Les FAQs, ou foires aux questions, dont des listes de questions/réponses
les plus courantes qui permettent aux internautes de trouver
rapidement une solution à leur problème dans
le cas d'une question fréquemment posée.
Qu'est-ce que le phishing?
Le phishing (en français "hameçonnage")
est une technique de fraude mélangeant spamming
(envoi en masse de messages à des adresses électroniques
collectées illégalement ou composées automatiquement)
et ingénierie sociale (usurpation d'identité) dans
le but de subtiliser des informations sensibles aux victimes (identité
complète, numéro de carte bancaire, identifiants d'accès
à un site Internet, etc.). Au lieu de tenter de piéger
une après l'autre des personnes choisies pour leur naïveté
ou leur vulnérabilité, l'escroc contacte simultanément
plusieurs milliers voire dizaines de milliers de victimes potentielles
en tentant de se faire passer pour leur banque, leur fournisseur
d'accès à Internet ou n'importe quel autre organisme
ou site web, comptant sur ce grand nombre pour trouver des destinataires
crédules ou imprudents.
Une attaque par phishing se présente souvent en deux temps
: l'internaute reçoit en général un message
de sa banque ou d'une autre société (voir deux exemples
visant la banque LCL
et le site eBay)
qui l'informe d'un problème de sécurité ou
d'une autre action nécessitant qu'il se rende sur le site
concerné et qui l'invite pour cela à cliquer sur un
lien hypertexte. Or ce dernier ne conduit pas au site officiel mais
vers une imitation souvent identique à l'original contrôlée
par un individu malveillant, aussi si l'internaute clique sur le
lien et saisit des informations elles seront transmises directement
à l'escroc. D'autres variantes existent cependant, comme
un formulaire à remplir intégré dans le message
ou une demande de réponse par retour du courriel (voir exemple
visant Windows
Live).
D'où vient le terme "phishing"?
Le mot "phishing" proviendrait de la contraction des
mots "phreaking" (piratage des lignes téléphoniques)
et "fishing" (pêche). En d'autres termes, le phishing
est une sorte de pêche aux victimes via les réseaux
de communication.
Que faire en cas de phishing?
Si vous n'avez pas fourni les informations demandées
dans le message frauduleux, il n'y a rien à faire de particulier
à part supprimer le message concerné. Si par contre
vous avez été abusé et avez communiqué
ces renseignements à l'auteur du phishing, connectez-vous
immédiatement au véritable site de la société
dont l'identité a été usurpée en saisissant
manuellement son adresse dans votre navigateur, puis changez votre
mot de passe afin d'empêcher le détournement de votre
compte. En fonction des informations transmises, il peut être
nécessaire d'entreprendre d'autres actions, notamment faire
opposition si vous avez communiqué votre numéro de
carte bancaire.
Les logiciels antiphishing sont-ils efficaces?
Les fonctions ou logiciels antiphishing
se proposant d'alerter l'utilisateur lorsqu'il accède à
une imitation d'un site officiel utilisée dans le cadre d'une
attaque par phishing peuvent être utiles mais ne sont en aucun
cas suffisants car il arrive trop fréquemment qu'un site
douteux ne soit pas détecté. La meilleur protection
est encore l'utilisateur et le respect d'un conseil simple : il
ne faut ne jamais cliquer sur les liens hypertextes contenus dans
un message non sollicité demandant au destinataire de fournir
des données sensibles ou confidentielles, même s'il semble provenir
d'un expéditeur connu. En cas de doute, préférez vérifier
la réalité de la demande par téléphone auprès de la société concernée
ou vous rendre sur le site de cette société en saisissant
manuellement son adresse dans votre navigateur, afin de ne pas risquer
de cliquer sur un lien piégé ou conduisant vers une
page web piégée.
|