Ce terme, vous l’avez sûrement déjà lu ou entendu de nombreuses fois.
Votre banque, ou votre opérateur téléphonique ou email, vous a averti de vous méfier des tentatives de phishing que vous pourriez subir, soit en vous envoyant un message pour cela soit en affichant un message d’avertissement sur leur site.
Mais concrètement, le phishing, c’est quoi ? et comment le reconnaître et s’en protéger ?
Principe de base du phishing
Le terme « phishing » est dérivé du mot anglais « fishing » qui signifie « aller à la pêche ».
En effet, les pirates vont « à la pêche » pour collecter des informations confidentielles, en vous présentant en premier lieu un « appât », puisque pour eux vous êtes un « poisson » à attraper !
Cela consiste donc pour le pirate à se faire passer pour quelqu’un, ou quelque chose, qu’il n’est pas.
Objectif du phishing pour le pirate
En règle générale il essaie de se faire passer pour un organisme ou une société assez connue, afin de dérober vos identifiants, voire directement votre numéro de carte bancaire. Dans le premier cas, vos identifiants peuvent lui permettre plusieurs choses :
– prendre en otage votre compte ou vos données et exiger une rançon
– utiliser directement ces identifiants afin de dérober de l’argent (par exemple sur un compte PayPal ou sur une banque en ligne)
– prendre le contrôle de vos serveurs ou services (serveurs informatiques, noms de domaine, boites mail, service d’envoi d’emailing …)
– obtenir votre numéro de carte bancaire
En clair, l’objectif final du pirate, c’est toujours l’argent !
Comment reconnaître une tentative de phishing ?
Il existe un premier point commun à toutes les tentatives de phishing : la remontée d’information. Elle peut se faire de deux manières :
– soit en répondant directement au mail reçu dans son logiciel de messagerie
– soit en cliquant sur un lien sensé amené au site contrefait
Dans le premier cas de figure, moins fréquent, il suffit d’un peu de bon sens pour se protéger : pourquoi un organisme public ou votre banque auraient elles besoin, pour quelque raison que ce soit, de vous demander à vous vos identifiants par retour de mail ? aucune situation n’exige jamais cela dans la vie réelle.
Dans le deuxième cas de figure, l’arnaque est plus subtile : le lien amène la victime potentielle sur un site internet ressemblant en tout point au site réel. La contrefaçon peut être parfaite puisqu’il suffit au pirate de copier le code HTML et les images de la page d’origine pour pouvoir reproduire assez facilement une copie exacte, au pixel près. Vous y retrouverez par exemple le formulaire d’identification pour vous connecter à votre compte PayPal.
La seule différence visible sera l’adresse (URL) de la page, visible dans la barre d’adresse de votre navigateur, ou bien avant même de cliquer sur le lien en positionnant simplement votre souris dessus. Observez bien le nom de domaine, situé entre le :// et le troisième /. Est il identique à celui du site réel sur lequel vous pensez vous connecter ? La moindre différence, même d’un seul caractère, doit vous faire fuir : il n’y a pas d’approximation en informatique !
L’autre possibilité pour reconnaître un mail contrefait, c’est d’observer l’adresse mail de l’expéditeur. Il faut tout d’abord savoir que cette indication n’est pas forcément fiable et peut être contrefaite également.
Plusieurs cas de figure là aussi :
– l’adresse mail ressemble au domaine réel mais avec une légère différence (ex : info@compte-paypal.com). Soyez vigilants, vous devez savoir que le site réel est paypal.com ou paypal.fr mais pas autre chose. N’importe qui peut être propriétaire d’un domaine à l’orthographe proche mais pas identique. Le pirate peut aussi utiliser un TLD différent (la partie après le dernier point, ex : info@paypal.mu) pour vous induire en erreur.
– l’adresse mail semble appartenir au domaine réel (ex : info@paypal.com), par conséquent deux possibilités existent :
> le domaine est protégé par un champ SPF qui permet aux hébergeurs mails de savoir quelles adresses IP sont autorisées à émettre des mails pour le domaine concerné. Dans ce cas, si votre propre hébergeur utilise cette technique de détection dans son filtrage antispam, vous êtes à l’abri des adresses contrefaites.
> le domaine n’est pas protégé par un champ SPF : vous ne pouvez pas savoir si le mail est légitime ou non !
Il est impossible pour un utilisateur lambda de savoir si le domaine de l’expéditeur est protégé par un champ SPF, donc par principe, ne vous fiez pas aux adresses expéditrices, sauf bien sûr si vous voyez tout de suite qu’il y a quelque chose qui cloche !
Pour tester un domaine, le vôtre ou celui d’un tiers, afin de savoir s’il est protégé par un champ SPF, vous pouvez utiliser cet outil gratuit (en anglais) :
https://www.kitterman.com/spf/validate.html
Chez PowerMail, nos filtres antispams vérifient systématiquement la présence d’un champ SPF pour les mails entrants, et si c’est le cas et que le serveur expéditeur n’est pas sur la liste des serveurs autorisés, cela signifie que le mail est un faux, le message est donc placé dans le dossier Spam.
