Definition

Phishing

L'hameçonnage électronique, ou phishing, est une tentative d'escroquerie dans laquelle un fraudeur essaye de pirater des informations (ID de connexion, informations de compte, etc.) en se faisant passer, par mail ou par un autre moyen de communication, pour une personne ou un organisme fiable.

Le destinataire reçoit un message qui semble avoir été envoyé par un contact ou une entreprise connu. Une pièce jointe ou des liens pointant vers un site Internet malveillant permettent l'installation d'un malware sur le périphérique de l'utilisateur ou la récupération de données personnelles et financières - mots de passe, identifiants de compte, détails d'une carte de crédit.

Le terme anglais « phishing » renvoie à son homonyme « fishing », la pêche (prendre du poisson... ou des victimes).

Le phishing est une pratique en vogue chez les cybercriminels car il est bien plus simple d'inciter quelqu'un à cliquer sur un lien malveillant dans un message apparemment authentique que de percer les défenses d'un ordinateur.

Si certains messages de phishing sont mal écrits et faciles à repérer comme frauduleux, d'autres sont rédigés par des cybercriminels chevronnés qui emploient les techniques des spécialistes marketing pour identifier les types de messages les plus efficaces : ceux dont les accroches ont le plus grand nombre d'ouvertures ou de clics, et les publications Facebook qui génèrent le plus de « J'aime ».

Les campagnes de phishing sont souvent menées à l'occasion de grands événements, de vacances, d'anniversaires ou s'appuient sur des nouvelles-chocs, vraies ou fausses.

Pour faire passer des messages frauduleux pour des messages d'entreprises connues, les fraudeurs intègrent les logos et les informations d'identification prélevés directement sur le site Internet des entreprises. Les liens malveillants présents dans le message semblent pointer vers l'entreprise victime de l'usurpation.

L'utilisation de sous-domaines et d'adresses URL mal orthographiées (typosquattage) sont des pratiques frauduleuses courantes. Une autre pratique, l'usurpation par homographe, consiste à créer des URL qui ressemblent exactement à un nom de domaine fiable, mais contenant des caractères logiques différents. Dans certains cas, les fraudeurs utilisent des fonctionnalités JavaScript pour placer l'image d'une URL authentique dans la barre d'adresse d'un navigateur. D'autres fois, ils utilisent JavaScript pour modifier l'URL qui s'affiche en passant la souris sur un lien intégré.

Les attaques par hameçonnage ciblé visent des personnes ou des entreprises spécifiques.

Un autre type d'attaque, dite whaling, ou « pêche à la baleine », cible les hauts dirigeants d'une entreprise.

Les auteurs d'une campagne d'hameçonnage ciblé étudient soigneusement leurs victimes de façon à créer un message vraisemblable : l'utilisation d'informations pertinentes ou spécifiques augmente les chances de réussite de l'attaque. Les fraudeurs glanent ces informations (historique personnel, centres d'intérêt, activités, etc.) notamment sur les réseaux sociaux. Ils vérifient le nom, la fonction et l'adresse de messagerie de leurs collègues et des principaux employés de l'entreprise, ainsi que les dates de vacances. Ces informations sont ensuite utilisées pour écrire un message crédible.

Les attaques ciblées et les menaces persistantes avancées (APT - Advanced Persistent Threat) débutent généralement par un message d'hameçonnage ciblé contenant un lien malveillant ou une pièce jointe malveillante.

Une passerelle antispam permet d'intercepter un grand nombre de messages de phishing collectifs avant qu'ils n'atteignent la messagerie des destinataires. Pour limiter les messages frauduleux, sur des serveurs de messagerie, il faut veiller à utiliser l'un des standards d'authentification, Sender ID ou DomainKeys. Une passerelle Web sécurisée offre un niveau de défense supplémentaire en empêchant les utilisateurs d'ouvrir la cible d'un lien malveillant. Elle recherche les URL demandées dans une base de données parfaitement à jour des sites suspectés de distribuer des logiciels malveillants.

Internet regorge de ressources permettant de lutter contre le phishing. Des sites comme FraudWatch International et MillerSmiles publient par exemple les intitulés d'objets de messages de phishing en circulation.

Cette définition a été mise à jour en juillet 2016

Pour approfondir sur Menaces, Ransomwares, DDoS