DES ATTAQUES DE PLUS EN PLUS SOPHISTIQUÉES : DU PHISHING AU PHARMING : LES EXEMPLES DE NETFLIX ET FACEBOOK

Qu’est-ce que le phishing ? 

Le phishing (ou hameçonnage) est une forme précise de l’ingénierie sociale. L’ingénierie sociale est une technique de piratage servant à obtenir des renseignements de manière psychologique en se faisant passer pour une personne dans laquelle l’utilisateur a confiance ou qui a autorité sur lui. Ainsi, l’usager est trompé et peut divulguer des informations personnelles. 

Quant au phishing, il s’agit d’une technique frauduleuse de piratage servant à tromper l’utilisateur d’un site afin de l’inciter à communiquer ses données personnelles et/ou bancaires. Le plus souvent, il s’agit d’un courriel (mail) qui ressemble à un message légitime et qui vous demande de rentrer vos données personnelles, vos identifiants de connexions et/ou vos coordonnées bancaires pour donner suite à une erreur sur votre compte client (site de e-commerce, banque, compte CAF, compte Pôle Emploi etc.), le tout en cliquant sur un lien frauduleux vous reconduisant sur un site dit miroir. 

Qu’est-ce qu’un site miroir ? 

Un site miroir est un site qui imite à la perfection un autre site internet. On parle alors de pharming. Souvent, la différence va se trouver dans l’URL dudit site. Ainsi, la cible fera confiance à la page sur laquelle elle se trouve, pensant être sur le véritable site, et communiquera sans se méfier ses informations. 

Illustrations d’attaques phishing récentes : 

  • Facebook : (le cas de Jonathan Chan : octobre 2020) 

En octobre, des pirates ont imité Facebook afin de recueillir les données de pages Facebook appartenant à des utilisateurs. La démarche était simple. Les pirates se sont fait passer pour des membres de l’équipe du célèbre réseau social. Les victimes visées par l’attaque ont reçu un mail en anglais les informant que leur compte a été signalé pour « activité inhabituelle et illégale et que leur page sera supprimée de manière permanente » et les invitant à cliquer sur un lien frauduleux pour faire appel de la décision en remplissant un formulaire accessible via ce lien. 

En visant une entreprise réputée sur les réseaux sociaux, les pirates augmentent leur chance que les cibles/victimes mordent à l’hameçon en cliquant sur le lien et en remplissant le formulaire leur permettant de recueillir les identifiants et mots de passe de connexion. La page en question imitait à la perfection l’ergonomie et le design de la page de connexion de Facebook business. La seule différence était dans l’URL. Toutefois, ce dernier reprenait les termes « facebook.com » suivi d’une suite de numéros se terminant par « .top ». Cela est possible car les pirates ont acheté un nom de domaine reprenant « facebook.com ». Mais les utilisateurs n’allaient, pour la plupart, pas jusqu’au bout de l’URL, ils s’arrêtaient à « facebook.com » et rentraient leurs identifiants. Mais plus encore, les pirates avaient même pensé à la double authentification renforçant la confiance des utilisateurs victimes en demandant un code à 6 chiffres. Enfin, une fois les informations personnelles de connexion transmises, les victimes étaient redirigées vers un questionnaire demandant la source du problème et recueillant davantage de données personnelles (nom complet, e-mail, date de naissance, URLs du profil et de la page Facebook).Pour finir, une fois le formulaire rempli, l’utilisateur est redirigé vers une page d’aide en français et sur laquelle il y a une bannière qui s’affiche le remerciant et lui expliquant qu’il sera prochainement contacté par mail. 

  • Netflix (mars et juillet 2020) 

Ce service de vidéos à la demande par abonnement (SVOD : subscription video on demand) a été, à de multiples reprises, visé par des pirates informatiques. Ces derniers envoyaient un mail aux abonnés prétendant un problème de facturation. Ici, les victimes étaient d’abord dirigées vers une page CAPTCHA (permettant de vérifier que la personne n’est pas un robot) adoptant les codes couleur du leader mondial de la SVOD, puis redirigées vers une page miroir imitant la page d’accueil de Netflix, demandant à l’utilisateur de se connecter à l’aide de leurs identifiants personnels. Puis ils devaient donner leurs informations bancaires. Une fois ces données recueillies, les utilisateurs étaient automatiquement redirigés vers la véritable page Netflix. Toutefois, dans cette affaire, les pirates étaient moins « pointilleux » / « perfectionnistes » que dans l’affaire Facebook, puisque dans le cas échéant, l’adresse URL était totalement différente : axxisgeo.com au lieu de netflix.com. 

Des solutions pour lutter contre le phishing/pharming (liste non exhaustive) ? 

Il existe des solutions simples comme toujours vérifier l’expéditeur, ne pas cliquer sur des liens suspects, vérifier l’URL, contacter l’organisme émetteur du mail en cas de doute, ne pas utiliser les mêmes identifiants sur tous nos comptes (mots de passe), activer la double authentification (recevoir un message avec un code de connexion ou de confirmation) etc. En deux mots, être attentif ! 

Que faire si vous êtes victime de phishing malgré le respect de toutes les préventions ? 

Il convient notamment de contacter l’organisme en question, mais aussi de faire opposition auprès de votre banque si vous avez communiqué vos coordonnées bancaires, de conserver des preuves (copies d’écran, mails reçus etc.), déposer plainte auprès des services de police ou de gendarmerie. Vous devez aussi modifier vos mots de passe si votre compte n’est pas bloqué. Vous pouvez également signaler les messages douteux ou l’URL d’un site de phishing auprès de sites spécialisés comme Signal Spam (associé à la CNIL) ou encore Phishing Initiative. 

Didier SERFASSE

M2 Cyberjustice – Promotion 2020/2021

Laisser un commentaire