CRI PRATIQUE > 2006 > N°17 Janvier 2006 >

Le phishing, ou hameçonnage, consiste à se faire passer pour une autorité digne de confiance afin d’obtenir des informations confidentielles (comme les mots de passe, codes bancaires...).

Dans le jargon des pirates informatiques la lettre « f » est souvent remplacée par les lettres « ph ». Le mot anglais « fishing », qui veut dire « pêcher », est donc devenu « phishing ».

Les méthodes les plus fréquentes pour leurrer l’utilisateur

- La fausse URL
Vous recevez un e-mail rédigé, semble-t-il, par votre banque, qui contient un lien vers votre compte, et qui vous invite à confirmer votre mot de passe ou votre code de carte bancaire. Le prétexte le plus souvent invoqué concerne la réactivation de votre compte suite à un problème technique.
En cliquant sur le lien, vous êtes en fait redirigé à votre insu vers un autre site web, à l’aspect identique que celui de votre banque (même logo, même présentation, etc.). Vous rentrez donc les informations demandées en toute confiance, informations qui sont récupérées et détournées par le pirate.

- Le « Cross Site Scripting »
La méthode diffère légèrement : le pirate vous contacte par le biais d’un e-mail, se faisant encore passer pour une autorité légitime et vous invitant à vous connecter à son site web. Ici, l’URL est particulière : elle est très longue, et utilise de nombreux signes tels que le %.
Exemple :
http://www.exemple-une-banque.com/index.php ?%72%65%64%69%72%
65%63%74%3D%68%74%74%
Cette URL renvoie en fait à celle-ci :
http://www.exemple-une-banque.com/index.php ?redirect=http://www.site-pirate.com/

Le pirate utilise ici une faille de sécurité présente sur le site web de l’organisme et, grâce à cette faille, vous redirige vers son « faux » site.

Astuce : le logiciel de messagerie Thunderbird a intégré un outil anti-phishing très pratique qui vous alerte en cas d’e-mail douteux et relevant de cette catégorie. Encore une bonne raison d’utiliser ce logiciel libre !