|
|
|
La cybercriminalité
Le phishing (III) A côté des virus et des Troyens, il y a notamment le "phishing" ou l'hameçonnage (la pêche à l'information), une forme de courrier indésirable dont vous pouvez être victime. Le phishing est une technique consistant pour une personne malveillante à récupérer sous une forme déguisée vos informations personnelles, notamment le numéro de votre carte de crédit, de votre compte en banque ainsi que le mot de passe, votre numéro de sécurité sociale, votre code PIN, etc, pour voler votre argent. Selon une évaluation de Norton, en 2018 il existait 42000 sites de phishing ! Vous pouvez être victime de phishing même si votre système informatique, celui de votre opérateur ou de votre hébergeur est sécurisé. En effet, beaucoup d'algorithmes de cybersécurité cherchent des comportements suspects de la messagerie ou des mots-clés suspects dans les e-mails (adresse, hyperlien, fichier attaché, sujet ou corps du texte). S'ils détectent la plupart des messages de phishing et indésirables, ils sont souvent incapables de faire la différence entre un e-mail envoyé par un cyberexpert comme exemple de tentative de phishing et le véritable e-mail de phishing (dans ce cas seul l'émetteur est différent et peut différencier l'honnête citoyen du cyberpirate). De même, parfois on retrouve un e-mail légitime parmi les indésirables car c'est peut-être la première fois que l'algorithme rencontre l'adresse e-mail de cet émetteur qu'il considère donc a priori comme suspect. Dans ce cas, il faut le marquer comme courrier légitime. Comment procède le cyberpirate ? L'arnaqueur vous contacte soit après avoir trouvé votre adresse e-mail sur Internet (sur un forum, un réseau social, dans des petites annonces, etc) soit par le biais d'un site de vente en ligne sur lequel vous êtes inscrit (Kapaza, Le Bon Coin, VivaStreet, 2ememain, etc). Cet e-mail peut être émis depuis n'importe quel pays. Il n'est pas toujours rédigé dans votre langue maternelle, il peut contenir de grossières fautes d'orthographe ou de grammaire, des logos mal dessinés et des hyperliens inconnus, autant d'indices qui doivent vous alerter. Dans le cas le plus subtil, il est émis sous forme de texte non formatté à travers la messagerie où la petite annonce fut publiée et via laquelle répondent les acheteurs potentiels. Après avoir pris contact par e-mail, l'arnaqueur vous propose de lui envoyer l'article mis en vente par courrier express (même quand il habite soi-disant la même ville que vous !) ou par avion (même entre pays frontaliers !) en insistant sur le fait qu'il prend tous les frais en charge. Cette attitude très généreuse est déjà très suspecte. Ensuite, il vous propose ou plutôt exige que vous utilisiez PayPal ou créez rapidement un compte sur ce site de paiment.
Si vous acceptez le paiment par PayPal, c'est ici que l'arnaque commence. En effet, comme on le voit ci-dessus, un acheteur qui veut payer un article via PayPal peut procéder de deux manières (préalablement il a fallu que l'acheteur relie son e-mail à sa carte de crédit et que le vendeur fasse de même avec son propre compte) : - 1°. L'acheteur se connecte à PayPal (toujours en https://) puis indique l'adresse e-mail du vendeur et le montant qui doit être crédité. Le vendeur reçoit ensuite un e-mail de PayPal confirmant que de l'argent lui a été versé et le débiteur reçoit une confirmation de sa transaction. Après avoir encodé et confirmé la transaction, il n'a aucune vérification ou demande d'information à valider par l'acheteur et c'est transparent pour le vendeur. Quant au vendeur, dès qu'il a reçu la notification de PayPal par e-mail précisant qu'une somme d'argent lui a été versée, s'il vérifie son compte PayPal, la même somme d'argent doit apparaître immédiatement dans le récapitulatif de son compte. Cela veut dire que si un escroc vous envoie une notification factice avec un certain montant soi-disant payé, et que ce montant n'apparaît pas dans votre compte PayPal, c'est qu'il s'agit d'une tentative d'arnaque. En aucun cas n'expédier l'article à cet acheteur car c'est un escroc. Si vous voulez en être certain, avant d'envoyer l'article, téléphoner au service client de PayPal. - 2°. Le vendeur envoie un e-mail au client lui demandant de payer le montant de la facture par PayPal. Comme on le voit ci-dessous à gauche, l'e-mail contient un hyperlien (le bouton "Payer") permettant au client d'effectuer la transaction sur le site sécurisé de PayPal. Ensuite vous vous retrouvez dans le cas N°1 à la différence que le destinataire (vendeur) et le montant à payer sont déjà indiqués. Il suffit à l'acheteur de valider les données. Notez qu'ebay propose une procédure similaire via son option "Demander le paiement" qui permet au vendeur d'adresser par e-mail au client un formulaire contenant un hyperlien lui permettant de finaliser sa transaction et de payer l'article. Jusqu'ici cette procédure fonctionne très bien pour des millions d'adhérents. Or dans le cas du phishing ou de la tentative d'escroquerie, à l'instar du cas N°2, comme on le voit ci-dessous, le pirate va prendre l'initiative de vous envoyer par e-mail un formulaire factice dont l'entête et le texte ressemblent à s'y méprendre au courrier officiel d'une institution avec laquelle vous avez des chances de travailler (PayPal, eBay, VISA, Amazon, Microsoft, une banque, etc). Parfois il est émis par une entreprise avec laquelle vous n'avez jamais été en relation. Dans ce cas il est évidement plus facile de reconnaître la tentative de piratage.
Il est même possible que le cyberpirate soit suffisamment habile pour utiliser une adresse e-mail similaire à celle de ces institutions (par ex. service@paypal.fr, info@amazon.fr, etc). Vous ne pouvez donc pas identifier le pirate à partir de son adresse e-mail. Parfois le document factice envoyé par e-mail vous explique que vos informations personnelles doivent être vérifiées. Cette action doit vous alerter et vous mettre en garde; c'est bien le type de demande caractéristique d'un arnaqueur. Si par malchance vous cliquez sur le lien indiqué, cela vous conduira sur une page, cette fois celle programmée par le cyberpirate où le système vous demandera notamment le numéro de votre carte de crédit et votre mot de passe. Vous avez compris : confiant et naïf, si vous y répondez, vous tombez dans la toile de l'arnaqueur ! Aussi, par prudence, si un acheteur vous paie par PayPal, dès que vous recevez une notification de paiment versé à votre nom vérifiez d'abord que ce montant est bien indiqué dans votre compte PayPal. Si le montant n'apparaît pas, bloquez immédiatement l'adresse e-mail de cet escroc et rompez toute relation avec lui. En fait, PayPal ne contacte jamais ses clients par e-mail pour confirmer des données personnelles. Suite aux nombreuses anarques dont il a fait indirectement l'objet, PayPal a publié le communiqué suivant : "Nous ne vous demandons jamais les numéros de votre compte ou de votre carte bancaire, de votre permis de conduire, ni vos adresses email, votre nom complet, votre mot de passe, ou les réponses à vos questions secrètes PayPal par email". Moralité Par sécurité, sur Internet ou par téléphone ne donnez jamais votre véritable identité ni vos coordonnées à un acheteur tant que ce n'est pas indispensable. Utilisez si possible un pseudonyme anonyme. En cas de litige, votre véritable identité sera malgré tout connue des services clients des sites marchands. Soyez très méfiant quand un acheteur réside à l'étranger, spécialement dans un pays à risque (souvent en Afrique), quand il ne discute pas de la qualité ou des particularités du produit qu'il va acheter, quand il évoque un déplacement à l'étranger ou qu'il est prêt à surfacturer l'article sans discuter. Ne cliquez jamais sur un lien contenu dans un e-mail émis par une société qui vous demande de confirmer ou de vérifier vos données personnelles, et d'autant moins si vous n'avez jamais été en relation avec cette entreprise ! Enfin, pas de panique ! Soyez simplement prudent quand vous achetez ou vendez par Internet. Ce n'est pas parce qu'une personne réside à l'étranger qu'il s'agit d'un escroc, sinon ebay et autre Amazon ne vendraient pas grand chose ! Si vous êtes victime d'une (tentative) d'arnaque via PayPal, PayPal demande aux internautes de leur envoyer l'adresse e-mail et éventuellement les e-mails échangés avec le pirate à l'adresse spoof@paypal.fr comme expliqué ci-dessous. PayPal vous répondra directement par un e-mail automatique. En cas d'arnaque avérée, il sera utile que vous dressiez un procès-verbal mais il aura peu de chance d'aboutir car ces pirates résident en général en Afrique (Nigéria, Côte d'Ivoire, Sénégal, etc). A lire : Les sites de ventes en ligne : attention aux arnaques (sur le blog, 2014)
Un informaticien pourra s'assurer du degré de confiance de l'émetteur en vérifiant l'origine du courrier. On peut par exemple commencer par interroger l'émetteur indiqué dans l'e-mail (il peut soi-disant s'agir d'une banque proche de chez vous). Le préposé au helpdesk du service technique ou au guichet vous dira rapidement si un département vous a envoyé ou non un courrier électronique. Ensuite on peut utiliser des outils réseau tels que WHOIS et NSLOOKUP qui doivent tous deux indiquer le même serveur (nom de domaine). Enfin, on peut vérifier l'émetteur du certificat SSL qui doit également être émis par la même source. Toutefois ces contrôles ne permettent pas de vérifier l'identité ou les intentions d'une personne. Rappelez-vous également que toutes les sociétés de commerce électronique disposent d'une hot-line accessible par téléphone ou tchat, d'un formulaire de contact ou d'une adresse e-mail où vous devez vous renseigner *avant* de répondre à ce genre d'e-mail inhabituel. Ceci dit, certaines PME et notamment des librairies en ligne travaillent parfois de manière non sécurisée et vous demandent par exemple votre numéro de carte VISA par e-mail pour payer un achat. L'une des méthodes consiste d'abord à téléphoner à cette société pour s'assurer de son existence et de l'authenticité de l'offre et ensuite à leur faire parvenir deux e-mails contenant chacun la moitié de votre code. Mais cette solution reste risquée car en théorie, même si le risque est faible, votre e-mail n'étant pas crypté, il peut toujours être intercepté par un cyberpirate. Demandez plutôt au vendeur s'il dispose d'un compte PayPal et accepterait un virement bancaire. Notons que parmi les plus spectaculaires de ces piratages, il y a celui révélé en mars 2007, où pas moins de 45.7 millions de numéros de cartes de crédit furent volés sur une période de 18 mois, entre 2005 et 2006, par des pirates informatiques dans les bases de données du groupe de distribution américain TJX, ainsi que les données personnelles (nom, adresse, numéros de sécurité sociale) d'environ 455000 clients du groupe ! En août 2007, le site d'annonces emplois Monster fut victime de hackers malveillants qui ont téléchargé 1.6 million de fichiers des bases de données reprenant les données personnelles ainsi que les CV de plusieurs centaines de milliers de membres. Monster fut contraint d'éteindre les serveurs concernés appartenant à deux sous-domaines de son réseau. A défaut de pouvoir identifier toutes les victimes, Monster fut obligé d'envoyer un e-mail d'avertissement à tous ses membres à travers le monde. La transmission des e-mails a duré plus d'une semaine ! Parmi les outils de protection, citons le firewall, les logiciels anti-spam, anti-phishing, anti-malware et Netcraft, une barre anti-phishing pour les navigateurs Internet FireFox, Chrome et Opera. A lire : Le long combat des victimes d'usurpation d'identité (sur le blog, 2013) Le spam Dans le monde, on estime qu'il s'échange 70 milliards d'e-mails chaque jour (on cite même le chiffre de 150 milliards) ! CNN aurait déclaré avoir reçu 700000 e-mails en octobre 2006 dont 40000 seulement étaient valides, ce qui représente une proportion de 6%. Selon Postini, une société américaine spécialisée dans la protection des communications électroniques, 91 à 94% des e-mails seraient des spams, c'est-à-dire du courrier non sollicité, généralement des publicités douteuses. Sur 35000 sociétés protégées par leurs produits, Postini aurait intercepté 1 milliard de spams chaque jour ! Selon une étude plus impartiale réalisée par le groupe américain Radicati publiée dans le "Wall Street Journal" en août 2003, le spam représentait 45% de tout le trafic e-mail en 2003 soit un trafic de 15 milliards de spams par jour ainsi que le montre ce graphique préparé par Verisign-Italie. Cela représentait 20 milliards de dollars par an en productivité perdue et frais technologiques. Le spam représente 70% du trafic en 2007 soit 50 milliards d'e-mails pour un coût d'environ 200 milliards de dollars par an ! Cet e-mail indésirable envoyé soit par une personne malveillante ou un cyberpirate soit par une entreprise. La personne malveillante peut-être une ancienne relation ou un inconnu qui tente simplement de vous ennuyer ou de vous nuire à travers la messagerie. La solution consiste par exemple à couper toute relation avec elle et à changer d'adresse e-mail. Mais elle peut aussi vous harceler via tous les canaux qu'elle connaît. Dans ce cas, à vous de juger des actions à mener pour y mettre fin. Il peut aussi s'agir d'une entreprise honnête qui a reçu une liste d'adresses e-mails et l'utilise pour prospecter de nouveaux clients. Si vous recevez ce genre d'e-mail, il faut d'abord s'assurer qu'il ne s'agit pas d'un e-mail émis par un cyberpirate. Parfois l'e-mail contient en bas de page un lien permettant de se désinscrire de la maillist soit il suffit de demander par retour d'e-mail à l'entreprise de supprimer votre adresse e-mail de leur liste. Généralement, cela suffit pour s'en débarrasser. Dans le cas du cyberpirate, il sollicite en général votre soutien pour soi-disant transférer de l'argent, récupérer un gain d'une loterie, participer à une oeuvre caritative ou confirmer des données personnelles parmi d'autres motifs. Comme le phishing, il peut être émis depuis n'importe quel pays et concerner n'importe quelle action n'importe où dans le monde. Il n'est pas toujours rédigé dans votre langue maternelle, il peut contenir des fautes d'orthographe ou de grammaire, des logos mal dessinés et des hyperliens inconnus, autant d'indices qui doivent vous alerter.
Si vous ne connaissez pas la personne et doutez de son honnêteté, n'y répondez pas. Si ce n'est déjà fait, marquez cet e-mail comme indésirable et supprimez-le. En général, il ne reviendra pas deux fois. Comment l'émetteur de spam obtient-il votre adresse e-mail ? Il y a deux méthodes. La première, le spammer prend un nom au hasard des pages blanches ou des noms de domaine et crée une adresse e-mail. Si le courrier ne revient pas, c'est qu'il est arrivé à destination, il a donc réussi. La deuxième méthode dépend des sociétés où votre adresse e-mail est déposée. Ainsi en 2018, on apprit que Facebook avait vendu à l'insu de ses membres les adresses e-mails de 87 millions d'abonnés à la société anglaise Cambridge Analytica déjà impliquée dans un scandale à propos de l'élection du président Trump. Ayant eu vent de l'affaire, les internautes ont porté plainte contre Facebook qui jura qu'il ne le referait plus. En attendant, Facebook a perdu des centaines de milliers de membres qui ont supprimé leur compte du réseau social dont Elon Musk. Différences associations de protection des consommateurs y compris en Europe ont également intenté une action en justice contre Cambridge Analytica sous le motif qu'ils ont obtenu illégalement des données via un sondage réalisé sur Facebook. Après cette affaire, beaucoup d'internautes et d'entreprises n'ont plus eu confiance en Facebook. Un tel usage abusif peut se produire avec n'importe quelle société avec laquelle vous êtes entré en relation et à laquelle vous avez communiqué votre adresse e-mail. Si leur activité ou leurs e-mails ne vous intéresse pas, pourquoi leur avoir donné votre adresse e-mail ? Si le système vous oblige à encoder une adresse e-mail mais qu'elle ne sert à rien dans vos relations avec cette entreprise, indiquez une adresse e-mail fourre-tout qui peut être comprise sans vous impacter et que vous ne consulterez jamais. Suite à ces abus, dans le cadre du RGPD l'Europe n'autorise plus le traitement des données à caractère personnel sans le consentement du propriétaire. La troisième méthode peut dépendre de vous. En effet, si votre adresse e-mail a été publiée sur Internet, sur un forum non modéré par exemple, elle a toutes les chances d'être récupérée par une personne malveillante (par le biais d'un script automatique). Des logiciels de spam recherchent en permanence des adresses e-mails valides pour leur envoyer de la publicité pour une liste de sociétés à la morale douteuse. Une fois qu'ils détiennent votre adresse électronique, c'est pour la vie où jusqu'à ce qu'elle réponde aux abonnés absents. A partir du moment où votre adresse e-mail est publiée sur Internet, vous n'avez plus aucun moyen de la supprimer de votre message car la plupart du temps il a déjà été récopié sur des dizaines de serveurs publics à travers le monde. Le fait de contacter l'administrateur du site ou le service "Abuse" du fournisseur d'accès par lequel a transité le message ne changera rien à la situation. C'est ici qu'on se rend compte de la puissance d'Internet mais également de ses lacunes. La seule chose à faire lorsqu'on reçoit un e-mail non sollicité d'une entreprise ou d'un site de petites annonces est de vérifier au bas du message s'il contient un lien pour se désabonner (unsubscribe). Si la procédure est immédiate, le désabonnement prend jusqu'à 5 jours pour être actif. Sur certains sites, il est également possible de désactiver toutes les notifications, les fils d'actualités et autres "news" dans les paramètres de votre compte ou de votre profil. A lire : Près de 95% des e-mails seraient des spams (sur le blog, 2007) Les blondes à la rescousse des cybercriminels Solutions de contournement De manière générale, évitez d'afficher votre adresse e-mail sur Internet, même cachée derrière le bouton d'un script, car toute personne malveillante pourra facilement la recopier sur un forum.
Pour éviter ces problèmes, sur les forums et les sites de ventes en ligne, la plupart des utilisateurs ont trouvé une parade : ils utilisent une adresse e-mail publique (par exemple sur le domaine de gmail ou outlook) qui peut éventuellement recevoir du spam et du courrier indésirable qu'il suffira de supprimer. Le jour où cette adresse e-mail est corrompue, il vous suffira de la supprimer et d'en créer une nouvelle que vous mentionnerez dans tous les comptes que vous souhaitez. D'autres indiquent carrément une adresse e-mail bidon afin que leur mailbox privée ne soit pas envahie de spams et de phishing. C'est pour cette raison que la majorité des internautes disposent de plusieurs adresses e-mails et parfois sur plusieurs domaines différents : une privée chez leur fournisseur de service, une publique et éventuellement une troisième fourre-tout sur des serveurs publics (Microsoft, Google, etc). Par sécurité, évitez également de sauvegarder des données privées ou sensibles dans votre système de messagerie car un piratage est toujours possible. Sauvez ces données sur votre disque dur ou sur un support externe (carte SD, clé USB, etc). Si le spam concerne votre adresse e-mail privée, il n'y a qu'une solution et radicale : changer d'adresse e-mail (et pas seulement d'alias), mais vous serez contraint de prévenir tous vos contacts, de modifier éventuellement vos abonnements électroniques et vos entêtes de lettre. De plus, si vous passez par un fournisseur d'accès à Internet, ce changement d'adresse électronique vous sera facturé au prix fort. Etant donné que vous changez d'adresse e-mail, profitez-en cette fois pour installer un logiciel anti-spam. Nous allons y revenir. En revanche, sur un forum modéré (c'est-à-dire géré par des modérateurs qui filtrent les courriers selon des critères éthiques) vous avez toujours la possibilité dans les paramètres de votre profil de ne pas afficher votre adresse e-mail et de recevoir ou non des e-mails des internautes. Les solutions anti-spam Il existe d'autres manières d'éviter le spam tout en maintenant la visibilité de votre adresse e-mail. La première solution consiste à demander à votre fournisseur d'accès à Internet (P&T par exemple) d'activer l'anti-spam sur votre mailbox.
Ce service est généralement facturé 1 € par mois. Il bloquera tous les e-mails suspects (les émetteurs indésirables connus, les fichiers avec images, en recherchant certains mots-clés dans le texte, etc) avant qu'ils n'atteignent votre ordinateur. Certaines sociétés conservent ces spams dans un répertoire spécifique auquel vous pouvez accéder par Internet ainsi qu'on le voit sur l'image présentée à droite. Ces messages sont détruits au bout de quelque temps, les adresses venant parfois alimenter une base de données de sites suspects. L'alternative consiste à installer un logiciel anti-spam sur votre ordinateur. Vous pouvez également configurer votre messagerie pour bloquer tous les courriers indésirables mais cette solution est lente et pas très efficace. La deuxième solution consiste à installer un firewall (pare-feu) hardware telle la solution NETASQ à la place de votre modem ou un firewall software sur votre ordinateur (telle la solution proposée par Apple, Bullguard ou intégrée à Windows. Le firewall peut-être configuré de manière à bloquer tous les trafics indésirables, quel que soit le protocole utilisé (http, ftp, smtp, irc, ...). La troisième solution consiste à installer une messagerie associée à un mot de passe et d'autres stratégies de protection tel le shareware MailWasher Pro. Tout qui souhaite vous envoyer un courrier électronique doit être authentifié sinon son courrier sera refusé ou lui sera renvoyé. C'est vous-même qui validez les utilisateurs autorisés. Ensuite, l'échange de courrier est transparent. Bien entendu, toute solution proposée par un fournisseur d'accès à Internet est de loin préférable car elle agit en amont et soulage votre ordinateur de la gestion du spam. La solution du firewall hardware est également préférable à la solution software car elle est toujours plus performante. Le logiciel anti-virus, anti-spyware, anti-spam, la messagerie sécurisée et le firewall sont des solutions très efficaces qui vous mettront à l'abri de pratiquement tous les actes cybercriminels. Pratiquement tous en effet, car vous devez encore vous protéger contre les actes d'espionnage, de piraterie et autres impostures qu'on rencontre quelquefois sur Internet. Prochain chapitre |
|||||||||||||||||||||||||||||||||||
