nos newsletters
Abonnez-vous à Micro Hebdo : 1,23€ / n°
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à 01Business et Technologies : 3,20€ / n°
Abonnez-vous à la version digitale
Le ' phishing ' en France, peu de victimes mais une menace grandissante
Le nombre de clients touchés par cette escroquerie en ligne reste limité. Mais les attaques s'améliorent et des variantes plus sournoises apparaissent.
C'est toujours le même procédé. Un mail dans votre boîte aux lettres électronique envoyé par une banque, avec logo et typographie officiels, qui vous demande de cliquer sur un lien inclus dans le message. La raison ? La banque
étant en train de revoir sa sécurité informatique ou ayant récemment été victime d'une attaque, ses clients doivent vite ressaisir leurs coordonnées bancaires, mots de passe et identifiants, pour une mise à jour...
C'est évidemment un piège, assez connu maintenant, que l'on appelle le ' phishing '. Le mail est faux, le lien proposé renvoie à un site de banque contrefait (avec une URL légèrement différente de la vraie).
Derniers établissements visées : HSBC en avril,
BNP Paribas fin mars,
LCL (Le Crédit Lyonnais) en février.
La Société générale, le CIC, le CCF, BNP Paribas ou le
Crédit Mutuel y ont également eu droit l'an dernier.
Actuellement, les sites bnpparibas.net, lcl.com ou societegenerale.fr arborent en permanence un message d'alerte sur leurs pages d'accueil. Car l'originalité de ce type d'attaque sur Internet n'est pas d'exploiter une quelconque
vulnérabilité informatique, mais la faille humaine. Un client crédule, peu méfiant, trop curieux.
D'ailleurs, depuis le premier signalement de ce type d'attaque en France, par le Club de la sécurité des systèmes d'information français (Clusif), en 2003, le mode opératoire n'a pas changé. Seule vraie évolution, la qualité des faux
mails expédiés et des faux sites. Moins grossiers, plus souvent rédigés en français, avec moins de fautes...
' Toutes les attaques depuis des mois sont le fait d'un seul et même groupe, explique Nicolas Woirhaye, du groupe Lexsi, cabinet d'audit expert en sécurité informatique. Il était déjà actif en
2005, mais il n'y avait pas de francophones avec eux, d'où des e-mails mal faits à l'époque. '
Un bilan chiffré difficile à obtenir
Cependant plusieurs variantes, plus sournoises, commencent à arriver. Tout d'abord le ' pharming ', où, à la suite d'un acte de piraterie sur les serveurs de
DNS, le site de banque est faux mais l'URL est bel est bien celle du site officiel ! Ensuite, le cas d'un pop-up demandant des données confidentielles lorsque l'internaute vient
visiter sa banque en ligne... Le client arrive sur le bon site, doté de la bonne adresse, mais c'est le pop-up qui est frauduleux. ' Il est très difficile pour un particulier de le repérer ',
reconnaît Danielle Kaminsky, chercheuse en cybercriminalité au Clusif.
Un bilan chiffré des victimes de phishing reste cependant difficile à obtenir, les banques préférant rester discrètes sur le sujet. ' Aucun client touché ', affirme BNP Paribas. Aucune
communication au CIC. A la Société Générale, on admet quelques clients victimes de la dernière attaque, mais ' sans préjudice '.
LCL a quand même dû
empêcher certaines transactions en ligne. ' On ne sait pas combien il y a eu de victimes, ajoute Laurent Courtade, à l'Association française des
usagers des banques. Il n'y a pas eu d'incident relevé dernièrement et porté à notre connaissance. '
Nicolas Woirhaye confirme : ' En France, ce sont des attaques de petite envergure, de 30 000 à 400 000 e-mails en 2005. Ce n'est rien du tout comparé aux vagues de plusieurs millions de
messages aux Etats-Unis. Il y a donc très peu de victimes.
Trente, quatre-vingt, cent... Cela reste très marginal. ' Il faut reconnaître aussi que les établissements bancaires multiplient les alertes
(messages animés sur leurs sites Internet, communiqués officiels...).
Avec toujours, ce rappel : les banques ne demandent jamais d'informations sensibles par mail. ' Il faut que les gens résistent à l'idée de cliquer sur le moindre lien, insisite Danielle Kaminsky,
ne serait-ce que parce que cela peut télécharger un cheval de Troie. C'est le b.a.-ba. '
Mais ces efforts d'information et de sensibilisation des banques peuvent avoir un effet pervers. ' Jusqu'à présent, les personnes victimes de phishing ont toujours obtenu un geste commercial de la part de leur
banques, remarque Laurent Courtade, à l'Afub. Maintenant, avec toutes leurs mises en garde, il n'est pas dit qu'elles vous indemnisent encore... '
Car, à la différence d'une fraude à la carte bancaire, la victime de phishing est la cause de ses propres problèmes : elle a d'elle-même saisi ses codes et identifiants sur un site frauduleux, sans qu'il y ait eu piraterie. Dans ce
cas, les banques n'ont pas d'obligation légale de l'indemniser.
Mais, pour Nicolas Woirhaye, les banques ont quand même une part de responsabilité. ' Ce n'est pas tant la faute de la sécurité informatique que celle du marketing. En France, on accepte un haut niveau de
convivialité qui permet de faire un virement sur le compte d'un nouveau destinataire avec juste la création d'un log-in et d'un mot de passe. ' Certains établissements imposent néanmoins maintenant une confirmation par
téléphone.
Des actions judiciaires internationales souvent nécessaires
En France, on connaît deux condamnations d'auteurs de ' phishing '. La première à Strasbourg, en janvier 2005 (un faux site du Crédit Lyonnais), la deuxième à Paris, en septembre 2005 (un faux site MSN). Dans les deux cas, il s'agissait d'individus isolés, agissant en France.
Mais la plupart des attaques émanent de groupes de malfaiteurs organisés depuis l'étranger. Et dans ce cas, si les banques déposent systématiquement plainte, l'action judiciaire est beaucoup plus compliquée et sera fonction des accords internationaux passés par la France.
' Il y a deux phases, explique Catherine Chambon, commisaire divisionnaire à l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (OCLCTIC). D'abord la fermeture des sites. Là, nous avons des actions coordonnées assez efficaces. Ensuite, pour engager des poursuites, l'identification des auteurs. C'est plus aléatoire, il y a plus de difficultés. '
L'OCLCTIC est familier du ' phishing ' depuis deux ans et estime qu'il y a une réelle expansion en volume, notamment avec l'utilisation de ' botnet ' (réseaux de PC utilisés par des pirates).
envoyer
par mail
par mail
imprimer
l'article
l'article
Actu précédente
Actu Suivante
Avis sur « Le ' phishing ' en France, peu de victimes mais une menace grandissante»
et Paypal?
de
zygoozyloo
, posté le 11 avril 2006 à 13h11
Méfiance à propos de certains mails à l'entête de Paypal.
j'en ai reçu deux en anglais qui selon paypal sont frauduleux.
j'en ai reçu deux en anglais qui selon paypal sont frauduleux.
alerter le modérateur
Paypal en anglais => frauduleux
de
psn00ps
, posté le 17 avril 2006 à 02h16
Paypal t'écrit en français et avec ton nom,
par conséquent un mail Paypal en anglais ne peut etre que frauduleux.
(A moins de t'être inscrit sur le portail anglais)
par conséquent un mail Paypal en anglais ne peut etre que frauduleux.
(A moins de t'être inscrit sur le portail anglais)
alerter le modérateur
Avec lle site ebay aussi
de
siferus
, posté le 15 avril 2006 à 06h56
Bonjour,
J'ai ete egalement victime de ce phenomene avec ebay, il y a un mois.
Je me suis arrete juste a temps lorsqu'il m'a ete demande le code de ma carte bancaire et les 3 chiffres figurant au dos.
Renseignements pris aupres du site, le vrai, d'EBAY, il m'a ete repondu qu'ils etaient au courant de ce faux site, et qu'evidemment, ebay ne demandait jamais des informations confidentielles par mail.
Moralite, il a fallu changer de carte bancaire immediatement, par peur d'etre debite, donc nouvelle carte, nouveau code et le prix pour la creation de cette nouvelle carte, au credit agricole, environ 15 a 20 euros.
Donc mefiance ....jclaude83
J'ai ete egalement victime de ce phenomene avec ebay, il y a un mois.
Je me suis arrete juste a temps lorsqu'il m'a ete demande le code de ma carte bancaire et les 3 chiffres figurant au dos.
Renseignements pris aupres du site, le vrai, d'EBAY, il m'a ete repondu qu'ils etaient au courant de ce faux site, et qu'evidemment, ebay ne demandait jamais des informations confidentielles par mail.
Moralite, il a fallu changer de carte bancaire immediatement, par peur d'etre debite, donc nouvelle carte, nouveau code et le prix pour la creation de cette nouvelle carte, au credit agricole, environ 15 a 20 euros.
Donc mefiance ....jclaude83
alerter le modérateur
Ebay et Paypal
de
DoDoT
, posté le 19 avril 2006 à 11h55
Ebay et Paypal sont parmi les plus touchés par les attaques de Phishing. Ne vous fiez pas à la mauvaise qualité des emails recus (en anglais, ou avec des fautes), car elle ne cesse de s'améliorer !
alerter le modérateur
Phishing en France
de
Poseidon33
, posté le 22 aout 2006 à 16h37
Je ne sais si le nombre de victimes est élevé, mais il y a des attaques régulièrement des clients sur Ebay et aussi pour leur compte paypal.
J'ai déjà reçu cinq faux e-mails d'Ebay safe harbour... me demandant de réactualiser mon compte, pour ne pas qu'il soit fermé... et bien entendu de répondre à quelques questions. (mot de passe, identifiant). Les premiers étaient en anglais dont étonnant pour un client français. Mais maintenant il y a plus fin : On repère des enchères que vous faites sur Ebay, puis vous recevez un faux e-mail dans votre messagerie personnelle (sans doute après des échanges antérieurs avec des vendeurs escrocs) vous demandant de répondre à une question sur un objet pour lequel vous avez été acquéreur ou simple enchérisseur. Et pour cela depuis votre messagerie vous cliquez sur le bouton "répondre" et devez vous identifier auprès d'Ebay : identifaint et mot de passe. Le problème est que vous êtes sur une fausse page Ebay et que vous adressez ces informations à un escroc. Même procédure pour Paypal : faux e-mail de Paypal, vous informant d'un réglement ou d'un versement fictif, et vous cliquez sur le bouton pour vous connecter et vous identifier sur une fausse page...
De nombreux clients de banques françaises ont vu le même genre de faux e-mails arriver chez eux... DONC : ATTENTION, même en FRANCE !!
J'ai déjà reçu cinq faux e-mails d'Ebay safe harbour... me demandant de réactualiser mon compte, pour ne pas qu'il soit fermé... et bien entendu de répondre à quelques questions. (mot de passe, identifiant). Les premiers étaient en anglais dont étonnant pour un client français. Mais maintenant il y a plus fin : On repère des enchères que vous faites sur Ebay, puis vous recevez un faux e-mail dans votre messagerie personnelle (sans doute après des échanges antérieurs avec des vendeurs escrocs) vous demandant de répondre à une question sur un objet pour lequel vous avez été acquéreur ou simple enchérisseur. Et pour cela depuis votre messagerie vous cliquez sur le bouton "répondre" et devez vous identifier auprès d'Ebay : identifaint et mot de passe. Le problème est que vous êtes sur une fausse page Ebay et que vous adressez ces informations à un escroc. Même procédure pour Paypal : faux e-mail de Paypal, vous informant d'un réglement ou d'un versement fictif, et vous cliquez sur le bouton pour vous connecter et vous identifier sur une fausse page...
De nombreux clients de banques françaises ont vu le même genre de faux e-mails arriver chez eux... DONC : ATTENTION, même en FRANCE !!
alerter le modérateur
à lire aussi
SUR LES MÊMES THÈMES 
