Fiches techniques

Filoutage (phishing)

19 décembre 2007 19:22

Qui est concerné ?	Particuliers, entreprises
Combien de temps faut-il ?	20 minutes
Quel gain ?	Comprendre et se protéger du filoutage

Définition

Le filoutage, ou phishing, est une technique utilisée par des personnes malveillantes dans le but d’obtenir des informations confidentielles sur leurs victimes puis de s’en servir. Pour ce faire les fraudeurs contactent leurs victimes sous différents prétextes en usurpant l’identité d’un tiers dans lequel la victime pourrait avoir confiance (une banque, un site de commerce…).


phishing

Ces arnaques visent aujourd’hui principalement les clients des sites bancaires, mais il n’est pas rare de constater qu’elles peuvent aussi s’attaquer aux sites de commerce ou d’organisations caritatives.

Sur l’internet on trouve également le terme d’hameçonnage. Glossaire

Principe de fonctionnement

Généralement la victime reçoit dans sa messagerie électronique un courriel, semblant provenir de sa banque ou d’un organisme de confiance, lui indiquant qu’un problème est survenu sur son compte. Le contenu du mail est vraisemblable, il utilise le logo de l’organisme bancaire et invite la victime à cliquer sur le lien contenu dans le courrier afin de résoudre ce soi-disant problème. Le lien affiché est d’ailleurs celui de la banque (quand le message est affiché au format HTML).

Exemple d’un courriel de filoutage envoyé à des clients d’une banque.


phishing

Le lien internet masqué, contenu dans le mail, conduit en fait à un site ressemblant à s’y méprendre au site de la banque ou de l’organisme de confiance. Cette imitation du site bancaire a été déposée par une personne malintentionnée sur un autre site internet compromis. Dès qu’une victime saisit des informations personnelles (coordonnées bancaires, identifiants, mots de passe), celles-ci sont immédiatement envoyées à la personne malveillante qui s’empressera de les utiliser pour vider le compte bancaire de sa victime.

Ces courriers frauduleux ne sont généralement pas ciblés mais envoyés à des milliers d’adresses.

Comment s’en protéger ?

Les banques n’envoient jamais ce genre de courriel : d’une manière générale, une banque ne demandera pas à ses clients de venir saisir leurs informations personnelles dans un courrier électronique. Pour se connecter au site de sa banque il vaut mieux entrer manuellement l’adresse réticulaire (URL) du site dans votre navigateur.

Préférer saisir des informations personnelles (coordonnées bancaires, identifiants…) sur des sites internet sécurisés : un cadenas apparaît dans le navigateur et l’adresse du site commence par HTTPS au lieu de HTTP.

Ne pas cliquer sur les liens contenus dans les courriers électroniques : les liens affichés dans les courriers électroniques peuvent en réalité diriger les internautes vers des sites frauduleux. En cas de doute, il est préférable de saisir manuellement l’adresse dans le navigateur.

Être vigilant lorsqu’un courriel demande des actions urgentes.

Utiliser le filtre contre le filoutage du navigateur internet : la plupart des navigateurs (Microsoft Internet Explorer 7, Mozilla Firefox, Opéra) proposent une fonctionnalité d’avertissement contre le filoutage. Leurs principes peuvent être différents (liste noire, liste blanche, mot clé…) et sans être parfaites, ses fonctions aident à maintenir la vigilance de l’utilisateur.

Utiliser un logiciel de filtre anti-pourriel : la plupart du temps ces tentatives d’escroquerie se diffusent par le biais de courriers électroniques. Même si les logiciels de filtrage ne sont pas parfaits, ils permettent de réduire le nombre de ces courriels.

Ne jamais répondre ou transférer ces courriels.

En cas de doute ou de problème, prendre contact rapidement avec son agence bancaire.

D’une manière générale, être vigilant et faire preuve de bon sens : ne pas croire que ce qui vient de l’internet est forcément vrai.