + sup" en général ;)
avatar bugman | 
@ patrick86 : Ca en est une autre. Efficace. ;)
avatar Philactere | 
@patrick86 : Oui mais il ne les détecte pas forcément tous, donc ne pas se reposer à 100% là dessus.
avatar Philactere | 
@bugman : 'Mais à un moment faut peut être aussi se donner les moyens de combattre (pour son bien) ce genre de saloperie. C'est pas sorcier non plus' Bien sûre qu'il faut se donner les moyens. Mais je préfère donner des moyens simple et de bon sens à Mme Michu (ou à un de mes proches qui en son temps serait facilement tombé dans le panneau) qu'elle pourra facilement mette en œuvre que des moyens complexes qu'elle ne maîtrisera pas. Va demander a Mme Muchu d'ouvrir le terminal pour faire un WHOIS et d'en interpréter le résultat, encore pire sous Windows où elle devra trouver un site web ad-hoc pour faire un WHOIS (mais pas sur tous les TLD, il faudra encore trouver un autre site pour un WHOIS sur tel ou tel TLD). Même chose pour les en-tête email. Sauf à être geek c'est indéchiffrable. C'est peut-être pas sorcier pour toi et moi mais pour d'autres ça relève de la magie noire, donc des moyens simples de bon sens valent mieux du moment qu'ils peuvent être compris facilement.
avatar Philactere | 
Dernier conseil si un mail non sollicité vous semble tout de même réaliste (p. ex. données personnelles précises + langue et orthographe maîtrisés + changements chez le fournisseur annoncés publiquement (presse) comme un nouveau service, une fusion de sociétés, etc.) : Allez sur le site web de la façon HABITUELLE où vous vous connectez ordinairement, c'est a dire en ouvrant le navigateur et en tapant l'adresse habituelle ou en utilisant votre signet, JAMAIS en cliquant sur le lien contenu dans le mail ou en recopiant ce dernier. Là si il y a réellement eu des changements le site web vous en informera et vous donnera la marche a suivre.
avatar patrick86 | 
@ Philactere: Oui bien évidemment ;)
avatar ricchy | 
@ johnny b. good Les autres compagnies n'envoient pas de mails à leur clients peut être ??? Apple à tout hasard… Reçu un cette semaine de Paypal. La meilleure chose à faire, c'est d'envoyer le phishing à spoof@paypal.com
avatar patrick86 | 
Tenez, les adresse "anti-fishing d'orange et de al poste, j'ai eu à m'en servir… abuse@orange.fr alertespam@labanquepostale.fr Vous rediriez les faux mails à ces adresses. :)

Pages

CONNEXION UTILISATEUR