Emails piratés, impôts et CAF floués. Comment se protéger ?

Les attaques des cyber-pirates sont en recrudescence, avec des attaques contre la CAF et le centre des impôts, après une vaste campagne de courriels pirates. Comment se prémunir ?

Le phishing n'est pas un programme malveillant à proprement parler. Il s'agit d'une technique d'escroquerie sur Internet bien précise dont le but est de tromper un internaute ou une société pour obtenir des codes d'accès, notamment de sites bancaires. Les mails de phishing contrefont ainsi des messages légitimes et comportent une URL conduisant à une fausse page Web sur laquelle l'utilisateur est amené à s'identifier. Récemment, le phishing fait la Une des actualités. 

Des gros poissons dans le filet

logo wlhotmail 150x170
Plus de 10 000 comptes Hotmail touchés © Microsoft

Deux listes de 30 000 comptes de messagerie comprenant login et mots de passe ont été publiées sur le site Pastebin.com, rapidement bloqués par Microsoft. Hotmail, Gmail, AOL et Yahoo mail étaient les principaux visés dans cette histoire, avec des comptes commençant par les lettres A et B.

L'affaire ne s'est pas arrêtée là puisqu'elle à semé la panique parmi les allocataires des prestations de la Caisse des Allocations Familiales, à qui les mails promettaient 300 euros de revenus supplémentaires (lire la brève "Le phishing s'attaque aux allocataires de la CAF" du 06/10//2009).

De plus, le Ministère du budget s'est également fait prendre dans les mailles du phishing avec un message indiquant un remboursement d'impôt à l'heureux destinataire (lire la brève "Phishing : le ministère du budget rembourse vos impôts" du 07/10/2009). Dans tous ces cas, les entreprises concernées réagissent le plus rapidement possible avec un communiqué priant de ne pas répondre à ces mails. À l'image de Microsoft et de Google qui ont automatiquement modifiés les mots de passe des comptes touchés. La firme de Mountain View a d'ailleurs précisé qu'elle poursuivra la réinitialisation des mots de passe dès qu'elle découvrira de nouveaux comptes pris au piège.  

Les risques du phishing 

L'objectif concerne les comptes à usage professionnel

Les pays de l'Est sont soupçonnés d'abriter la plupart des récentes attaques d'hameçonnage, qui servent, dans la majorité des cas, à récupérer l'accès à un compte bancaire, à une administration de site, ou à des documents confidentiels. Selon les études, 40% des utilisateurs d'Internet utilisent les mêmes identifiants et mots de passe pour leurs accès aux sites. Par tradition, cette technique d'escroquerie allait vers des sites bancaires (Paypal, Western Union), mais le fait que des institutions publiques se soient retrouvées abusées éveillent de nouvelles inquiétudes. En effet, la confiance des français et des entreprises envers elles n'incite pas au soupçon... et donc à une récupération des données plus aisée. Car il ne faut pas se leurrer, l'objectif principal concerne les comptes de messagerie à usage professionnel, où les documents et autres fichiers confidentiels sont dérobés par cette méthode.

 Des procédés élaborés 

Des pirates difficiles à localiser

Comment les pirates s'y prennent ? Le phishing est une piraterie sophistiquée. Pour le Ministère des Impôts, l'arnaque passe par des mails envoyés, se faisant passer pour l'institution en question, en prétendant un remboursement. Les sommes ne sont jamais astronomiques et paraissent donc crédibles, avec un lien, qui dirige vers un site qui ressemble au vrai. Alors, il ne reste plus pour le pirate qu'à attendre que l'individu inscrive ses coordonnées et à les récupérer.

Les escrocs ne laissent pas de trace puisque des techniques leur permettent d'être anonymisés, d'autant qu'ils ne sont jamais présents sur le sol où l'hameçonnage se fait. Par ailleurs, ils utilisent des ordinateurs dits "zombies", infectés par un virus, qui distribuent ces faux messages de partout dans le monde. La localisation du pirate relève ainsi du casse-tête.

Des solutions très simples 

Changer de mot de passe fréquemment

Bien que la ligne ne morde pas à chaque fois, il est nécessaire de se souvenir des règles de base à appliquer au bureau. La première évidente, est de changer régulièrement (une fois par semaine) ses mots de passes. Des utilitaires existent pour les gérer. On ne saurait trop que les conseiller, comme par exemple KeePass Password Safe, logiciel "coffre-fort" pour stocker les identifiants et les mots de passe de tous les comtpes créés sur la Toile". 

Ensuite, il est vivement recommandé de ne pas ouvrir de messages d'expéditeur inconnu et surtout de ne pas cliquer sur les liens qui sont dans ces messages. C'est le cas classique de phishing. Bien que les messages sont de plus en plus proches des messages "réels", ils se reconnaissent par un français parfois approximatif ou une mise en page anormale.  

La mise en garde est importante, d'autant plus que les attaques ne sont pas toujours sanctionnées au regard des coopérations parfois inexistantes entre les Etats.