Perspectives McAfee sur la sécurité

Meilleures pratiques pour contrer les attaques par phishing

Vous alliez vous jeter à l'eau du commerce électronique et voilà que surgit le requin du phishing — une des techniques d'arnaque par Internet les plus dangereuses au monde.

Le « phishing » consiste à distribuer des e-mails avec des adresses de retour, des liens et des graphismes qui leur donnent une apparence légitime, similaire à celle des messages envoyés par les institutions financières à leurs clients.

Malheureusement, le but de ces e-mails est d'amener l'utilisateur confiant et peu averti à divulguer ses informations personnelles et confidentielles, numéros de comptes, renseignements de carte de crédit et autres. Dès qu'un consommateur a révélé ces informations, les pirates peuvent à loisir usurper son identité et réaliser des transactions frauduleuses en utilisant les données volées.

Ils peuvent également dérober des informations privées d'internautes en les incitant à visiter un site web de phishing ou en installant un logiciel espion sur leur ordinateur, qui transmettra aux indélicats les données saisies lors de connexions à des sites web légitimes.

Des escrocs qui n'épargnent personne

A l'heure actuelle, plus personne n'est à l'abri des méfaits des auteurs de phishing. Des clients de grandes entreprises, d'institutions financières, d'agents d'assurance et d'institutions de crédit et de prêt ont tous été victimes d'attaques par phishing.

Ces pirates ciblent des organisations connues car la plupart des e-mails de phishing sont distribués de façon aléatoire. Leur clientèle étant très vaste, les probabilités sont plus fortes qu'un e-mail frauduleux atteigne la boîte aux lettres d'un de leurs clients.

En fait, des messages de phishing émanant prétendument de la Federal Deposit Insurance Corp. et de l'American Bankers Association ont été reçus par des utilisateurs du monde entier. Même le FBI a été victime du phishing.

Cette menace ne montre aucun signe d'essoufflement. Selon les observations d'une association du secteur, l'« Anti-Phishing Working Group », qui lutte contre le vol d'informations d'identité et les fraudes qui en découlent, pas moins de 176 attaques inédites par phishing ont été signalées en janvier 2004, soit 5,7 nouvelles attaques par jour. En juin 2004, ce nombre avait explosé pour atteindre 1 422 attaques individuelles répertoriées.

Les analystes estiment que près de 5 % des demandes frauduleuses envoyées par e-mail réussissent à recueillir des données confidentielles auprès des destinataires. Les consommateurs ne sont toutefois pas les seuls à subir l'impact des menaces de phishing. L'une des vingt plus grandes banques américaines a reçu près de 90 000 appels téléphoniques par heure après qu'une attaque par phishing l'a paralysée pendant cinq heures.

Plus grave encore, les sociétés qui sont la cible d'attaques par phishing risquent de perdre la confiance de leurs clients internautes. Si une banque devient la cible d'un escroc, il est naturel que ses clients hésitent par la suite à effectuer auprès d'elle des transactions en ligne.

Ne vous laissez pas abuser

A l'heure actuelle, ces auteurs de phishing ont recours à des tactiques de plus en plus sophistiquées, comme les fenêtres pop-up et les faux symboles de cadenas pour abuser des visiteurs peu avertis. Il est néanmoins possible de prendre certaines mesures pour éviter de devenir la cible d'une telle attaque. McAfee recommande aux sociétés de créer (et de communiquer régulièrement) des stratégies de sécurité d'entreprise relatives au contenu des e-mails, pour éviter toute confusion entre le courrier électronique légitime et les messages de phishing.

Une des stratégies consiste, pour une société, à ne jamais demander à ses clients de remplir des formulaires incorporés dans des e-mails. De cette façon, si un client reçoit un e-mail contenant un formulaire, il peut directement identifier ce message comme étant une attaque par phishing.

Ensuite, les sociétés doivent toujours fournir à leurs clients un moyen de vérifier qu'un message est légitime et n'émane pas d'un auteur de phishing. A cette fin, elles doivent élaborer une stratégie visant à incorporer des informations d'authentification dans chaque e-mail envoyé à ses clients.

Ainsi, certaines sociétés demandent à leurs clients de sélectionner un graphisme personnalisé à incorporer dans les e-mails. Il est plus difficile dans ce cas pour un pirate de simuler les e-mails d'entreprise.

Les sociétés doivent éviter d'incorporer aux messages HTML des liens hypertexte permettant d'accéder directement aux pages d'un site. De plus, les attaques par phishing étant fondées sur l'extraction de mots de passe, les sociétés doivent également éviter de demander à leurs clients des informations sensibles de ce type lorsqu'ils se connectent à un site web. En réalité, les cartes intelligentes et autres jetons de sécurité constituent des méthodes d'authentification bien plus complexes et évoluées que les mots de passe et les numéros de sécurité sociale.

En ce qui concerne les clients, on ne peut que leur conseiller de définir le niveau maximal de sécurité pour leur navigateur web et de configurer ce dernier de sorte que des avertissements HTTP s'affichent lorsqu'ils visitent un site sécurisé ou non.

Il est possible de couper l'herbe sous le pied des auteurs de phishing, si les sociétés surveillent activement l'apparition de sites web de phishing potentiels sur Internet, laquelle précède souvent l'envoi d'e-mails.

Enfin, il est de l'intérêt des entreprises de mettre en oeuvre des solutions de sécurisation de contenu de qualité, c'est-à-dire des outils qu'elles pourraient offrir à leurs clients comme un service commercial. Par exemple, McAfee offre des solutions antispam capables d'identifier des tentatives de phishing au niveau de la passerelle, des solutions antivirus au niveau des postes de travail pouvant intercepter des enregistreurs de frappe, ainsi que des outils de protection contre les intrusions pour l'hébergement de sites web. En installant ce type de protection, vous êtes assuré que tout votre trafic de messagerie est sécurisé, à l'entrée et à la sortie, avant que du contenu indésirable ne puisse infecter votre réseau ou affecter vos utilisateurs.