Trente millions d'Américains auraient déjà fait l'objet ces douze
derniers mois d'une attaque (réussie ou avortée) de type phishing,
selon une enquête menée par le cabinet Gartner, auprès d'un
échantillon de cinq mille utilisateurs d'Internet. Ils seraient 1,78 million
à avoir véritablement donné des informations confidentielles.
Ces attaques se traduisent par l'envoi de courriels usurpant l'identité
de banques, de fournisseurs de services en ligne ou de sites marchands, dans le
seul but de soutirer à l'utilisateur final des informations confidentielles
sur son compte. Vingt-sept autres millions d'Américains, selon Gartner, auraient
déjà pu observer de près en quoi consistent de telles attaques.
Le
phénomène n'est pas nouveau mais sa croissance, en revanche, l'est.
76% des attaques constatées ou suspectées ont en effet eu lieu au
cours des six derniers mois et 16% lors des six mois précédents,
ce qui mène à l'impressionnant total de 92% des attaques survenues
durant les douze derniers mois. On assiste donc à une progression exponentielle
du phénomène.
Le mode opératoire - toujours le même - n'en reste pas moins d'une
redoutable efficacité. En amenant les clients d'une banque - par exemple
- vers un faux site ou une fausse interface de saisie, ressemblant à s'y
méprendre à l'original, les pirates n'ont aucun mal à récupérer
les informations confidentielles saisies, en toute confiance, par l'internaute.
Ils s'en servent ensuite notamment pour vider de leur contenu les comptes concernés
ou utilisent les données collectées à d'autres fins (achats
en ligne, etc.).
Une
combinaison de caractères masque la véritable URL |
Techniquement, le procédé est simple. A l'aide d'une combinaison
de caractères tels que ":" et "@" ou "%01%00@",
il est en effet possible d'afficher une URL commençant par le site en lequel
l'internaute a confiance :
http://www.mon-etablissement-bancaire.com - par exemple - immédiatement
suivie par la véritable adresse du faux site. Afin de ne pas susciter de
vocation inutile, l'exemple que nous donnons ci-dessous ne fonctionne pas mais
illustre notre propos :
http://www.mon-etablissement-bancaire.com/votrecompte@www.site-pirate.com
La présence notamment d'un "@" dans une adresse de site doit
donc éveiller les soupçons de tout destinataire d'un courriel inhabituel
lui demandant de mettre à jour l'un de ses comptes accessibles en ligne
ou de ressaisir des données pourtant déjà renseignées
par le passé.
Selon Gartner, les attaques de ce type ont déjà coûté
aux banques et aux fournisseurs de cartes bancaires la bagatelle de 1,2 milliard
de dollars l'an dernier aux Etats-Unis.
|