Belzébuth et le phishing

L’origine date un peu : Wikipédia mentionne[1] comme premier cas connu des tentatives de dérober les mots de passe des abonnés AOL par l’envoi de messages instantanés. Bref, à la base, l’idée est toujours la même : faire passer un message pour ce qu’il n’est pas et chiper les mots de passe ou les codes de CB de l’imprudent.

Pendant des années, les messages avaient à peu près tous la même apparence. C’était Kevin de la hot line qui vous engageait à remplir rapidement un formulaire sans quoi votre quota de messagerie allait être atteint dans la journée et vos mails seraient tous bloqués, voire effacés – on se demande d’ailleurs en quoi l’impossibilité d’accéder à nos messages serait si grave, ce qui dénote à quel point nous sommes tous devenus tributaires de nos mails comme si notre vie en dépendait. Puis, il y a environ deux ou trois ans, sont apparus les mails provenant d’un proche, comme par hasard en voyage à l’étranger, qui aurait perdu tous ses moyens de paiement, et qui demandaient un virement en urgence sur un compte dans les îles Caïman – le plus dingue, c’est le nombre de gens qui continuent de se faire prendre par ce stratagème usé jusqu’à la corde. Stricto sensu on peut débattre de la question de savoir s’il s’agit d’un phishing ou non, mais, en tout cas, c’est du même acabit que le mail de l’héritier d’un royaume africain inconnu au bataillon qui a urgemment besoin de vos services pour faire sortir du pays son héritage colossal.

Selon votre serviteur, on a franchi un cap il y a peu avec la falsification des noms de domaine, par des techniques de plus en plus sophistiquées. Par exemple, si le site de ma banque se nomme www.mabanque.com et que l’on me demande de cliquer sur www.ma-banque.com, un petit moment d’inattention et je me fais avoir. Mais quand les pirates commencent à recourir à des noms de domaine pour lesquels visuellement les caractères semblent corrects et utilisent en fait des polices de caractères différentes (par exemple en alphabet cyrillique), là, il faut être particulièrement vigilant. La seule parade consiste alors à taper soi-même le nom de domaine dans son navigateur.

Moins alambiqué mais tout aussi tordu, il y a l’utilisation des noms de domaine à rallonge, du genre (toujours dans l’exemple ci-dessus) www.hotline-mabanque.com, qu’un œil non averti pourrait considérer comme des sous-domaines de mon domaine officiel, alors qu’il n’en est rien. J’invite d’ailleurs le lecteur curieux et méfiant comme un rentier sous la III^e République à faire le test du site https://phishingquiz.withgoogle.com/, pour lequel votre humble serviteur a obtenu 6/8 à sa première tentative, et j’en connais pas mal qui n’ont pas dépassé 7/8. Je pense d’ailleurs rendre ce test, qui prend moins de 15 minutes chrono en main, obligatoire dans ma DSI.

Dans le dernier podcast du Comptoir Sécu[2], il est fait mention d’un mode de phishing particulièrement sophistiqué qui se fonde sur le détournement des délégations d’authentification. Explication : certains sites vous permettent de vous authentifier à partir de vos ID Facebook ou Google et appellent pour ce faire une fenêtre du site communautaire en question. Des petits malins ont réussi à détourner les appels des fenêtres (je fais court), et vous vous retrouvez de fait à remplir dans une fausse fenêtre Facebook vos réels identifiants Facebook. Le plus remarquable, c’est que, pour s’en apercevoir, il faut scroller la fenêtre en question, qui n’a pas un comportement normal, bref, une arnaque quasi impossible à détecter. 

Enfin, il existe des techniques d’attaque basées sur la falsification de certificats https : à un moment donné, vous vous retrouvez à surfer sur un site qui vous demande de valider un certificat non reconnu de votre navigateur, et ledit certificat est capable par la suite de faire passer un faux site pour le bon. La technique est facile à détecter sur des PC ou des Mac, mais sur un smartphone, c’est un peu plus délicat.

Pour résumer, les bons réflexes sont les suivants :

–      Taper soi-même une URL dans un navigateur et ne pas cliquer sur un lien dans un mail ;

–      Ne pas valider de certificat https sans savoir exactement ce que vous êtes en train de faire ;

–      Ne pas utiliser de sites tiers pour vous authentifier sur un site en particulier – personnellement, l’usage d’outils de type Dashlane me fait frémir.

Vous avez fait combien au test de Google ?

[1] https://fr.wikipedia.org/wiki/Hame%C3%A7onnage#Exemple 

[2] https://www.comptoirsecu.fr/sechebdo/sechebdo-19-f%C3%A9vrier-2019/