Un cachet de cire version numérique. Voilà en résumé l'idée grâce à laquelle Yahoo! entend enrayer les tentatives de phishing. Selon les derniers chiffres rendus publics par l'association Antiphishing working group, plus de 20 000 attaques de ce genre ont été recensées en mai 2006. En un an, ces tentatives d'escroquerie qui visent à imiter un site pour dérober les données personnelles de ses clients ou membres, ont progressé de 33 %.

Afin d'aider ses utilisateurs à distinguer le vrai site Yahoo! de ses imitations, le portail propose un nouvel outil. Baptisé Yahoo! Sign in Seal, il tient plus de l'astuce que de la prouesse technologique. Il permet à ses membres de créer leur propre sceau. Sur un plan pratique, rien de plus simple. L'utilisateur saisit une phrase originale ou sélectionne une photographie de son choix au format Jpeg ou Gif. Puis appose une couleur à ce sceau. Ceci fait, ses préférences sont sauvegardées sur son poste.

Deux possibilités se présentent alors à l'internaute cherchant à se connecter à un site ou service Yahoo!. Soit il voit s'afficher le sceau et il est bien dans la galaxie du portail américain. Soit le sceau ne s'affiche pas et il est en présence d'une contrefaçon.

L'idée est astucieuse, mais loin d'être imparable. Si par mégarde l'internaute efface les cookies présents sur sa machine, le sceau n'apparaît plus. De même s'il se connecte au portail depuis un ordinateur distant. Rien ne lui permet alors d'identifier avec certitude le site.

« Cette solution peut très bien fonctionner un temps. Mais le pire ennemi pour la sécurité informatique est la force de l'habitude. Au bout d'un temps l'internaute regardera-t-il toujours le sceau avec la même perspicacité ? Depuis combien de temps n'avez-vous pas vérifié le cadenas SSL d'un site d'e-commerce lors de vos achats en ligne ? », analyse Dominique Loiselet, directeur général de Websense en France.

S'il n'existe pas de parade universelle, l'installation de logiciels antiphishing est fortement recommandée. Intégrés au navigateur Internet, ils alertent l'utilisateur en cas de surf sur un site considéré comme peu sûr. « Le phishing évolue vers des attaques de plus en plus sophistiquées, et difficilement détectables comme le pharming. L'ordinateur est infecté par un code malicieux qui modifie par exemple les favoris. Lorsque l'internaute clique sur un de ses sites préférés, il est emmené sur un leurre », développe Dominique Loiselet.

Autre variante : le spear phishing. Cette technique consiste non plus à envoyer des e-mails à l'aveugle en grand nombre, mais des courriers ciblés contenant quelques informations personnelles sur leurs destinataires. Des salariés d'une même entreprise peuvent par exemple recevoir un faux e-mail émanant de leur administrateur réseau. « Au début, l'objectif du hacker était de gagner de la notoriété. Maintenant les attaques ont pour objectif de récupérer de la valeur, comme des codes d'accès ou des informations technologiques », commente le DG de Websense France.

De quoi appeler à la prudence. D'autant que la France avec 3,94 % des attaques est, selon l'Antiphishing working group, le premier pays européen victime de tentatives de phishing.