Guide de survie numérique : Zoom sur le phishing

Par scoony - Le 11/10/14 - Affichages : 4612
Image

Bonjour,

Aujourd'hui je vais aborder un thème douloureux car il sous-entend que la plupart des gens soient "stupides", je vais vous expliquer pourquoi et j'espère que la plupart d'entre vous en tirera des leçons.

Le phishing est à la mode en ce moment et il y a un nombre grandissant de pirates qui utilisent cette technique pour faire des bases de données sur les utilisateurs (login et mot de passe).

Qu'est ce que le phishing:
Le phishing est une technique vieille comme le monde, elle consiste principalement à usurper l'identité d'une personne ou d'une entreprise (souvent via un faux site web) afin de vous faire saisir vos identifiants et mot de passe pour les récupérer.
J'explique par un exemple... le pirate va essayer de reproduire un site web existant (par exemple celui de votre banque), une fois que son site est fonctionnel il achète un nom de domaine qui ressemble à celui du vrai site web, il met ensuite son site en ligne et envoie des mails à tout le monde (souvent des mails alarmants comme "vous n'avez que quelques jours pour mettre à jour vos infos", "vous allez perdre votre compte si vous ne vous connectez pas"... etc, vous avez compris le principe). Dans le mail il fournit un lien pour que vous puissiez faire ce qu'il demande... l'astuce ce trouve là, le lien vous emmène sur son site à lui qui ressemble au site officiel. Il espère que vous ne verrez pas la supercherie et que vous allez rentrer vos informations pour qu'il puisse les récupérer.

L’intérêt du phishing:
Ils sont nombreux, prennez par exemple le cas de facebook, les pirates utilisent ensuite votre compte pour contacter vos amis et leur donner de nouveaux faux liens pour récupérer leurs identifiants et mot de passe à eux aussi.
Dans le cas bancaire c'est bien plus simple... ils veulent simplement vous voler votre argent.
Pour ce qui est des comptes Google, iTune et autre c'est pour pouvoir effectuer des paiements en votre nom (ils font une application à quelques euros et ils vous la font acheter) ou bien pour récupérer vos données personnelles (regardez l'actualité en ce moment, des stars voient leurs photos intimes diffusées sur le net).

... voler de l'argent, pirater plus de comptes, récupérer des données sur vous, récupérer du contenu personnel... il y a pas mal d'intérêts, sans parler du fait qu'une base de donnée d'informations personnelles se vend à prix d'or. Et je ne parle même pas du fait qu'on soit plutôt bête et que généralement les mots de passe que l'on utilise resservent pour d'autres sites.

Comment y remédier:

La première chose à faire avant tout c'est de bien vérifier les URL des sites... à titre d'exemple "http://www.facebook.com" ce n'est pas "http://www.facebok.com" (faites très attention à l'orthographe), si vous cliquez sur un lien vous devez prendre le temps de vérifier l'URL avant de l'utiliser.
** Mon exemple n'est pas valide car facebook a acheté tout un tas de nom similaire pour justement éviter les pirates mais la théorie reste valide


1/ facebook:
- une fois identifié sur le site aucune application (ou jeu) n'a besoin de vous demander vos identifiants et mot de passe. Si on vous demande de les ressaisir c'est forcement un piège.
- les liens vers du soit-disant contenu "X" ou des photos "chaudes" de certains de vos contacts sont obligatoirement faux car Facebook lutte très activement contre le contenu adulte, par exemple une simple paire de seins va faire bannir votre compte donc ne tombez pas dans le piège.
- les mails autre que les notifications de facebook sont également des faux

2/ administrations et organismes
- ils ne vous enverront aucune alerte ou message important par mail, avec eux tout se passe par courrier dès que c'est important.

3/ Google, iTune et tous les clouds en général
Eux c'est un peu plus délicat car ils ne nous contactent que par mail, pour être sûr de ne pas se faire avoir il suffit de se rendre manuellement sur leur site pour vérifier ce que les mails demandent. Si on vous demande de changer de mot de passe (par exemple), il vous suffit de ne pas cliquer sur les liens mais de vous y rendre manuellement et d'aller faire la modification directement.

Ce qu'il faut savoir sur les mails:
Quand quelqu'un crée un serveur mail il en a le contrôle complet et cela lui permet d'envoyer des mails en mettant l'expéditeur qu'il souhaite, c'est donc très facile de se faire passer pour quelqu'un d'autre (ils peuvent utiliser n'importe quelle adresse mail, ils ne sont même pas limités à leur nom de domaine... exemple, mon nom de domaine à moi est galaxys-team.fr donc mes adresses mails sont en @galaxys-team.fr mais grâce à mon serveur mail je peux envoyer des bill.gates@microsoft.com par exemple, c'est très simple à faire et cette technique est très courante, pour plus d'informations recherchez "forger un mail" sur Google).

Il y a toutefois une solution pour vérifier si c'est bien Bill Gates qui vous envoie un mail, il suffit de regarder dans l'entête du mail, il comporte tout un tas d'informations... dont le SMTP qui a servi pour envoyer le mail (c'est la partie du serveur qui envoie le mail), vous pourrez donc savoir si c'est bien microsoft.com l'expéditeur.

Sur Android, certains clients mail nous permettent d'accéder à ces données qui sont dans tous les mails (Aquamail par exemple).

Vous l'aurez compris à la base il faut se méfier de tous les mails reçus...

Résumons:
- ne jamais faire confiance à un mail
- ne jamais suivre les liens qu'ils comportent si c'est pour des sites à identification
- ne jamais ressaisir des identifiants/mots de passe facebook dans les jeux ou applications
- ne jamais croire un mail important de votre banque ou tout autre organisme important
4 réponse(s) -