Plus de 157'000 messages électroniques de ce type ont été
envoyés dans le monde au premier semestre 2006, une hausse de 81%
par rapport au deuxième semestre 2005. En Suisse, les clients de
Yellownet, le service de paiement en ligne de la Poste et de la
Banque Migros ont été récemment victimes de cette pratique.
Crime organisé
«Le crime organisé est très intéressé par le phishing. Il cible
les internautes à domicile qui sont devenus le maillon faible», a
déclaré la spécialiste Ollie Whitehouse.
Les auteurs des mails se font passer pour des institutions
financières, des banques ou d'autres organisations légitimes et
demandent une vérification de certaines données personnelles,
telles qu'un numéro de compte en banque et un mot de passe.
Ils ciblent leurs victimes de manière plus fine qu'auparavant,
grâce à leur nom complet et leurs centres d'intérêt, et réussissent
de mieux en mieux à déjouer les mécanismes de protection contre les
messages non sollicités installés par les fournisseurs d'accès ou
les éditeurs de logiciels de sécurité.
«Ils écument les sites de rencontres et les sites personnels. La
plupart des gens, aujourd'hui, ont laissé des empreintes numériques
qui peuvent être exploitées», a ajouté Ollie Whitehouse.
Impact difficile à évaluer
L'impact financier du phishing est difficile à évaluer à un
niveau individuel. Symantec estime les dommages financiers aux USA
en 2005 à 2,75 milliards de dollars.
Un gouffre financier d'autant plus préoccupant qu'il ne fait que
commencer. Selon une étude parue fin septembre, les clients des
banques ne connaissent pas les mesures de sécurité de base quand
ils effectuent des paiements en ligne, selon une étude menée par
APACS, l'association de paiement britannique.
Près d'un demi-million d'usagers seraient des proies potentielles
faciles d'une arnaque via internet. 3,8% des 15 millions de clients
d'ebanking répondraient à un mail de leur banque, même non désiré.
Un chiffre largement sous-estimé selon les analystes.
Des solutions techniques
Une plus grande attention aux problèmes de sécurité a
considérablement réduit la durée pendant laquelle les ordinateurs
sont exposés à un certain type de menace, estime Symantec.
Le navigateur Internet Explorer de Microsoft, le plus utilisé au
monde, a réduit le nombre de jours durant lesquels des failles de
sécurités sont exploitables, ramenant l'intervalle à neuf jours
contre 25 jours il y a six mois.
Les navigateurs Opera et Mozilla Firefox sont corrigés
respectivement dans les deux jours et dans la journée. Le moteur de
recherche open source Firefox 2.0 intègre depuis peu un filtre
anti-phishing. Si une page potentiellement dangereuse est appelée,
le browser prévient l'internaute. Firefox compare les adresses Web
saisies à une liste noire.
En Grande-Bretagne, des sites d'informations aux usagers ont vu le
jour, tels que www.banksafeonline.org.uk ou
www.cardwatch.org.uk.
Reste que face à l'augmentation du phénomène du vol des mots de
passe, le moyen le plus sûr de lutter contre le phishing demeure,
pour l'instant, l'information aux usagers.
tsrinfo, Fanny Moille et Sarah Chevalier
Le "Phishing" en Suisse
21.08.2006: les clients de la banque Migros ont été victimes d'une opération de phishing. Le message en allemand avertissait l'internaute d'un problème de sécurité et exigeait de lui qu'il donne ses codes sous peine de voir ses comptes fermés dans la journée. La banque a immédiatement stoppé toutes ses transactions.
05.06.2006: une attaque de phishing vise les clients de Yellownet, le service de paiement par internet de la Poste. Un e-mail aux couleurs de Postfinance les invite à donner tous leurs codes d'accès.
Définition
Le mot "phishing" se compose des mots anglais "password" (mot de passe), harvesting (moisson) et "fishing" (pêche). Le "phishing" consiste donc à récupérer des mots de passe sur internet. Les escrocs n'utilisent pas des techniques informatiques élaborées mais abusent de la naïveté des internautes. Ces données peuvent concerner les informations de comptes lors de ventes aux enchères (comme eBay)ou des données d'accès pour des opérations bancaires sur internet.