Le phishing pour les nuls : le secret des emails traîtres qui piègent entreprises protégées comme particuliers exposés<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
High-tech
Alors que les mises en garde se multiplient, les hackers se font de plus en plus malins.
Alors que les mises en garde se multiplient, les hackers se font de plus en plus malins.
©http://www.freestockphotos.biz

Les pirates attaquent !

Le phishing pour les nuls : le secret des emails traîtres qui piègent entreprises protégées comme particuliers exposés

Le phishing est un piège courant. Nombreux sont les particuliers et entreprises qui ont reçu des emails pour le moins banals qui cachaient bien leurs intentions. Alors que les mises en garde se multiplient, les hackers se font de plus en plus malins.

Damien Bancal
Damien Bancal

Damien Bancal

Damien Bancal est journaliste. Il est spécialisé sur les questions de piratage informatique, et tient depuis dix-huit ans le blog Zataz dédié à ces questions.

Voir la bio »

Atlantico : Aujourd'hui les hackers redoublent d'ingéniosité pour piéger leurs victimes. Le simple email appelant à un don pour sauver une communauté quelconque est dépassée. Comment les hackers trompent-ils aujourd'hui leurs victimes? Comment les ciblent-elles? Comment arrivent-ils à entre en contact avec elles ?  

Damien Bancal : : Je préfererai le terme de pirate informatique plustôt que celui d'hacker. Pour moi, le hacker est celui qui aide, c'est une sorte cyber citoyen. En ce qui concerne le pirate et ses attaques phishing (hameçonnage) les méthodes pour tromper ses victimes sont très nombreuses. D'abord, du social engineering. Il va étudier sa cible, lui fournir des informations (par courrier électronique) qui auront pour mission de le perturber (par exemple : votre compte bancaire va être fermé) et l'inciter à cliquer sur un lien rapidement (par exemple : vous venez de faire un achat). Il suffit au pirate de placer le logo d'une banque, d'un FAI pour que, malheureusement, beaucoup trop d'internautes tombent dans le piège. J'ai dernièrement animé un atelier pour un grand groupe commercial français. 10% de leurs clients se faisaient piéger par un courriel à leurs couleurs. Par piégés, j'entends qu'ils avaient fourni leurs identifiants de connexion. Selon l'attaque, le pirate va plus ou moins cibler ses victimes. Il existe au marché noir des "packs" qui fournissent des mails visant certaines professions, pays, régions, sexes... D'autres phishing visent la masse. Le pirate diffuse des milliers de mails, comme un filet de pêche, et attend le poisson.

En matière de phishing, qu'est-ce qui différencie un "apprenti" hacker d'un hacker professionnel? Le phishing nécessite-t-il des compétences très avancées ? 

Selon la cible, le phishing peut être très ciblé. Le pirate va travailler sur sa victime. Sa profession, son employeur, les adresses mails de ses collègues, de sa direction. Ses habitudes sociales 2.0 (Facebook, Twitter, Google+, ...). Il va la surveiller sur les réseaux sociaux, les forums. Une fois l'environnement effectué, le pirate réalise littéralement un catalogue traitant de sa cible. Il n'a plus qu'à peaufiner l'attaque. D'abord 2/3 courriels sans intérêts, avec peut-être un lien vers l'entreprise, un article de presse. Le 4ème sera l'attaque. La cible a été "endormie". Pour la grande majorité, pas besoin d'importantes connaissances techniques. Des kits se vendent au marché noir. Il est possible d'en trouver, aussi, gratuitement. Ensuite, soit le pirate est organisé et à des connaissances (des amis qui vont pirater pour lui des sites qui hébergeront la fausse page), soit il va carrément louer un espace qui sera utilisé le temps de l'attaque. Location avec des données bancaires préalablement piratées (achetées, ponctionnées via un autre hameçonnage).

Quel est le but du phishing? Quels types d'informations les hackers souhaitent-ils acquérir ? 

Le principe est simple ! Récupérer un maximum d'informations par la victime. Toutes les données intéressent le pirate. Mots de passe, identités, adresses postales, numéros de téléphones, données bancaires. Attention, le pirate récupère aussi d'autres données sur sa victime quand cette dernière se rend sur la fausse page. Le piégé, sans s'en rendre compte, ni fournir l'information, offre en pâture au pirate son IP, le nom de sa machine et d'autres données que le pirate va ponctionner si, en plus, il a piégé la page piège. C'est pour cela que je déconseille fortement aux internautes de visiter ce genre de page pirate, même pour "voir". Les pirates ont plus d'une lame dans leur couteau Suisse malveillant.

Comment une société et ses employés peuvent-ils se protéger des hackers ?

Par l’éducation et la formation. Les employés, peu importe leur situation hiérarchique, doivent voir, concrètement, le fonctionnement d'une attaque. Qu'elle soit en mode "très ciblée" ou "de masse". Les outils de sécurité sont des alliés précieux (firewall, antivirus, ...) mais ne remplaceront jamais l'interface qui se trouve entre la chaise et le clavier : l'humain. Il existe des ateliers de sensibilisation sur le sujet. Pour autant, l'idée de faire de tous un technicien est illusoire. Il suffit d'inculquer quelques réflexes, du concret, comme celui que je propose via Zataz

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !