Lilapuce
 

exercices (lundi 18 juin 2012)

Phishing : identifier un message frauduleux

Voici, en guise d’exercice, un exemple caractéristique de phishing (hameçonnage en français). Dans notre cas, il s’agit d’un message électronique se faisant passer pour Paypal, le système de paiement en ligne en usage, notamment sur eBay (voir support).

Principes de base du phishing

Rappelons que le phishing consiste à extirper les informations confidentielles d’un internaute afin d’usurper l’identité de ce dernier et d’accéder à la gestion de son compte bancaire.

Le point de départ de l’arnaque suppose que le destinataire soit utilisateur du service présenté comme étant l’émetteur du message. Mais ce n’est pas suffisant. Le détournement, en réalité, ne repose que sur la naïveté et le manque de vigilance de « la victime ».

Pour éviter de s’exposer à de tels risques, l’une des solutions pourrait consister à ne jamais utiliser de système de paiement en ligne ou de gestion électronique de compte bancaire. Toutefois, dans la pratique, il n’est pas toujours très aisé de mettre en application cette forme d’abstinence. On peut le regretter, mais la gestion en ligne de comptes bancaires ou le paiement électronique de certains services tend à se généraliser.

Par ailleurs, quelle que soit la décision individuelle quant à l’usage de services bancaires en ligne, il est préférable de contourner le risque, en toute connaissance de cause, plutôt que de le subir, y compris par la fuite.

Le moteur essentiel de l’arnaque repose sur la méconnaissance d’un certain nombre de contrôles élémentaires – techniques et logiques - qu’il est pourtant assez facile d’apprendre.

Profitons donc de cet exemple pour passer en revue quelques points essentiels qu’il est préférable de garder à l’esprit avant de cliquer sur un lien hypertexte présenté sur un e-mail..

Est-il normal que votre banque s’adresse à vous en anglais ?

Il n’y a aucune raison que des entreprises ou des services dont vous êtes client, et qui s’adressent à vous de façon ordinaire en français, se mettent subitement à vous envoyer des messages en anglais.

Voilà donc qui devrait d’office éveiller votre suspicion.

Mais attention cela ne suffit pas, car il se pourrait bien que les escrocs parlent le français.

Est-il normal que votre banque s’adresse à vous en charabia ?

Exemple :

Ne me dites pas que vous pensez sérieusement que c’est réellement votre banque qui vous a effectivement envoyé ça.

Ah mais le Dircom ne s’en remettrait pas. Et pour cause : il consacre tant d’énergie (et de fortunes) à peaufiner ses campagnes marketing qu’il s’étranglerait rien qu’à envisager l’idée qu’il soit possible (et même, peut-être sérieusement, envisageable) que vous puissiez confondre ce vulgaire... machin avec...

Ah non, pas possible.

Mais attention cela ne suffit pas, car il se pourrait bien que les escrocs soient cultivés.

Ne jamais répondre à une sollicitation de connexion confidentielle

Ne répondez pas aux injonctions.

Ne cliquez pas.

Vous êtes censés connaître l’adresse URL de votre banque. C’est à vous de lancer, le cas échéant, votre navigateur et de taper cette adresse (ou d’utiliser un marque page). La connexion sur un compte confidentiel par Internet doit, en toutes circonstances, être guidée par une démarche volontaire.

Vous ne devez donc, en aucun cas, vous connecter sur ce type de compte à partir d’une sollicitation directe, par lien hypertexte.

La principale force du phishing (mais aussi sa faille) repose là-dessus : comme nous le verrons, il est très facile de falsifier toutes les informations concernant l’expéditeur d’un message. A partir de ce moment là, le lien hypertexte contenu dans un message électronique peut vous envoyer sur n’importe quelle page bidon se faisant passer pour votre banque et obtenir ainsi vos codes confidentiels.

De plus, il faut savoir que votre banque ne doit jamais vous demander de vous connecter sur votre compte confidentiel ; pas plus que n’avez à lui communiquer, d’ailleurs, vos codes de carte bleue.

Ne jamais cliquer sur les liens provenant de courriers douteux

Quelle que soit la nature du message reçu – spam, hoax, phishing, sollicitations diverses – il est toujours préférable de ne jamais cliquer sur les liens figurant dans les messages dont vous ne connaissez pas la provenance. La règle vaut d’autant plus si l’on vous propose de vous désabonner. En réalité vous ne feriez que confirmer « qu’il y a bien quelqu’un derrière l’adresse ».

En cliquant sur les liens de vos messages douteux vous ouvrez une fenêtre du navigateur et bien souvent, il est déjà trop tard !

Ne jamais se fier a priori à l’adresse « expéditeur »

Ci-dessous, cette vue représente l’objet du délit. Il s’agit d’n message qui, au premier abord, a tout l’air de provenir de Paypal.

Eh bien non.

Le mécanisme de l’escroquerie, basée sur la falsification, commence ici : l’adresse de l’expéditeur, affichée dans le champ De (en haut à droite) est complètement bidon. La falsification ne signifie que cette adresse soit fausse, mais plutôt qu’elle ne correspond pas à l’adresse réelle de l’expéditeur.

Il est extrêmement simple de falsifier l’adresse de messagerie électronique de l’émetteur d’un message. Aucune procédure technique n’oblige à indiquer la réalité lors du paramétrage du compte.

De plus, même si cela n’a aucun rapport avec notre sujet, il faut savoir que certains virus peuvent infecter la messagerie de votre meilleur ami et vous envoyer une infection, à son insu, en utilisant la procédure ordinaire d’expédition de message électronique.

Donc : méfiance, a priori, quel que soit le message et l’expéditeur.

En-tête complet du message électronique

Voici pourquoi il est indispensable, si vous avez le moindre doute sur la provenance d’un message, d’afficher l’en-tête complet du message afin d’observer les indications concernant l’expéditeur et les serveurs de messagerie.

Ici, on peut constater que le champ De correspond à une adresse falsifiée ; la même que celle qui apparaît dans le corps du message.

Le champ Return (ainsi que Return path) confirme l’embrouille : en guise d’adresse de réponse, on trouve une adresse complètement bidon n’ayant aucune correspondance avec la précédente. Tout porte à croire qu’il s’agit vraisemblablement, là aussi, d’une usurpation.

J’ai volontairement masqué, sur cette vue, l’adresse du destinataire affichée dans le champ Pour. Sachez juste qu’elle ne correspondait nullement à la mienne. Là encore, on peut indiquer n’importe quoi : vous savez, par contre, qu’il est possible de faire figurer les vraies adresses des destinataires dans le champ « Copie cachée ».

Les champs Received indiquent les différents serveurs par lesquels le message a été acheminé pour m’arriver. Le troisième et le quatrième comportent des informations permettant d’identifier la provenance supposée du message. On y trouve la même adresse IP. C’est à partir de cette information qu’une plainte peut être menée pour remonter jusqu’à la source du phishing.

Pour information, si nous devions nous transformer en apprentis enquêteurs (pour ma part, j’ai d’autres priorités), il faudrait certainement remonter un peu plus loin que d’identifier simplement le domaine par un service de type Whois ; il est probable que cela nous conduirait à un service internet (hébergeur) utilisé de façon frauduleuse.

Voici encore une autre façon d’identifier facilement « l’entourloupe » : pointez sans cliquer ! sur le lien et regardez l’adresse du lien dans la barre d’état de votre client de messagerie (merci Thunderbird).

Observez précisément l’adresse : on y trouve bien l’expression paypal mais par l’emplacement de cette expression dans l’adresse, on voit immédiatement qu’il ne s’agit pas du domaine Paypal, mais du sous-domaine d’un autre domaine.

En fait, techniquement, rien n’empêche de créer, sur le serveur d’hébergement, n’importe quel sous-domaine d’un domaine existant.

Ainsi nous pouvons vérifier l’adresse réelle du lien et constater qu’elle ne correspond pas avec celle indiquée dans l’en-tête. Rien que ces indices devraient suffire déjà pour considérer qu’il s’agit d’un message frauduleux.

Nous n’avons pas été obligés, pour cela, d’afficher l’adresse dans le navigateur : mieux vaut s’abstenir de tout risque.

Recouper l’information

Par contre, rien ne vous empêche de recouper l’information, de la façon suivante : sélectionnez une partie du message, en prenant garde de ne pas cliquer sur d’éventuels liens hypertextes, et copiez votre sélection.

Ouvrez ensuite votre navigateur et collez votre sélection dans le champ de recherche.

Lancez la recherche.

Il est probable que les résultats ne devraient laisser aucun doute sur le type de provenance du message reçu.

De retour sur votre messagerie, activez la fonction « indésirables » afin de vous débarrasser définitivement de ce mail.

Pensez à paramétrer votre client de messagerie pour supprimer automatiquement les indésirables (sur Thunderbird : menu Outils/ Options / Indésirables).

Le protocole HTTPS

En complément, avant de saisir tout code confidentiel sur votre navigateur, voici quelques rappels permettant de vérifier si la page affichée correspond au site souhaité et s’il s’agit bien d’un site sécurisé.

Petit conseil : utilisez de préférence Firefox !

Prenons l’exemple de Paypal, puisqu’il en était question dans notre exemple.

Il vous suffit de taper dans la barre d’adresse l’information suivante :

paypal.com

Vous devriez alors avoir une redirection automatique qui vous conduit sur un résultat proche de ce qui s’affiche ci-dessous.

Plutôt que de s’attacher au contenu de la page proprement dite, vous devez, avant tout, observer au moins deux indications essentielles :

- Le contenu de la barre d’adresse, qui doit comporter le protocole https, relatif à une connexion cryptée.

- Le symbole du cadenas, qui confirme la présence de ce protocole sécurisé.

Ci-dessous, grâce à l’indication https on peut distinguer, sans ambigüité, que la page est sécurisée. Cela signifie que l’information saisie dans la page sera cryptée avant d’arriver à destination.

Ce n’est pas une sécurité absolue, mais c’est le minimum requis. Toutes vos transactions confidentielles, notamment celles concernant votre compte bancaire, doivent impérativement être affichées avec ce protocole.

En cliquant sur le cartouche, placé à gauche de l’adresse, Firefox 3 affiche dans un volet, qu’il s’agit d’un protocole sécurisé : une fois qu’on le sait, il faut vraiment le vouloir pour le rater.

Le symbole du cadenas est répété, en bas de la fenêtre de Firefox, dans la barre d’état à droite.

Et même si vous utilisez un autre navigateur que Firefox, vous devriez normalement arriver à repérer si votre page est sécurisée :

Ci-dessous, par exemple, une fausse page de Paypal, avec un formulaire :

On constate tout de suite, en regardant la barre d’adresse, qu’il s’agit d’un cas de phishing : nom de domaine complètement fantaisiste et absence de protocole sécurisé :

Attention, toutefois, à ne pas se laisser abuser par la simple présence d’un protocole sécurisé (https). Cela ne signifie en rien qu’il s’agit d’un site de confiance.

Le protocole https, rappelons-le, est juste un moyen technique permettant de crypter la transaction entre le client et le serveur. Ce moyen technique est donc disponible pour tout à chacun et donc, bien évidemment, aux auteurs de sites de phishing.

Regardez, par exemple, cet autre faux site Paypal :

Nous trouvons la présence du fameux protocole https.

Faut-il, pour autant, fournir à ce site les informations demandées ?

Bien sûr que non.

Ce domaine ne porte nullement à confusion ; il ne s’agit pas de Paypal. C’est l’évidence même :

Ce que confirme d’ailleurs cette information-ci :

Vous pensez sérieusement qu’un site tel que Paypal puisse être inconnu ?

Moyens logiciels complémentaires pour se protéger

Si vous avez lu ce qui précède, vous devriez, à présent, pouvoir identifier assez rapidement une alerte frauduleuse reçue par votre messagerie électronique.

Il me semble que la détection des procédures de phishing nécessitent, en définitive, de mobiliser assez peu de ressources : un poil de connaissance technique et un minimum de bon sens, à défaut de sens critique.

Il est possible que je me trompe, mais je persiste à considérer que votre principale protection contre le phishing repose avant tout sur votre capacité à réfléchir avant de cliquer.

Néanmoins, comme personne n’est infaillible, il n’est pas inutile de présenter quelques solutions logicielles complémentaires qui pourront vous aider, ainsi que vos proches, à renforcer votre protection humaine contre les risques de détournement frauduleux.

En premier lieu, le choix de votre logiciel de messagerie ainsi que celui de votre navigateur pourra être assez déterminant.

La fondation Mozilla présente, depuis assez longtemps, des solutions logicielles qui intègrent ce type de protection contre le phishing.

C’est le cas, en particulier, du navigateur Firefox qui, dès la version 3 (dès 2007), annonçait un dispositif de protection contre le détournement frauduleux :

Voici, par exemple, ce que Firefox affichait, en juillet 2009, quand on lui demandait d’ouvrir ce site de phishing :

Et voici, ce qui s’affichait à l’écran, pour les autres navigateurs :

Internet Explorer

Safari

Google Chrome

Opéra

Voici la preuve, qu’à cette époque, Firefox présentait incontestablement une meilleure protection contre le phishing.

Il est tout aussi incontestable, que le même navigateur Firefox ne protégeait pas, de la même façon, contre tous les sites frauduleux (les captures d’écran présentées au début du présent tuto en sont la preuve).

De plus, depuis cette époque, les autres navigateurs se sont améliorés sur ce point ; mais force est de reconnaître que le logiciel de la fondation Mozilla, permet, parce qu’il s’agit d’un logiciel libre, de mieux traiter cette question du risque détournement par les sites frauduleux et, ceci, pour au moins deux raisons :

- Un logiciel libre est mis à disposition du public, sans restriction, qu’il s’agisse du programme finalisé ou du code source. Utilisateurs et programmeurs peuvent ainsi unir leur expérience pour améliorer le programme à tous les stades d’élaboration. Cela permet de réagir beaucoup plus rapidement lorsque, par exemple, une faille de sécurité est repérée.

- Firefox, comme c’est souvent le cas pour les logiciels libres, bénéficie d’une importante communauté de développeurs qui conçoivent des extensions permettant d’ajouter des fonctionnalités au programme.

En particulier, il existe un certain nombre d’extensions spécialisées dans le domaine du phishing.

L’installation d’une extension « anti-phishing » à Firefox représente une solution logicielle peu gourmande en ressource (contrairement aux suites de sécurité) qui pourrait encore améliorer votre protection contre ce type de problème particulier.

Pour cela il vous suffit de vous rendre sur la page des extensions de Firefox :

Puis de taper dans le champ de recherche du site le mot-clé phishing.

Vous devriez trouver plusieurs résultats :

Pour installer une extension, il suffit de cliquer sur le bouton vert « Add to Firefox » placé à droite de celle que vous avez choisie (reportez-vous au tuto, au besoin).

Voici, toujours, à titre d’exemple, comment la présence d’un site malveillant sera signalée par ce type d’extension.

Ci-dessous, l’extension de Netcraft (une barre additionnelle) affiche la mention « Risk Roting » entièrement souligné de rouge ; ceci afin de vous alerter que ce site est suspect, compte tenu de son niveau de fréquentation connu :

Voici, à titre indicatif, l’évaluation porté par Netcraft sur un site relativement modeste (quelques milliers de visites par mois depuis quelques années) ; la barre est presque entièrement verte :

Et voici ce qui nous est rapporté par un site bénéficiant d’une plus grande notoriété :

De plus, comme nous l’avons vu plus haut avec Firefox, l’extension bloque même l’accès à la page s’il s’avère qu’il s’agit sans aucune ambiguïté d’un site frauduleux :

Car, l’utilisateur de cette extension peut à tout moment soumettre une adresse douteuse afin qu’elle soit étudiée et, si nécessaire, répertoriée comme frauduleuse sur le réseau :

C’est à partir de ce type de rapports fournis par les utilisateurs (comme le sont également les signatures de virus) que sont mis à jour des ressources partagées permettant de mieux identifier les risques.

Le logiciel de messagerie

De même que le navigateur Firefox présente une protection intégrée minimale aux risques de phishing, le logiciel de messagerie électronique de la fondation Mozilla, Thunderdird, permet de se prémunir de ce type de risque, dès la réception du message frauduleux.

Voici, à titre d’exemple, l’alerte proposée par Thunderbird, après avoir cliqué sur le lien de ce message malveillant (en septembre 2010) :

En complément, je vous recommande cet autre support, un pot pourri permettant de rassembler quelques exemples significatifs de messages frauduleux.