Astuces > Dossiers Astuces

Luttez contre le phishing

Déjouez les tentatives d'escroquerie grâce à des filtres inclus dans les logiciels de sécurité et à des barres d'outils à ajouter aux navigateurs.

Coralie Cathelinais

01net.

le 06/06/06 à 07h00

laisser un avis

Parmi toutes les propositions plus ou moins farfelues que vous recevez chaque jour par courriel, certaines peuvent se révéler dangereuses. Par exemple, votre banque vous annonce dans un courriel qu'elle souhaite mettre à jour vos coordonnées bancaires et votre mot de passe. Une formalité des plus simples à accomplir : il vous suffit de cliquer sur un lien puis de remplir un formulaire. N'en faites rien ! Vous venez de faire l'objet d'une tentative de phishing, également dénommée filoutage.

Le principe de cette escroquerie est simple. Des pirates informatiques envoient en masse des courriels en usurpant l'identité d'une banque, d'un établissement de paiement, d'un site marchand ou d'un fournisseur d'accès. Sous prétexte de mettre à jour leurs fichiers ou pour remédier à des failles de sécurité, ces courriels vous invitent à communiquer des données confidentielles sur un site factice. Munis de ces précieuses informations récoltées, les escrocs s'empressent de dévaliser vos comptes.

Les premières tentatives de phishing étaient de grossières contrefaçons. Les fautes d'orthographe, les en-têtes et les logos mal reproduits éveillaient facilement les soupçons.

La prudence est de mise

Mais les auteurs de phishing sont devenus de véritables orfèvres dans l'art d'imiter un site officiel. Les dernières tentatives d'escroqueries, qui ont visé en mars dernier les banques BNP-Paribas et Crédit Lyonnais, poussaient loin l'art du mimétisme ! Aussi, pour lutter contre le phishing, la vigilance reste-t-elle la meilleure des parades.

Pour vous rassurer, certains logiciels ont été dotés d'outils antiphishing. C'est le cas du logiciel de courrier électronique Thunderbird ou des suites de sécurité de Symantec, Kaspersky, McAfee ou Trend Micro. Mais tous ces filtres ne sont pas fiables à 100 %. Heureusement, vous pouvez aussi renforcer votre lutte à l'aide de barres d'outils qui prennent place dans votre navigateur.

Les navigateurs s'organisent

Les navigateurs Internet commencent à combler leur retard face au phishing. Ainsi, Netscape 8.1, qui est pour l'instant uniquement disponible en anglais, alerte l'internaute qui s'apprête à visiter un site douteux. Pour cela, le navigateur s'appuie sur une base de données de sites connus pour pratiquer le phishing. Safe Mail, l'outil de Google, devrait être directement intégré à la version 2.0 du navigateur Firefox, prévue avant la fin de l'année.

Enfin, Internet Explorer n'est pas en reste. La version 7, encore en version bêta, mise sur la couleur pour informer ses utilisateurs de dangers encourus. La barre d'adresses se colore en jaune si Internet Explorer émet des doutes sur l'identité réelle du site. Si elle vire au rouge, cela signifie que le site est répertorié par Microsoft comme pratiquant le phishing. Windows Mail, qui remplacera Outlook Express dans Vista, sera également pourvu d'un filtre antiphishing.

Et aussi...

Plus complexe à utiliser que SpoofStick, Netcraft est une barre d'outils destinée à lutter contre le phishing. Son principe : elle établit en temps réel une fiche d'identité du site visité, notamment la nationalité de l'hébergeur et la date de mise en ligne du site. Et la plus grande prudence s'impose sur les sites très récents, hébergés, par exemple, en Roumanie ou en Equateur.

Netcraft affiche aussi un indice de fiabilité, établi à partir d'indices et d'informations recueillies par des utilisateurs. Un lien permet de dénoncer les sites suspectés de phishing, pour enrichir la liste noire. La barre d'outils, qui est gratuite, existe pour Internet Explorer et pour Firefox. Elle est téléchargeable à l'adresse toolbar.netcraft.com

contre le phishing : Les différentes étapes...

agrandir la photo

Le logiciel à installer pour contrer les pirates.

Retrouvez la bonne adresse avec SpoofStick

Si les sites vers lesquels essaient de vous attirer les escrocs ressemblent à s'y méprendre aux sites officiels, ils ne peuvent en aucun cas utiliser la même adresse Internet. Les escrocs utilisent donc de multiples ruses pour tromper votre vigilance. Ils vont, par exemple, jouer sur la similitude entre la lettre O et le chiffre zéro, ou entre le L et le I. La page factice peut également tirer parti d'une faille du navigateur pour afficher une adresse autre que celle de la page visitée. Autant de pièges que déjoue SpoofStick. Cette barre d'outils affiche la véritable adresse du site visité.

Si votre navigateur affiche quelque chose comme Mabanque.fr et que SpoofStick indique une adresse composée uniquement de chiffres, c'est sûr, vous êtes sur un faux site.

Etape 1 : Installez SpoofStick 1.02

Pour Internet Explorer

Telecharger ici la version de SpoofStick pour Internet Explorer

Cliquez sur le lien Download SpoofStick for Internet Explorer, puis sur Download now dans la page qui vient de s'afficher. Dans la fenêtre de téléchargement, cliquez sur Enregistrer, sélectionnez un dossier de destination puis cliquez sur Enregistrer.

Une fois le logiciel téléchargé, installez-le en double-cliquant sur son icône. Cliquez une première fois sur Next, acceptez les conditions, puis cliquez à nouveau deux fois sur Next et sur Finish.

Pour Firefox

Telecharger ici la version de SpoofStick pour Firefox

Cliquez sur le lien Download SpoofStick for Internet Explorer, puis sur Download now dans la page suivante. Dans la fenêtre de téléchargement, cliquez sur Installer et téléchargez le fichier dans le dossier de votre choix.

Etape 2 : Activez la barre SpoofStick

Avec Internet Explorer

Démarrez Internet Explorer. Si la barre d'outils n'apparaît pas en haut de la fenêtre du navigateur, cliquez sur le menu Affichage, puis sur Barres d'outils. Dans la liste qui apparaît, sélectionnez SpoofStick.

Avec Firefox

Démarrez Firefox. Si la barre SpoofStick n'apparaît pas, cliquez sur Affichage, puis sur Personnaliser. Une fois la barre SpoofStick trouvée parmi la liste de vos extensions, ajoutez-la à la barre d'outils en effectuant un cliquer-déposer

Affichez une alerte avec Safe Browsing

Les utilisateurs de Firefox disposent d'une arme supplémentaire pour lutter contre le phishing : l'extension Safe Browsing développée par Google. Son fonctionnement diffère de SpoofStick. Pour déterminer si le site que vous visitez est frauduleux ou pas, elle compare l'adresse du site visité avec celles figurant sur une liste noire. Un message d'alerte apparaît si une correspondance est trouvée. Pour utiliser Safe Browsing, il faut installer la barre d'outils Google pour Firefox.

Etape 1 : Téléchargez la barre d'outils

Connectez-vous sur l'adresse www.google.com/tools/firefox/toolbar. Cliquez sur Download Google Toolbar puis sur Agree and Install. Dans la fenêtre qui s'affiche, cliquez sur Installer maintenant. A la fin du téléchargement, fermez la fenêtre puis votre navigateur.

Etape 2 : Installez la barre Google

Lancez Firefox. Une fenêtre d'avertissement de Google s'affiche : cochez l'option Activez le classement Page Rank et la navigation sécurisée :

La barre d'outils est en place. Quand vous arriverez sur un site susceptible de pratiquer le phishing, une fenêtre s'ouvrira pour vous alerter.