Lilapuce
 

exercices (lundi 18 juin 2012)

Phishing : identifier un message frauduleux

Voici, en guise d’exercice, des exemples caractéristiques de phishing (hameçonnage en français).

Principes de base du phishing

Rappelons que le phishing consiste à extirper les informations confidentielles d’un internaute afin d’usurper l’identité de ce dernier et d’accéder à la gestion de son compte bancaire.

Le point de départ de l’arnaque suppose que le destinataire soit utilisateur du service présenté comme étant l’émetteur du message. Mais ce n’est pas suffisant. Le détournement, en réalité, ne repose que sur la naïveté et le manque de vigilance de « la victime ».

Pour éviter de s’exposer à de tels risques, l’une des solutions pourrait consister à ne jamais utiliser de système de paiement en ligne ou de gestion électronique de compte bancaire. Toutefois, dans la pratique, il n’est pas toujours très aisé de mettre en application cette forme d’abstinence. On peut le regretter, mais la gestion en ligne de comptes bancaires ou le paiement électronique de certains services tend à se généraliser.

Par ailleurs, quelle que soit la décision individuelle quant à l’usage de services bancaires en ligne, il est préférable de contourner le risque, en toute connaissance de cause, plutôt que de le subir, y compris par la fuite.

Le moteur essentiel de l’arnaque repose sur la méconnaissance d’un certain nombre de contrôles élémentaires – techniques et logiques - qu’il est pourtant assez facile d’apprendre.

Profitons donc de cet exemple pour passer en revue quelques points essentiels qu’il est préférable de garder à l’esprit avant de cliquer sur un lien hypertexte présenté sur un e-mail..

Est-il normal que votre banque s’adresse à vous en anglais ?

Il n’y a aucune raison que des entreprises ou des services dont vous êtes client, et qui s’adressent à vous de façon ordinaire en français, se mettent subitement à vous envoyer des messages en anglais.

Voilà donc qui devrait d’office éveiller votre suspicion.

Mais attention cela ne suffit pas, car il se pourrait bien que les escrocs parlent le français.

Est-il normal que votre banque s’adresse à vous en charabia ?

Exemple :

Ne me dites pas que vous pensez sérieusement que c’est réellement votre banque qui vous a effectivement envoyé ça.

Ah mais le Dircom ne s’en remettrait pas. Et pour cause : il consacre tant d’énergie (et de fortunes) à peaufiner ses campagnes marketing qu’il s’étranglerait rien qu’à envisager l’idée qu’il soit possible (et même, peut-être sérieusement, envisageable) que vous puissiez confondre ce vulgaire... machin avec...

Ah non, pas possible.

Mais attention cela ne suffit pas, car il se pourrait bien que les escrocs soient cultivés.

Ne jamais répondre à une sollicitation de connexion confidentielle

Ne répondez pas aux injonctions.

Ne cliquez pas.

Vous êtes censés connaître l’adresse URL de votre banque. C’est à vous de lancer, le cas échéant, votre navigateur et de taper cette adresse (ou d’utiliser un marque page). La connexion sur un compte confidentiel par Internet doit, en toutes circonstances, être guidée par une démarche volontaire.

Vous ne devez donc, en aucun cas, vous connecter sur ce type de compte à partir d’une sollicitation directe, par lien hypertexte.

La principale force du phishing (mais aussi sa faille) repose là-dessus : comme nous le verrons, il est très facile de falsifier toutes les informations concernant l’expéditeur d’un message. A partir de ce moment là, le lien hypertexte contenu dans un message électronique peut vous envoyer sur n’importe quelle page bidon se faisant passer pour votre banque et obtenir ainsi vos codes confidentiels.

De plus, il faut savoir que votre banque ne doit jamais vous demander de vous connecter sur votre compte confidentiel ; pas plus que n’avez à lui communiquer, d’ailleurs, vos codes de carte bleue.

Ne jamais cliquer sur les liens provenant de courriers douteux

Quelle que soit la nature du message reçu – spam, hoax, phishing, sollicitations diverses – il est toujours préférable de ne jamais cliquer sur les liens figurant dans les messages dont vous ne connaissez pas la provenance. La règle vaut d’autant plus si l’on vous propose de vous désabonner. En réalité vous ne feriez que confirmer « qu’il y a bien quelqu’un derrière l’adresse ».

En cliquant sur les liens de vos messages douteux vous ouvrez une fenêtre du navigateur et bien souvent, il est déjà trop tard !

Toujours vérifier le lien intégré dans un mail avant de cliquer dessus

Dès lors que votre matériel informatique vous propose un dispositif de pointage tel qu’une souris ou un pavé tactile - ce qui n’est pas le cas d’un smartphone ou d’une tablette - vous aurez toujours la possibilité de vérifier l’adresse vers lequel pointe un lien hypertexte.

Autrement dit, dans ces conditions, vous pouvez toujours regarder, avant de cliquer, pour savoir si la page web qui s’ouvrirait si vous cliquiez sur un lien correspond bien à ce qui indiqué sur le lien.

La vue ci-dessous nous permettra d’illustrer l’explication :

En premier lieu, on constate, en haut que l’adresse de messagerie électronique de l’expéditeur n’est pas crédible. Orange, n’envoie jamais de mails dans lequel n’apparaît pas le domaine "orange.fr" dans le champ de l’expéditeur.

Mais là n’est pas, en fait, la question, car, comme je l’indique plus bas dans cet exercice, a contrario, il est possible d’afficher dans un en-tête simplifié, tel que celui-ci, une adresse mail d’expéditeur qui ne correspond pas à celle qui est réellement utilisée.

Considérons que l’escroquerie est ici assez grossière et que cela peut vous aider à identifier l’arnaque, mais que ce n’est pas suffisant.

Venons-en au moyen réellement fiable qui vous permettra toujours de bien identifier la tentative frauduleuse :

Ce message comporte, dans son corps, un lien qui peut faire croire qu’il conduit au site d’Orange. Or en pointant le lien - attention, très important : sans le cliquer - à l’aide de la souris on s’aperçoit qu’il n’en est rien : regardez en bas, à gauche !

La barre d’état du navigateur ou, tel qu’ici, la barre d’état du client de messagerie est justement prévue pour indiquer cette information essentielle : l’adresse URL du lien hypertexte :

Car, ce que beaucoup de personnes ignorent, c’est qu’il est techniquement possible d’indiquer dans le message électronique (ou la page web) un lien hypertexte qui présente une toute autre adresse de site web que celle qui est affichée et d’envoyer ainsi le récepteur du message sur un site contrefait.

Il est techniquement enfantin de créer un lien hypertexte activable sur n’importe quel contenu (un texte, une image, n’importe quelle adresse de site web, etc.) et il n’est pas très compliqué de faire une copie de n’importe quel site officiel sur un autre serveur.

L’essentiel du piège du phishing repose sur ces méconnaissances techniques de la personne qui va se faire gruger ou, pire, sur l’inattention de la personne « qui sait mais qui clique sans prendre garde » !

Est-ce à dire qu’il est impossible de vérifier la validité d’un lien ou d’un site ?

Eh bien non justement : le seul moyen de vérification - et il n’y en a aucun autre - c’est de vérifier l’adresse URL et de savoir, dans cette adresse, où se trouve le domaine, car, à moins que le site soit piraté (ce qui est quand même rare pour une banque ou un fournisseur d’accès), on ne pourra jamais tricher si le nom de domaine affiché dans la barre d’adresse est bien le nom de domaine officiel de l’entreprise ou de l’entité présentée sur le site.

La question des URL et des noms de domaine est détaillée sur un autre support maison.

Autrement dit, l’adresse "https://www.orange.fr/ " est le seul indicateur valide - avec le domaine "orange.fr", affiché en noir et en gras dans la barre d’adresse de votre navigateur - pour savoir si vous êtes bien sur le site d’Orange.

La connaissance technique élémentaire - ce que j’appelle aussi la culture numérique pratique de base - est primordiale pour se protéger et pour éviter de se faire rouler dans la farine par tous les parasites qui ont colonisé Internet.

Car, quelle qu’en soit la variété ; les parasites grouillent sur le web : grosses pointures industrielles, petits bras, institutions pas toujours respectueuses, sectes, mafias...

Les intentions malveillantes font partie du paysage et la principale question que vous devez vous poser n’est pas le « pourquoi ? » mais le « comment ? ».

Qu’elles soient plus ou moins compréhensibles n’y changent rien à l’affaire. Vous devez savoir que ces intentions malveillantes existent et vous devez savoir comment, a minima, vous en protéger.

En définitive, vous êtes vous-même votre principal moteur de protection, même si vous n’êtes pas forcément vous-même la seule solution pour vous prémunir de tous les risques.

Cette connaissance doit être acquise bien avant d’envisager d’installer le moindre logiciel de sécurité. J’y reviens plus bas, ainsi que sur d’autres supports de lilapuce.

Ne jamais se fier a priori à l’adresse « expéditeur »

Ci-dessous, cette vue représente l’objet du délit. Il s’agit d’un message qui, au premier abord, a tout l’air de provenir de Paypal.

Eh bien non.

Le mécanisme de l’escroquerie, basée sur la falsification, commence ici : l’adresse de l’expéditeur, affichée dans le champ De (en haut à droite) est complètement bidon.

La falsification ne signifie que cette adresse soit fausse, mais plutôt qu’elle ne correspond pas à l’adresse réelle de l’expéditeur.

Comme je l’indiquais plus haut, il est extrêmement simple de falsifier l’adresse de messagerie électronique de l’émetteur d’un message. Aucune procédure technique n’oblige à indiquer la réalité lors du paramétrage du compte, sur un logiciel de messagerie électronique (un « client »).

En fait, il faut distinguer le paramètre identifiant du client de messagerie et le paramètre de connexion au serveur de messagerie.

L’information de l’identifiant du compte mail, sur le client de messagerie électronique, est renseignée par l’utilisateur avec n’importe quelle chaîne de caractère : un nom, un prénom, un pseudo et donc, aussi, une adresse de mail fantaisiste ou même une adresse qui est involontairement erronée.

Le paramètre du compte de messagerie électronique, traité par le serveur de messagerie électronique, par contre ne peut pas être falsifié, car il ne peut comporter qu’une adresse valide pour être utilisé, notamment pour expédier des mails... éventuellement, frauduleux (même s’il est possible de masquer plus ou moins efficacement cette véritable adresse email, utilisée pour envoyer les messages).

Le problème, c’est que, dans les conditions ordinaires d’utilisation de messagerie électroniques, l’interface du programme n’affiche de façon la plus visible que l’information de l’identifiant du compte donnée par le client de messagerie.

Voilà pourquoi il ne faut pas se fier, par principe, sur ce qui est indiqué dans ce champ.

Ceci étant,nous sommes bien d’accord que rien n’empêche d’indiquer une information valide pour des conditions ordinaires de communication !

De plus, même si cela n’a aucun rapport avec notre sujet, il faut savoir que certains virus peuvent infecter la messagerie de votre meilleur ami et c’est ainsi qu’il vous enverra une infection, à son insu, en utilisant la procédure ordinaire d’expédition de message électronique.

Donc : mieux vaut même être toujours méfiant.

Toujours méfiant, d’emblée, quand on ouvre sa messagerie, quel que soit le message, quel que soit l’expéditeur, cela ne veut pas dire qu’il ne faut pas utiliser sa messagerie.

Non, c’est comme lorsque vous traversez la rue : mieux vaut prendre les passages piétons, passer au vert, à défaut regarder des deux côtés avant d’avancer, etc. Cela fait partie des choses que l’on apprend aux enfants, non ?

En-tête complet du message électronique

Voici pourquoi il est indispensable, si vous avez le moindre doute sur la provenance d’un message, d’afficher l’en-tête complet du message afin d’observer les indications concernant l’expéditeur et les serveurs de messagerie.

Ici, on peut constater que le champ De correspond à une adresse falsifiée ; la même que celle qui apparaît dans le corps du message.

Le champ Return (ainsi que Return path) confirme l’embrouille : en guise d’adresse de réponse, on trouve une adresse complètement bidon n’ayant aucune correspondance avec la précédente. Tout porte à croire qu’il s’agit vraisemblablement, là aussi, d’une usurpation.

J’ai volontairement masqué, sur cette vue, l’adresse du destinataire affichée dans le champ Pour. Sachez juste qu’elle ne correspondait nullement à la mienne. Là encore, on peut indiquer n’importe quoi : vous savez, par contre, qu’il est possible de faire figurer les vraies adresses des destinataires dans le champ « Copie cachée ».

Les champs Received indiquent les différents serveurs par lesquels le message a été acheminé pour m’arriver. Le troisième et le quatrième comportent des informations permettant d’identifier la provenance supposée du message. On y trouve la même adresse IP. C’est à partir de cette information qu’une plainte peut être menée pour remonter jusqu’à la source du phishing.

Pour information, si nous devions nous transformer en apprentis enquêteurs (pour ma part, j’ai d’autres priorités), il faudrait certainement remonter un peu plus loin que d’identifier simplement le domaine par un service de type Whois ; il est probable que cela nous conduirait à un service internet (hébergeur) utilisé de façon frauduleuse.

Tel que je l’ai indiqué plus haut, je vous rappelle ici l’autre façon d’identifier facilement « l’entourloupe » : pointez sans cliquer ! sur le lien et regardez l’adresse du lien dans la barre d’état de votre client de messagerie (merci Thunderbird).

Observez précisément l’adresse : on y trouve bien l’expression paypal mais par l’emplacement de cette expression dans l’adresse, on voit immédiatement qu’il ne s’agit pas du domaine Paypal, mais du sous-domaine d’un autre domaine.

En fait, techniquement, rien n’empêche de créer, sur le serveur d’hébergement, n’importe quel sous-domaine d’un domaine existant (voir ce support maison pour la question des domaine et sous-domaines).

Ainsi nous pouvons vérifier l’adresse réelle du lien et constater qu’elle ne correspond pas avec celle indiquée dans l’en-tête. Rien que ces indices devraient suffire déjà pour considérer qu’il s’agit d’un message frauduleux.

Nous n’avons pas été obligés, pour cela, d’afficher l’adresse dans le navigateur : mieux vaut s’abstenir de tout risque.

Recouper l’information

Par contre, rien ne vous empêche de recouper l’information, de la façon suivante : sélectionnez une partie du message, en prenant garde de ne pas cliquer sur d’éventuels liens hypertextes, et copiez votre sélection.

Ouvrez ensuite votre navigateur et collez votre sélection dans le champ de recherche.

Lancez la recherche.

Il est probable que les résultats ne devraient laisser aucun doute sur le type de provenance du message reçu.

De retour sur votre messagerie, activez la fonction « indésirables » afin de vous débarrasser définitivement de ce mail.

Pensez à paramétrer votre client de messagerie pour supprimer automatiquement les indésirables (sur Thunderbird : menu Outils/ Options / Indésirables).

Le protocole HTTPS

En complément, avant de saisir tout code confidentiel sur votre navigateur, voici quelques rappels permettant de vérifier si la page affichée correspond au site souhaité et s’il s’agit bien d’un site sécurisé.

Petit conseil : utilisez de préférence Firefox !

Prenons l’exemple de Paypal, puisqu’il en était question dans notre exemple.

Il vous suffit de taper dans la barre d’adresse l’information suivante :

paypal.com

Vous devriez alors avoir une redirection automatique qui vous conduit sur un résultat proche de ce qui s’affiche ci-dessous.

Plutôt que de s’attacher au contenu de la page proprement dite, vous devez, avant tout, observer au moins deux indications essentielles :

- Le contenu de la barre d’adresse, qui doit comporter le protocole https, relatif à une connexion cryptée.

- Le symbole du cadenas, qui confirme la présence de ce protocole sécurisé.

Ci-dessous, grâce à l’indication https on peut distinguer, sans ambigüité, que la page est sécurisée. Cela signifie que l’information saisie dans la page sera cryptée avant d’arriver à destination.

Ce n’est pas une sécurité absolue, mais c’est le minimum requis. Toutes vos transactions confidentielles, notamment celles concernant votre compte bancaire, doivent impérativement être affichées avec ce protocole.

En cliquant sur le cartouche, placé à gauche de l’adresse, Firefox 3 affiche dans un volet, qu’il s’agit d’un protocole sécurisé : une fois qu’on le sait, il faut vraiment le vouloir pour le rater.

Le symbole du cadenas est répété, en bas de la fenêtre de Firefox, dans la barre d’état à droite.

Et même si vous utilisez un autre navigateur que Firefox, vous devriez normalement arriver à repérer si votre page est sécurisée :

Ci-dessous, par exemple, une fausse page de Paypal, avec un formulaire :

On constate tout de suite, en regardant la barre d’adresse, qu’il s’agit d’un cas de phishing : nom de domaine complètement fantaisiste et absence de protocole sécurisé :

Attention, toutefois, à ne pas se laisser abuser par la simple présence d’un protocole sécurisé (https). Cela ne signifie en rien qu’il s’agit d’un site de confiance.

Le protocole https, rappelons-le, est juste un moyen technique permettant de crypter la transaction entre le client et le serveur. Ce moyen technique est donc disponible pour tout à chacun et donc, bien évidemment, aux auteurs de sites de phishing.

Regardez, par exemple, cet autre faux site Paypal :

Nous trouvons la présence du fameux protocole https.

Faut-il, pour autant, fournir à ce site les informations demandées ?

Bien sûr que non.

Ce domaine ne porte nullement à confusion ; il ne s’agit pas de Paypal. C’est l’évidence même :

Ce que confirme d’ailleurs cette information-ci :

Vous pensez sérieusement qu’un site tel que Paypal puisse être inconnu ?

Moyens logiciels complémentaires pour se protéger

Si vous avez lu ce qui précède, vous devriez, à présent, pouvoir identifier assez rapidement une alerte frauduleuse reçue par votre messagerie électronique.

Il me semble que la détection des procédures de phishing nécessitent, en définitive, de mobiliser assez peu de ressources : un poil de connaissance technique et un minimum de bon sens, à défaut de sens critique.

Il est possible que je me trompe, mais je persiste à considérer que votre principale protection contre le phishing repose avant tout sur votre capacité à réfléchir avant de cliquer.

Néanmoins, comme personne n’est infaillible, il n’est pas inutile de présenter quelques solutions logicielles complémentaires qui pourront vous aider, ainsi que vos proches, à renforcer votre protection humaine contre les risques de détournement frauduleux.

En premier lieu, le choix de votre logiciel de messagerie ainsi que celui de votre navigateur pourra être assez déterminant.

La fondation Mozilla présente, depuis assez longtemps, des solutions logicielles qui intègrent ce type de protection contre le phishing.

C’est le cas, en particulier, du navigateur Firefox qui, dès la version 3 (dès 2007), annonçait un dispositif de protection contre le détournement frauduleux :

Voici, par exemple, ce que Firefox affichait, en juillet 2009, quand on lui demandait d’ouvrir ce site de phishing :

Et voici, ce qui s’affichait à l’écran, pour les autres navigateurs :

Internet Explorer

Safari

Google Chrome

Opéra

Voici la preuve, qu’à cette époque, Firefox présentait incontestablement une meilleure protection contre le phishing.

Il est tout aussi incontestable, que le même navigateur Firefox ne protégeait pas, de la même façon, contre tous les sites frauduleux (les captures d’écran présentées au début du présent tuto en sont la preuve).

De plus, depuis cette époque, les autres navigateurs se sont améliorés sur ce point ; mais force est de reconnaître que le logiciel de la fondation Mozilla, permet, parce qu’il s’agit d’un logiciel libre, de mieux traiter cette question du risque détournement par les sites frauduleux et, ceci, pour au moins deux raisons :

- Un logiciel libre est mis à disposition du public, sans restriction, qu’il s’agisse du programme finalisé ou du code source. Utilisateurs et programmeurs peuvent ainsi unir leur expérience pour améliorer le programme à tous les stades d’élaboration. Cela permet de réagir beaucoup plus rapidement lorsque, par exemple, une faille de sécurité est repérée.

- Firefox, comme c’est souvent le cas pour les logiciels libres, bénéficie d’une importante communauté de développeurs qui conçoivent des extensions permettant d’ajouter des fonctionnalités au programme.

En particulier, il existe un certain nombre d’extensions spécialisées dans le domaine du phishing.

L’installation d’une extension « anti-phishing » à Firefox représente une solution logicielle peu gourmande en ressource (contrairement aux suites de sécurité) qui pourrait encore améliorer votre protection contre ce type de problème particulier.

Pour cela il vous suffit de vous rendre sur la page des extensions de Firefox :

Puis de taper dans le champ de recherche du site le mot-clé phishing.

Vous devriez trouver plusieurs résultats :

Pour installer une extension, il suffit de cliquer sur le bouton vert « Add to Firefox » placé à droite de celle que vous avez choisie (reportez-vous au tuto, au besoin).

Voici, toujours, à titre d’exemple, comment la présence d’un site malveillant sera signalée par ce type d’extension.

Ci-dessous, l’extension de Netcraft (une barre additionnelle) affiche la mention « Risk Roting » entièrement souligné de rouge ; ceci afin de vous alerter que ce site est suspect, compte tenu de son niveau de fréquentation connu :

Voici, à titre indicatif, l’évaluation porté par Netcraft sur un site relativement modeste (quelques milliers de visites par mois depuis quelques années) ; la barre est presque entièrement verte :

Et voici ce qui nous est rapporté par un site bénéficiant d’une plus grande notoriété :

De plus, comme nous l’avons vu plus haut avec Firefox, l’extension bloque même l’accès à la page s’il s’avère qu’il s’agit sans aucune ambiguïté d’un site frauduleux :

Car, l’utilisateur de cette extension peut à tout moment soumettre une adresse douteuse afin qu’elle soit étudiée et, si nécessaire, répertoriée comme frauduleuse sur le réseau :

C’est à partir de ce type de rapports fournis par les utilisateurs (comme le sont également les signatures de virus) que sont mis à jour des ressources partagées permettant de mieux identifier les risques.

Le logiciel de messagerie

De même que le navigateur Firefox présente une protection intégrée minimale aux risques de phishing, le logiciel de messagerie électronique de la fondation Mozilla, Thunderdird, permet de se prémunir de ce type de risque, dès la réception du message frauduleux.

Voici, à titre d’exemple, l’alerte proposée par Thunderbird, après avoir cliqué sur le lien de ce message malveillant (en septembre 2010) :

En complément, je vous recommande cet autre support, un pot pourri permettant de rassembler quelques exemples significatifs de messages frauduleux.