Phishing

Un article de Wikivisual, l'encyclopédie libre.

(Redirigé depuis Hameçonnage)

Le phishing, appelé en français hameçonnage ou filoutage, est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d'identité. La technique consiste à faire croire à la victime qu'elle s'adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ingénierie sociale. Le phishing peut se faire par courrier électronique, par des sites Web falsifiés, par téléphone ou par d’autres moyens de communications.

Sommaire

1 Étymologie
- 1.1 Étymologie de phishing
- 1.2 Traductions françaises
2 Phishing sur Internet
- 2.1 Parades
3 Voir aussi
- 3.1 Articles connexes
- 3.2 Liens externes
4 Référence

[modifier] Étymologie

[modifier] Étymologie de phishing

Le terme phishing vient de l'anglais. Il y a deux origines possibles :

Le terme phishing viendrait de la contraction de phone et fishing : « téléphone » et « pêche ». Originellement, le phishing est l'arnaque téléphonique qui consiste à se faire passer pour quelqu'un d'autre comme un policier ou un banquier pour tenter d'extirper des informations. La pratique a ensuite été adaptée à Internet.
Le terme phishing aurait été inventé par les pirates qui essayaient de voler des comptes AOL. Il serait construit sur l'expression anglaise password harvesting fishing, soit « pêche aux mots de passe » (?). Un attaquant se faisait passer pour un membre de l'équipe AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, « vérifier son compte AOL » ou « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser à des fins malveillantes, comme l'envoi de pourriel.

[modifier] Traductions françaises

Les termes hameçonnage et appâtage ont été proposés par l'Office québécois de la langue française (OQLF) en avril 2004 comme traduction française de phishing.

Parmi les autres termes considérés par l'OQLF, mais non retenus, on trouve :

Escroquerie par courriel - Manque de précision; l'hameçonnage est plutôt une tentative d'escroquerie, car il ne réussit pas à tous les coups et ne constitue sûrement pas la seule façon d'escroquer au moyen du courrier électronique.
Pêche aux données/informations personnelles/confidentielles - Plus descriptif que dénominatif, peut servir de périphrase comme l'expression le réseau des réseaux lorsqu'on parle d'Internet.
Pêche au[x] gogo[s] - Trop péjoratif.
Filoutage - Manque de précision; peut désigner toute forme d'escroquerie.
Usurpation d'interface - Manque de précision; l'usurpation d'interface ou d'identité (d'entreprise) n'est que l'un des moyens principaux utilisés pour effectuer un hameçonnage.

Plus récemment, on a vu apparaître :

Piégeonnage - Un "piégeon" est un pigeon (personne dont on va abuser de la crédulité) via un piège électronique. Cette nouvelle proposition conserve le sens des autres mais apporte un recentrage sur la personne ciblée tout en réutilisant des images pré-existantes du français courant.

Phishing scam peut se traduire par « escroquerie par hameçonnage », et convient lorsque le phishing a réussi, c'est-à-dire lorsque celui-ci a permis d'escroquer un internaute naïf. Brand spoofing, qui peut se traduire par usurpation de marque ou usurpation d'identité d'entreprise, fait plutôt référence au moyen utilisé pour mener à bien un phishing (voir Usurpation d'interface, ci-haut).

La Commission générale de terminologie et de néologie de France retient depuis le 12 février 2006 le terme filoutage pour traduire phishing<ref>J.O n° 37 du 12 février 2006 page 2239, texte n° 43, Avis et communications, Avis divers, Commission générale de terminologie et de néologie</ref>.

[modifier] Phishing sur Internet

Les criminels informatiques utilisent généralement le phishing pour voler de l'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay. Les adeptes du phishing envoient habituellement des courriels à un grand nombre de victimes potentielles.

Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à ne pas alarmer le destinataire, afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème, et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page trompeuse, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel.

[modifier] Parades

La vérification de l'adresse Web dans la barre d'adresse du navigateur Web peut ne pas être suffisante pour détecter la supercherie, car certains navigateurs n'empêchent pas l'adresse affichée à cet endroit d'être contrefaite. Il est toutefois possible d'utiliser la boîte de dialogue « propriétés de la page » fournie par le navigateur pour découvrir la véritable adresse de la fausse page.

Une personne contactée au sujet d'un compte devant être « vérifié », doit chercher à régler le problème directement avec la société concernée, ou se rendre sur le site Web en tapant manuellement l'adresse dans son navigateur. </br> En règle générale, il est recommandé de faire suivre le message suspect à l'adresse spoof (par exemple, si l'hameçonnage concerne societe.com, ce sera spoof@societe.com), ce qui permettra à la société de faire une enquête.

Il faut être particulièrement vigilant lorsque l'on rencontre une adresse contenant le symbole « @ », par exemple http://www.mabanque.com@members.unsite.com/. Ce genre d'adresse va essayer de connecter l'internaute en tant qu'utilisateur « www.mabanque.com » sur le serveur « members.unsite.com ». Il y a de fortes chances que cela se réalise même si l'utilisateur indiqué n'existe pas réellement sur le serveur, mais par cette méthode la première partie de l'adresse semble être tout à fait innocente (www.mabanque.com). De même, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sous-domaines, par exemple http://www.mabanque.com.unsite.net/. Des navigateurs récents, tels que Firefox, possèdent un système permettant d'avertir l'utilisateur du danger et de lui demander s'il veut vraiment utiliser de telles adresses douteuses. Netscape 8 intègre également des technologies permettant de tenir à jour une liste noire de sites dangereux de ce type.

Les filtres anti-pourriels aident aussi à protéger l’utilisateur des criminels informatiques en réduisant le nombre de courriels que les utilisateurs reçoivent et qui peuvent être du phishing.

Les fraudes concernant les banques en ligne visent à obtenir l'identifiant et le mot de passe du titulaire d'un compte. Il est alors possible au fraudeur de se connecter sur le site Web de la banque et d'effectuer des virements de fonds vers son propre compte. Pour parer à ce type de fraude, la plupart des sites bancaires en ligne n'autorisent plus l'internaute à saisir lui-même le compte destinataire du virement^{réf. nécessaire} : il faut, en règle générale, téléphoner à un service de la banque qui reste seul habilité à saisir le compte destinataire dans une liste de comptes. La conversation téléphonique est souvent enregistrée et peut alors servir de preuve.