Atlantico, c'est qui? c'est quoi ?
Mercredi 18 Octobre 2017 | Créer un compte | Connexion
Extra

Le phishing pour les nuls : le secret des emails traîtres qui piègent entreprises protégées comme particuliers exposés

Le phishing est un piège courant. Nombreux sont les particuliers et entreprises qui ont reçu des emails pour le moins banals qui cachaient bien leurs intentions. Alors que les mises en garde se multiplient, les hackers se font de plus en plus malins.

Les pirates attaquent !

Publié le
Le phishing pour les nuls : le secret des emails traîtres qui piègent entreprises protégées comme particuliers exposés

Alors que les mises en garde se multiplient, les hackers se font de plus en plus malins. Crédit Reuters

Atlantico : Aujourd'hui les hackers redoublent d'ingéniosité pour piéger leurs victimes. Le simple email appelant à un don pour sauver une communauté quelconque est dépassée. Comment les hackers trompent-ils aujourd'hui leurs victimes? Comment les ciblent-elles? Comment arrivent-ils à entre en contact avec elles ?  

Damien Bancal : : Je préfererai le terme de pirate informatique plustôt que celui d'hacker. Pour moi, le hacker est celui qui aide, c'est une sorte cyber citoyen. En ce qui concerne le pirate et ses attaques phishing (hameçonnage) les méthodes pour tromper ses victimes sont très nombreuses. D'abord, du social engineering. Il va étudier sa cible, lui fournir des informations (par courrier électronique) qui auront pour mission de le perturber (par exemple : votre compte bancaire va être fermé) et l'inciter à cliquer sur un lien rapidement (par exemple : vous venez de faire un achat).

Il suffit au pirate de placer le logo d'une banque, d'un FAI pour que, malheureusement, beaucoup trop d'internautes tombent dans le piège. J'ai dernièrement animé un atelier pour un grand groupe commercial français. 10% de leurs clients se faisaient piéger par un courriel à leurs couleurs. Par piégés, j'entends qu'ils avaient fourni leurs identifiants de connexion. Selon l'attaque, le pirate va plus ou moins cibler ses victimes. Il existe au marché noir des "packs" qui fournissent des mails visant certaines professions, pays, régions, sexes... D'autres phishing visent la masse. Le pirate diffuse des milliers de mails, comme un filet de pêche, et attend le poisson.

En matière de phishing, qu'est-ce qui différencie un "apprenti" hacker d'un hacker professionnel? Le phishing nécessite-t-il des compétences très avancées ? 

Selon la cible, le phishing peut être très ciblé. Le pirate va travailler sur sa victime. Sa profession, son employeur, les adresses mails de ses collègues, de sa direction. Ses habitudes sociales 2.0 (Facebook, Twitter, Google+, ...). Il va la surveiller sur les réseaux sociaux, les forums. Une fois l'environnement effectué, le pirate réalise littéralement un catalogue traitant de sa cible. Il n'a plus qu'à peaufiner l'attaque. D'abord 2/3 courriels sans intérêts, avec peut-être un lien vers l'entreprise, un article de presse. Le 4ème sera l'attaque. La cible a été "endormie". Pour la grande majorité, pas besoin d'importantes connaissances techniques. Des kits se vendent au marché noir. Il est possible d'en trouver, aussi, gratuitement. Ensuite, soit le pirate est organisé et à des connaissances (des amis qui vont pirater pour lui des sites qui hébergeront la fausse page), soit il va carrément louer un espace qui sera utilisé le temps de l'attaque. Location avec des données bancaires préalablement piratées (achetées, ponctionnées via un autre hameçonnage).

 
Pour commenter :

Depuis son lancement Atlantico avait fait le choix de laisser ouvert à tous la possibilité de commenter ses articles avec un système de modération a posteriori. Sous couvert d'anonymat, une minorité d'internautes a trop souvent détourné l’esprit constructif et respectueux de cet espace d’échanges. Suite aux nombreuses remarques de nos lecteurs, nous avons décidé de réserver les commentaires à notre communauté d’abonnés.

Damien Bancal

Damien Bancal est journaliste. Il est spécialisé sur les questions de piratage informatique, et tient depuis dix-huit ans le blog Zataz dédié à ces questions.

Voir la bio en entier

Je m'abonne
à partir de 4,90€