C’est toujours le même procédé. Un mail dans votre boîte aux lettres électronique envoyé par une banque, avec logo et typographie officiels, qui vous demande de cliquer sur un lien inclus dans le message. La raison ? La banque
étant en train de revoir sa sécurité informatique ou ayant récemment été victime d’une attaque, ses clients doivent vite ressaisir leurs coordonnées bancaires, mots de passe et identifiants, pour une mise à jour…C’est évidemment un piège, assez connu maintenant, que l’on appelle le ‘ phishing ‘. Le mail est faux, le lien proposé renvoie à un site de banque contrefait (avec une URL légèrement différente de la vraie).
Derniers établissements visées : HSBC en avril,
BNP Paribas fin mars,
LCL (Le Crédit Lyonnais) en février.
La Société générale, le CIC, le CCF, BNP Paribas ou le
Crédit Mutuel y ont également eu droit l’an dernier.Actuellement, les sites bnpparibas.net, lcl.com ou societegenerale.fr arborent en permanence un message d’alerte sur leurs pages d’accueil. Car l’originalité de ce type d’attaque sur Internet n’est pas d’exploiter une quelconque
vulnérabilité informatique, mais la faille humaine. Un client crédule, peu méfiant, trop curieux.D’ailleurs, depuis le premier signalement de ce type d’attaque en France, par le Club de la sécurité des systèmes d’information français (Clusif), en 2003, le mode opératoire n’a pas changé. Seule vraie évolution, la qualité des faux
mails expédiés et des faux sites. Moins grossiers, plus souvent rédigés en français, avec moins de fautes…‘ Toutes les attaques depuis des mois sont le fait d’un seul et même groupe, explique Nicolas Woirhaye, du groupe Lexsi, cabinet d’audit expert en sécurité informatique. Il était déjà actif en
2005, mais il n’y avait pas de francophones avec eux, d’où des e-mails mal faits à l’époque. ‘
Un bilan chiffré difficile à obtenir
Cependant plusieurs variantes, plus sournoises, commencent à arriver. Tout d’abord le ‘ pharming ‘, où, à la suite d’un acte de piraterie sur les serveurs de
DNS, le site de banque est faux mais l’URL est bel est bien celle du site officiel ! Ensuite, le cas d’un pop-up demandant des données confidentielles lorsque l’internaute vient
visiter sa banque en ligne… Le client arrive sur le bon site, doté de la bonne adresse, mais c’est le pop-up qui est frauduleux. ‘ Il est très difficile pour un particulier de le repérer ‘,
reconnaît Danielle Kaminsky, chercheuse en cybercriminalité au Clusif.Un bilan chiffré des victimes de phishing reste cependant difficile à obtenir, les banques préférant rester discrètes sur le sujet. ‘ Aucun client touché ‘, affirme BNP Paribas. Aucune
communication au CIC. A la Société Générale, on admet quelques clients victimes de la dernière attaque, mais ‘ sans préjudice ‘.LCL a quand même dû
empêcher certaines transactions en ligne. ‘ On ne sait pas combien il y a eu de victimes, ajoute Laurent Courtade, à l’Association française des
usagers des banques. Il n’y a pas eu d’incident relevé dernièrement et porté à notre connaissance. ‘Nicolas Woirhaye confirme : ‘ En France, ce sont des attaques de petite envergure, de 30 000 à 400 000 e-mails en 2005. Ce n’est rien du tout comparé aux vagues de plusieurs millions de
messages aux Etats-Unis. Il y a donc très peu de victimes.
Trente, quatre-vingt, cent… Cela reste très marginal. ‘ Il faut reconnaître aussi que les établissements bancaires multiplient les alertes
(messages animés sur leurs sites Internet, communiqués officiels…).Avec toujours, ce rappel : les banques ne demandent jamais d’informations sensibles par mail. ‘ Il faut que les gens résistent à l’idée de cliquer sur le moindre lien, insisite Danielle Kaminsky,
ne serait-ce que parce que cela peut télécharger un cheval de Troie. C’est le b.a.-ba. ‘Mais ces efforts d’information et de sensibilisation des banques peuvent avoir un effet pervers. ‘ Jusqu’à présent, les personnes victimes de phishing ont toujours obtenu un geste commercial de la part de leur
banques, remarque Laurent Courtade, à l’Afub. Maintenant, avec toutes leurs mises en garde, il n’est pas dit qu’elles vous indemnisent encore… ‘Car, à la différence d’une fraude à la carte bancaire, la victime de phishing est la cause de ses propres problèmes : elle a d’elle-même saisi ses codes et identifiants sur un site frauduleux, sans qu’il y ait eu piraterie. Dans ce
cas, les banques n’ont pas d’obligation légale de l’indemniser.Mais, pour Nicolas Woirhaye, les banques ont quand même une part de responsabilité. ‘ Ce n’est pas tant la faute de la sécurité informatique que celle du marketing. En France, on accepte un haut niveau de
convivialité qui permet de faire un virement sur le compte d’un nouveau destinataire avec juste la création d’un log-in et d’un mot de passe. ‘ Certains établissements imposent néanmoins maintenant une confirmation par
téléphone.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
