Phishing

ÔĽŅ
Phishing

Hameçonnage

Exemple de phishing

L‚Äôhame√ßonnage, appel√© plus couramment phishing, est une technique utilis√©e par des fraudeurs pour obtenir des renseignements personnels dans le but de perp√©trer une usurpation d'identit√©. La technique consiste √† faire croire √† la victime qu'elle s'adresse √† un tiers de confiance ‚ÄĒ banque, administration, etc. ‚ÄĒ afin de lui soutirer des renseignements personnels : mot de passe, num√©ro de carte de cr√©dit, date de naissance, etc. C'est une forme d'attaque informatique reposant sur l'ing√©nierie sociale. L'hame√ßonnage peut se faire par courriel, par des sites internet falsifi√©s ou autres moyens √©lectroniques.

Sommaire

Terminologie

Le terme anglophone phishing s'inspire du terme phreaking : mot-valise de ¬ę phone ¬Ľ et ¬ę freak ¬Ľ. Originellement, le phreaking √©tait un type d'arnaque utilis√© afin de profiter de services t√©l√©phoniques gratuits surtout pr√©sent dans les ann√©es 1970, √† l'√©poque des appareils analogiques.

Le terme aurait √©t√© invent√© par les ¬ę pirates ¬Ľ qui essayaient de voler des comptes AOL. Il serait construit sur l'expression anglaise password harvesting fishing, soit ¬ę p√™che aux mots de passe ¬Ľ. Un attaquant se faisait passer pour un membre de l'√©quipe AOL et envoyait un message instantan√© √† une victime potentielle. Ce message demandait √† la victime d'indiquer son mot de passe, afin de, par exemple, ¬ę v√©rifier son compte AOL ¬Ľ ou ¬ę confirmer ses informations bancaires ¬Ľ. Une fois que la victime avait r√©v√©l√© son mot de passe, l'attaquant pouvait acc√©der au compte et l'utiliser √† des fins malveillantes, comme l'envoi de pourriel.

Hame√ßonnage est un n√©ologisme qu√©b√©cois cr√©√© en 2004[1]. En France, la Commission g√©n√©rale de terminologie et de n√©ologie a choisi ¬ę filoutage ¬Ľ en 2006.

Hameçonnage sur Internet

Les criminels informatiques utilisent généralement l'hameçonnage pour voler de l'argent. Les cibles les plus populaires sont les services bancaires en ligne, et les sites de ventes aux enchères tels que eBay ou Paypal. Les adeptes de l'hameçonnage envoient habituellement des courriels à un grand nombre de victimes potentielles.

Typiquement, les messages ainsi envoyés semblent émaner d'une société digne de confiance et sont formulés de manière à ne pas alarmer le destinataire afin qu'il effectue une action en conséquence. Une approche souvent utilisée est d'indiquer à la victime que son compte a été désactivé à cause d'un problème et que la réactivation ne sera possible qu'en cas d'action de sa part. Le message fournit alors un hyperlien qui dirige l'utilisateur vers une page web qui ressemble à s'y méprendre au vrai site de la société digne de confiance. Arrivé sur cette page trompeuse, l'utilisateur est invité à saisir des informations confidentielles qui sont alors enregistrées par le criminel.

En 2007, ces criminels informatiques ont changé de technique, en utilisant un moyen de piratage appelé attaque de l'homme du milieu pour recueillir les informations confidentielles données par l'internaute sur le site visité.

Il existe différentes variantes à l’hameçonnage. On notera le spear phishing et le in-session phishing qui sont respectivement le hameçonnage ciblé (notamment à l'aide des réseaux sociaux) et le hameçonnage de session (basé sur des pop-up pendant la navigation).

Parades

La v√©rification de l'adresse web dans la barre d'adresse du navigateur web peut ne pas √™tre suffisante pour d√©tecter la supercherie, car certains navigateurs n'emp√™chent pas l'adresse affich√©e √† cet endroit d'√™tre contrefaite[r√©f. n√©cessaire]. Il est toutefois possible d'utiliser la bo√ģte de dialogue ¬ę propri√©t√©s de la page ¬Ľ fournie par le navigateur pour d√©couvrir la v√©ritable adresse de la fausse page.

Une personne contact√©e au sujet d'un compte devant √™tre ¬ę v√©rifi√© ¬Ľ doit chercher √† r√©gler le probl√®me directement avec la soci√©t√© concern√©e ou se rendre sur le site web en tapant manuellement l'adresse dans son navigateur. Il faut savoir que les soci√©t√©s bancaires n'utilisent jamais le courriel pour corriger un probl√®me de s√©curit√© avec l'un de ses clients. En r√®gle g√©n√©rale, il est recommand√© de faire suivre le message suspect √† usurpation ou abuse (par exemple, si l'hame√ßonnage concerne societe.com, ce sera usurpation@societe.com ou abuse@societe.com), ce qui permettra √† la soci√©t√© de faire une enqu√™te.

Il faut √™tre particuli√®rement vigilant lorsque l'on rencontre une adresse contenant le symbole ¬ę @ ¬Ľ, par exemple http://www.mabanque.com@members.unsite.com/. Ce genre d'adresse va essayer de connecter l'internaute en tant qu'utilisateur ¬ę www.mabanque.com ¬Ľ sur le serveur ¬ę members.unsite.com ¬Ľ. Il y a de fortes chances que cela se r√©alise m√™me si l'utilisateur indiqu√© n'existe pas r√©ellement sur le serveur, mais par cette m√©thode la premi√®re partie de l'adresse semble √™tre tout √† fait innocente (www.mabanque.com). De m√™me, certains attaquants utilisent des adresses de sites contenant une faute de frappe, ou bien des sous-domaines, par exemple http://www.mabanque.com.unsite.net/.

Des navigateurs récents, tels que Safari, Firefox, Opera et Internet Explorer 7, possèdent un système permettant d'avertir l'utilisateur du danger et de lui demander s'il veut vraiment naviguer sur de telles adresses douteuses. Netscape 8 intègre également des technologies permettant de tenir à jour une liste noire de sites dangereux de ce type.

Les filtres antipourriels aident aussi à protéger l’utilisateur des criminels informatiques en réduisant le nombre de courriels que les utilisateurs reçoivent et qui peuvent être de l'hameçonnage. Le logiciel client de messagerie Mozilla Thunderbird comporte un filtre bayésien très performant (filtre anti-pourriel auto-adaptatif).

Les fraudes concernant les banques en ligne visent √† obtenir l'identifiant et le mot de passe du titulaire d'un compte. Il est alors possible au fraudeur de se connecter sur le site web de la banque et d'effectuer des virements de fonds vers son propre compte. Pour parer √† ce type de fraude, la plupart des sites bancaires en ligne n'autorisent plus l'internaute √† saisir lui-m√™me le compte destinataire du virement[r√©f. n√©cessaire] : il faut, en r√®gle g√©n√©rale, t√©l√©phoner √† un service de la banque qui reste seul habilit√© √† saisir le compte destinataire dans une liste de comptes. La conversation t√©l√©phonique est souvent enregistr√©e et peut alors servir de preuve.[r√©f. n√©cessaire]

D'autres banques utilisent une identification renforcée, qui verrouille l'accès aux virements si l'utilisateur n'indique pas la bonne clé à huit chiffres demandée aléatoirement, parmi les soixante-quatre qu'il possède. Si la clé est la bonne, l'internaute peut effectuer des virements en ligne.

Exemple d'hameçonnage passé

Les attaques par hameçonnage sont le plus souvent dirigées vers les sites sensibles tels que les sites bancaires. Les sites de réseaux sociaux sont aujourd'hui également la cible de ces attaques. Les profils des utilisateurs des réseaux sociaux contiennent de nombreux éléments privés qui permettent aux pirates informatiques de s'insérer dans la vie des personnes ciblées et de réussir à récupérer des informations sensibles. [2]

Voir aussi

Articles connexes

Liens externes

Référence

  1. ‚ÜĎ Office qu√©b√©cois de la langue fran√ßaise ¬ę Les termes hame√ßonnage, hame√ßonnage par courriel, app√Ętage et app√Ętage par courriel ont √©t√© propos√©s par l'Office qu√©b√©cois de la langue fran√ßaise, en avril 2004, pour d√©signer ce concept. Le mot hame√ßonnage, absent des dictionnaires et d'Internet, √©tait potentiellement disponible, du fait de l'existence d'autres mots fran√ßais appartenant √† la m√™me famille s√©mantique : hame√ßon, hame√ßonner et hame√ßonneur. ¬Ľ
  2. ‚ÜĎ http://blogs.orange-business.com/cgi-bin/mt/mt-search.cgi?blog_id=2&tag=reseaux%20sociaux&limit=20
  • Portail de la s√©curit√© informatique Portail de la s√©curit√© informatique

Ce document provient de ¬ę Hame%C3%A7onnage ¬Ľ.

Wikimedia Foundation. 2010.

Contenu soumis à la licence CC-BY-SA. Source : Article Phishing de Wikipédia en français (auteurs)

Regardez d'autres dictionnaires:

  • Phishing ‚ÄĒ [ňąf…™ É…™Ňč] werden Versuche von T√§tern genannt, an Daten eines Internet Benutzers zu gelangen, z. B. √ľber gef√§lschte WWW Adressen, E Mail oder Kurznachrichten, um die Benutzer zu sch√§digen (Kontopl√ľnderung). Der Begriff ist ein englisches Kunstwort ‚Ķ   Deutsch Wikipedia

  • phishing ‚ÄĒ n. Using email and misleading websites to entice users to provide their credit card numbers, bank account numbers, passwords, usernames, and other confidential information in order to use that information for criminal purposes such as theft. The… ‚Ķ   Law dictionary

  • phishing ‚ÄĒ phish‚Äßing [ňąf…™ Ü…™Ňč] noun [uncountable] LAW COMPUTING the criminal activity of using emails or a website to trick people into giving you information such as their bank account number which you can then use to get money or goods phisher noun… ‚Ķ   Financial and business terms

  • Phishing ‚ÄĒ es el acto que consiste en recomendar la visita a una p√°gina web falsa, haciendo creer al visitante que se encuentra en la p√°gina original o copiada. La v√≠a de difusi√≥n m√°s habitual de esta t√©cnica es el correo electr√≥nico, aunque √ļltimamente se… ‚Ķ   Enciclopedia Universal

  • phishing ‚ÄĒ |f√≠chingue| s. m. [Inform√°tica] T√©cnica ou a√ß√£o destinada a obter dados pessoais de outrem atrav√©s de meios inform√°ticos, para os utilizar fraudulentamente. ¬†¬†‚Ä£¬†Etimologia: palavra inglesa, altera√ß√£o de fishing, pesca ‚Ķ   Dicion√°rio da L√≠ngua Portuguesa

  • phishing ‚ÄĒ /fishňąing/ (computing) noun The practice of sending counterfeit email messages in an attempt to get the recipients to divulge confidential information, eg details of bank accounts ORIGIN: Altered form of ‚ÜĎfishing ‚Ķ   Useful english dictionary

  • Phishing ‚ÄĒ In the field of computer security, phishing is the criminally fraudulent process of attempting to acquire sensitive information such as usernames, passwords and credit card details, by masquerading as a trustworthy entity in an electronic… ‚Ķ   Wikipedia

  • Phishing ‚ÄĒ √Čste es un ejemplo de un intento de phishing. Haci√©ndose pasar por un email oficial, trata de enga√Īar a los clientes del banco para que den informaci√≥n acerca de su cuenta con un enlace a la p√°gina ‚Ķ   Wikipedia Espa√Īol

  • phishing ‚ÄĒ (FISH.ing) pp. Creating a replica of an existing Web page to fool a user into submitting personal, financial, or password data. adj. phish v. phisher n. Example Citations: Phishing is the term coined by hackers who imitate legitimate companies in ‚Ķ   New words

  • phishing ‚ÄĒ ‚Ė™ computing ¬†¬†¬†¬†¬†¬†act of sending e mail that purports to be from a reputable source, such as the recipient s bank or credit card provider, and that seeks to acquire personal or financial information. The name derives from the idea of ‚Äúfishing‚ÄĚ… ‚Ķ   Universalium


Share the article and excerpts

Direct link
… Do a right-click on the link above
and select ‚ÄúCopy Link‚ÄĚ

We are using cookies for the best presentation of our site. Continuing to use this site, you agree with this.