Phishing
En informatique, le phishing, parfois appelé hameçonnage, est un terme désignant l'obtention d'informations confidentielles (comme les mots de passe ou d'autres informations privées), en se faisant passer auprès des victimes pour quelqu'un digne de confiance ayant un besoin légitime de l'information demandée. C'est une forme d'attaque informatique de type ingénierie sociale.
Le terme phishing a été inventé par les pirates qui essayaient de voler des comptes AOL. C'est un terme anglais construit sur l'expression password harvesting fishing, soit « pêche aux mots de passe ». Un attaquant se faisait passer pour un membre de l'équipe AOL et envoyait un message instantané à une victime potentielle. Ce message demandait à la victime d'indiquer son mot de passe, afin de, par exemple, « vérifier son compte AOL » ou pour « confirmer ses informations bancaires ». Une fois que la victime avait révélé son mot de passe, l'attaquant pouvait accéder au compte et l'utiliser à des fins malveillantes, comme l'envoi de spam.
Traduction française
Les termes hameçonnage et appâtage ont été proposés par l'Office québécois de la langue française en avril 2004 comme traduction française de phishing.
Parmi les autres termes considérés par l'OQLF, on trouve :
- Escroquerie par courriel - Manque de précision; l'hameçonnage est plutôt une tentative d'escroquerie, car il ne réussit pas à tous les coups et ne constitue sûrement pas la seule façon d'escroquer au moyen du courrier électronique.
- Pêche aux données/informations personnelles/confidentielles - Plus descriptif que dénominatif, peut servir de périphrase comme l'expression le réseau des réseaux lorsqu'on parle d'Internet.
- Pêche au[x] gogo[s] - Trop péjoratif.
- Filoutage - Manque de précision; peut désigner toute forme d'escroquerie.
- Usurpation d'interface - Manque de précision; l'usurpation d'interface ou d'identité (d'entreprise) n'est que l'un des moyens principaux utilisés pour effectuer un hameçonnage.
Phishing scam peut se traduire par escroquerie par hameçonnage, et convient lorsque l'hameçonnage a réussi, c'est-à-dire lorsque celui-ci a permis d'escroquer un internaute naïf. Brand spoofing, qui peut se traduire par usurpation de marque ou usurpation d'identité d'entreprise, fait plutôt référence au moyen utilisé pour mener à bien un hameçonnage (voir Usurpation d'interface, ci-haut).
Hameçonnage contemporain
De nos jours, les criminels informatiques utilisent le phishing à des fins plus axées sur le vol d'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay. Les adeptes du phishing envoient habituellement des courriers à un grand nombre de victimes potentielles. Ceux-ci redirigent les personnes qui les reçoivent vers une page Web qui semble faire partie de leur banque en ligne (par exemple), mais qui en fait intercepte les informations confidentielles et les envoie à l'attaquant.
Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance, et sont formulés de manière à alarmer le destinataire, afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème quelconque, et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message donne alors un hyperlien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page trompeuse, l'utilisateur est invité à rentrer des informations confidentielles qui sont alors capturées par le fraudeur.
La vérification de l'URL dans la barre d'adresse du navigateur Web peut ne pas être suffisante pour détecter la supercherie, car certains navigateurs n'empêchent pas l'adresse affichée à cet endroit d'être contrefaite. Il est toutefois possible d'utiliser la boîte de dialogue « propriétés de la page » fournie par le navigateur pour découvrir la véritable adresse de la fausse page.
S'il vous arrive d'être contacté au sujet d'un compte devant être « vérifié », vous devriez chercher à régler le problème directement avec la société concernée, ou vous rendre sur leur site Web en tapant manuellement l'adresse dans votre navigateur. En règle générale, il est recommandé de faire suivre le message suspect à l'adresse spoof (par exemple, si vous faites affaire avec societe.com, ce sera spoof@societe.com), ce qui permettra à la société de faire enquête.
Soyez particulièrement vigilant lorsque vous rencontrez une adresse contenant le symbole « @ », par exemple http://www.google.com@members.tripod.com/. Ce genre d'adresse va essayer de vous connecter en tant qu'utilisateur « www.google.com » sur le serveur « members.tripod.com ». Il y a de fortes chances que cela se réalise même si l'utilisateur indiqué n'existe pas réellement sur le serveur, mais par cette méthode la première partie de l'adresse semble être tout à fait innocente (www.google.com). De même, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sous-domaines, par exemple http://www.mabanquefavorite.com.spamdomain.net/.
Le navigateur web Netscape 8 intègre des technologies permettant de tenir à jour une liste noire de sites dangereux de ce type.
Liens externes
- Fiche terminologique du Grand dictionnaire terminologique (OQLF)
- (en) http://www.antiphishing.org : Anti-Phishing Working Group