C'est l'arnaque la plus en vogue actuellement sur le Net. Le phishing consiste à attirer l'internaute un peu crédule sur un site imitant celui de sa banque ou celui d'un service auquel il est abonné afin de lui extorquer ses informations de compte, ses mots de passe et au final son argent. Jusqu'à présent, les clients des banques et des services de paiement en ligne comme Paypal étaient les principales cibles des cybercriminels phishers.

Le phénomène touche aujourd'hui Windows Update, le site de mise à jour de Microsoft. L'attaque est d'autant plus sournoise qu'elle intervient alors que l'éditeur met actuellement en ligne ses correctifs mensuels.

Le scénario est des plus classiques. Un e-mail au français plus qu'approximatif et intitulé ' Nouveau Microsoft Windows Update Securite ' vous invite à cliquer sur un lien en prétextant un changement dans le service de mise à jour de Windows. En cliquant sur le lien, vous serez dirigé sur un site imitant celui de Microsoft, mais susceptible d'introduire sur votre PC un cheval de Troie en exploitant la faille WMF. Découverte en décembre dernier, cette faille est corrigée depuis début janvier. Mais si vous n'avez pas visité Windows Update depuis plus de deux mois, votre système peut ne pas être protégé. Votre machine sera alors à la merci d'un pirate qui pourra en prendre le contrôle à distance.

Les utilisateurs ne sont pas totalement démunis face au phishing. Des suites comme Norton Internet Security 2006, McAfee Internet Suite 2006, ou BitDefender 9 Pro incorporent des mécanismes antiphishing. Mais ceux-ci se limitent essentiellement à contrôler les nouveaux e-mails et à les comparer à leur base de données répertoriant les courriers malicieux. Ces systèmes sont donc inefficaces contre les nouvelles menaces tant que leur base de données n'a pas été mise à jour. Le problème est le même avec le mécanisme antiphishing incorporé dans la MSN Search Toolbar, qui n'agit pas sur les e-mails mais directement sur le navigateur en contrôlant en temps réel que chaque site visité n'est pas référencé dans la base des sites dangereux.

Internet Explorer 7 (actuellement disponible en version bêta anglaise) disposera en standard d'un mécanisme plus intelligent, qui analyse en temps réel le contenu de la page et détermine si celle-ci présente ou non des signes caractéristiques de phishing. Mais les algorithmes nécessitent encore d'être affinés, certains phishers ayant déjà trouvé le moyen de contourner cette protection.