Ne plus se laisser avoir par le phishing

Introduction du cours

Bonjour à toi, Zér0 !

Combien de fois vous est-il arrivé de recevoir un email d'une banque chez laquelle vous n'avez pas de comptes, ou d'un jeu massivement multijoueur auquel vous n'avez jamais touché, vous demandant de vous connecter à votre compte ?
Parfois même, vous avez un compte chez cette banque ou ce jeu... Mais l'email n'était pas envoyé par la véritable institution. C'était une manipulation habile pour vous soutirer vos informations. C'est ce qu'on appelle le phishing.

Et des gens se font avoir. Ils entrent leurs informations secrètes, et se trouvent avec un personage principal tout nu dans leur jeu préféré. Ou plus gênant, avec des euros en moins, ou un compte email qui envoie des milliers de spam journaliers...

C'est pourtant souvent facile de repérer le phishing. Je ne suis pas du tout un expert, mais je vais vous faire partager ce que je sais, parce-que je me retrouve souvent à le répéter à mes connaissances. Alors pourquoi ne pas le faire partager à tous les Zér0s ?

Qu'est-ce-que le phishing?Un peu de culture générale

Le phishing est un terme informatique qui relève de l'envoi d'emails frauduleux incitant les utilisateurs à se connecter sur un site ressemblant à un site de leur connaissance avec leurs identifiants, permettant de stocker lesdits identifiants dans une base de données pour utilisation future.

Techniquement, en français, on dit filoutage, ou hameçonnage si on est québécois. Phishing est le terme anglais, dérivé de fishing, qui signifie pêche. Bref, c'est de la pêche de filous, quoi !

Pour en savoir plus, comme d'habitude, un petit coup de Wikipédia !

À quoi ça ressemble?

Généralement, ça consiste en un email envoyé à des milliers d'utilisateurs par des techniques de spam. Cet email prend la forme d'un envoi d'une banque, d'une entreprise gérant un jeu vidéo en ligne, d'un service de poste électronique, etc. globalement connu, demandant à l'utilisateur de se connecter sur le site, via un lien fourni, pour une raison quelconque.

Si l'on suit le lien, on arrive en général sur une copie conforme du site où l'on pense se diriger. Si l'on ne réfléchi pas, on entre ses identifiants, on confirme, et on arrive soit sur une page d'erreur, soit sur une page vous remerciant, disant que votre connexion a été confirmée, ou quelque excuse correspondant à l'email envoyé.

Tout content, on repart vaquer à ses occupations, pour se rendre compte plus tard que quelqu'un s'est connecté à votre compte. Et fort probablement, qu'il ne s'est pas contenté de faire un petit coucou...

Pourquoi ça marche ?

Ça marche parce que les personnes qui reçoivent ces emails ne prennent pas le temps de vérifier que l'email est légitime.

L'email est envoyé à tellement de gens qu'il touche forcément des personnes qui ont un compte sur le site émulé. De plus, la raison invoquée demandant une connexion impose souvent une notion de temps limité et de problèmes en cas de non-connexion. En général, cela s'exprime par quelque chose du style "Votre compte a été compromis. Veuillez vous connecter suivant le lien ci-dessous pour éviter la suppression de votre compte."

Alors évidemment, on ne veut pas risquer de perdre son compte. Et qui sait quand le compte va être supprimé ? Mieux vaut se connecter sans perdre de temps...

En plus, personne ne peut rien faire pour contrer cela. Le pirate n'a même pas touché au site officiel, ni à votre ordinateur. Il a juste envoyé un mail vous demandant vos coordonnées, et vous les lui avez gentiment données. Évidemment, en cas de vol, ça reste un crime, mais il est difficile d'aller chercher un pirate Russe ou Troudukistanais...

Mais heureusement, avec un peu de bon sens et de logique, il est facile de repérer ces emails frauduleux ! C'est ce que je vais vous apprendre dans la suite de ce tutoriel.

Reconnaître l'email

Tout d'abord, il est souvent facile de voir si l'email est légitime ou non.

L'expéditeur

L'expéditeur de l'email est malheureusement souvent peu indicatif. Bien sûr, si jojo_le_pirate@hackerZ.org vous écrit de la part de votre banque, c'est même pas la peine de vous fatiguer à ouvrir le message.

Malheureusement, il est très facile d'envoyer un message soi-disant en provenance de n'importe quelle adresse. Ou alors de créer une adresse email qui ressemble à quelque chose de légitime.

Jetez donc un oeil à l'expéditeur, mais ne basez pas votre jugement uniquement sur ceci !

Le contenu

Lisez le contenu du message d'un oeil critique. Les pirates informatiques sont souvent assez mauvais en ortographe. :) Surtout s'ils écrivent dans une langue qui n'est pas leur langue maternelle !

Déjà, si Amazon, dont vous n'avez jamais fréquenté que la partie française, vous écrit en anglais, c'est louche.

Ensuite, guettez les petites fautes, comme les "-é" à la place des "-er". Les institutions professionnelles ont généralement les moyens de se payer des gens qui savent écrire dans leur langue. Et ils savent que les fautes font mauvais effet. Il y a rarement de fautes dans les emails des professionnels.

Donc mon email qui dit "Votre comte a été corronpu ! Veuillez vous connecté en suivant le lien si-dessous !" n'est pas légitime ?

Non. À ce niveau-là, c'est pas qu'il n'est probablement pas légitime. C'est que c'est du phishing. Et ne rigolez pas trop, j'ai déjà reçu pire que ça...

Mais certains pirates sont suffisamment organisés pour vérifier leur orthographe. Ou alors ils sont cultivés ! o_O
Donc une bonne orthographe n'est pas suffisante. (De la même manière qu'une petite faute perdue toute seule ne veut pas forcément dire que l'email est du phishing ! Même les meilleurs font des fautes de temps en temps !)

Le lien fourni

Le plus décisif, à ce niveau, c'est le lien fourni. Parce-qu'au final, les pirates ne peuvent pas vous envoyer vers le site officiel. Il y a plein de moyens de déguiser un lien (parce-que peu de gens vont cliquer sur http://www.jojoLePirate.org/hackerZ... bien que...). Je vais vous expliquer un peu plus comment repérer les liens frauduleux.

Structure de l'URL

Tout d'abord, je vais commencer par vous expliquer à quoi ressemble une URL (autre mot pour une adresse internet).
Une URL est de la forme suivante:
protocole://sous-domaine.domaine.extension(autre)
Vous remarquerez que chaque partie est séparée par un point. Les points dans une URL ne peuvent être utilisés que pour séparer ces parties.

• Le protocole est généralement http ou https.

• Le sous-domaine est généralement www mais peut être n'importe quoi !

• Le domaine définit véritablement chez qui vous êtes.

• L'extension est importante aussi, puisqu'il peut exister des sites avec le même nom de domaine mais des extensions différentes. monsite.fr et monsite.com n'ont probablement rien à voir !

  Les très grosses compagnie achètent souvent tous les domaine avec les extensions courantes. Essayez par exemple sncf.com, sncf.fr et sncf.eu. Même sncf.co.uk redirige vers le site des transports ferroviaires européens, dans la sous-rubrique de la SNCF !

• Après l'adresse, on peut trouver plein de choses qui disent dans quelle partie du site aller, séparées de l'adresse principale par un symbole tel que # ou ?.

Pourquoi tu nous explique tout ça ? En quoi ça va nous aider ?

Ça va nous aider parce-que si on comprend comment marche une adresse internet, on peut facilement identifier les adresses déguisées. ^^

En effet, ce qui définit sur quel site vous êtes, c'est le domaine et l'extension. C'est tout. Tout le reste peut être n'importe quoi.
On va prendre un exemple, pour simplifier les choses. Supposons que le site de ma banque est http://www.banquedekatz.fr. :p
banquedekatz.fr est ce qui défini le site de ma banque. Et il faut que ce soit à la bonne position. Qu'est-ce-que ça veut dire ?

Ça veut dire que les adresses suivantes ne me mèneront pas sur le site de ma banque:

• http://banquedekatz.jojolepirate.fr

• http://www.banquedekatz.com

• http://www.jojolepirate.fr/banquedekatz

• http://www.jojolepirate.fr?url=www.banquedekatz.fr

Les adresses ci-dessus mèneront en fait vers les domaines suivants, au lieu de vers le domaine banquedekatz.fr:

• jojolepirate.fr

• banquedekatz.com

• jojolepirate.fr

• jojolepirate.fr

En revanche, l'adresse http://jojolepirate.banquedekatz.fr mènera bel et bien vers le site de ma banque. Peut-être vers une partie du site dédiée entièrement à combattre ce malin qu'est Jojo le Pirate.

Évidemment, les adresses ci-dessus sont pour la plupart assez évidentes. Mais qu'arrive-t-il si Jojo le Pirate est plus futé que ça, et que son site devient: http://banquedekatz.servicesconso.fr ? Cette adresse nous guide vers le domaine servicesconso.fr, qui n'est probablement pas déposé par ma banque...

Une URL différente

Bien entendu, ceci n'était qu'un des moyens de déguiser une URL. Un autre moyen tout simple est de changer l'adresse, carrément.

Reprenons l'exemple de ma banque imaginaire (je suis millionnaire dans cette banque :p ), dont l'adresse est http://www.banquedekatz.fr.

Beaucoup de gens ne connaissant pas l'adresse exacte de leur banque. Et si Jojo le Pirate avait réussi à acquérir l'adresse http://www.labanquedekatz.fr ?

Il y a un moyen simple pour contrer cela, si je ne connais pas le domaine exact de ma banque. Google !
Je vais sur Google (ou mon moteur de recherche favori), et je cherche "banque de katz". Il y a de grandes chances que le premier lien soit le bon ! En tout cas, le lien du pirate a peu de chances de tomber dans les 50 premières pages...

Maintenant, même si je sais que le domaine de ma banque est banquedekatz.fr, il faut faire attention à bien lire l'URL fournie dans l'email:
www.bnaquedekatz.fr n'est pas bon ! wwwb.anquedekatz.fr non plus !

Il y a aussi toutes les lettres qui se ressemblent si on lit trop vite:
banquedekatz.fr et barquedekatz.fr, par exemple. Ou BANQUEDEKATZ.FR et BANQUEDEKAT2.FR (les majuscules ne font pas de différences dans une URL). Ou encore, spécialement avec les liens soulignés banquedekatz.fr et banguedekatz.fr

Enfin, prêtez attention à l'extension. Comme on me l'a fait remarquer, l'extension du cameroun est .cm. Il suffit d'un peu d'inattention pour cliquer sur http://www.facebook.cm en croyant arriver sur sa page Facebook...

Le HTML

De nos jours, on peut recevoir des emails en code HTML. C'est-à-dire codés comme un site internet. La plupart des grandes compagnies envoient d'ailleurs leurs messages en code internet, c'est pour ça qu'il y a plein de couleurs et des tableaux (et des pubs... ).
Essayez par exemple le lien ci-dessous (et ne paniquez pas, tout est sous contrôle ! ;) ):
http://www.banquedekatz.fr

Mais comment on peut combattre ça ? Y'a rien qui dit que le lien n'est pas celui qu'on croit !

Plusieurs façons, en fait:

• Ne pas accepter les emails en HTML. L'option est disponibles dans la plupart des clients de courrier électronique. (Malheureusement, je ne crois pas qu'on puisse faire grand-chose si vous regardez vos emails sur un site internet comme MSN)

• Regarder en bas de votre client ou de votre navigateur. Dans la petite barre en bas. Dans Firefox ou Thunderbird, par exemple (et je suis sûr que c'est pareil dans d'autres, bien que probablement pas dans tous), l'adresse réelle apparaît quand vous passez la souris sur un lien.

• Souvent, il est possible de faire clic droit sur le lien, puis de copier la destination du lien. Vous pouvez coller cela quelque part et examiner cette adresse.

• Enfin, au pire, cliquez dessus ! Et examinez l'adresse une fois arrivés sur la page concernée ! Tant que vous n'entrez pas vos informations, et que vous n'acceptez aucun téléchargement, il ne devrait rien vous arriver ! (Bon, il parait qu'il peut arriver des trucs... Mais c'est plus rare, surtout si vous avez un bon anti-virus et un explorateur internet intelligent. En cas de doute, rendez-vous sur le site via Google ou vos favoris !)

Attention, ce n'est pas parce-qu'on vous donne un lien qui n'est pas vraiment une adresse que c'est du phishing ! Souvent en fait, les gens préfèrent mettre un mot plutôt que le lien, comme si je vous dit d'aller voir Google. C'est plus joli que si je vous dit d'aller voir http://www.google.fr. En revanche, si le lien que vous voyez et le lien réel sont deux adresses différentes, c'est louche...

Autres déguisements

Enfin, il existe d'autres moyens de déguiser une adresse. http://www.banquedekatz.fr@jojolepirate.fr est un exemple. Utiliser des signes de pourcentage (%) permet de camoufler une adresse en utilisant le code ASCII au lieu des lettres. Donc évitez de cliquer sur une adresse qui contient un %. Toute partie de l'adresse se trouvant après un %00 sera aussi ignorée. (Merci Grabeuh pour cette précision.)
Il est aussi possible de donner une URL par son adresse IP. Comment savoir si http://152.165.23.241 est légitime ou non ? (Quoique par défaut, si ce n'est pas facile à identifier, c'est louche...)

Si vous avez le moindre doute, la méthode la plus sûre est toujours la suivante:
Allez sur le site concerné en suivant l'adresse que vous suivez habituellement, ou en cherchant sur Google. Connectez-vous depuis ce site-là. Si votre compte est vraiment en danger, vous pouvez être sûr que les administrateurs du site auront laissé un message vous prévenant et vous donnant la marche à suivre pour y remédier bien en vue.

Reconnaître le faux site

Supposons que vous n'avez pas réussi à identifier l'email comme un faux. Vous avez suivi le lien. Vous êtes sur le site. Ici encore, il y a plusieurs façons d'identifier un site de phishing !

L'adresse

Comme énoncé plus tôt, vérifiez que vous êtes sur le bon site. L'adresse dans votre barre d'adresse est beaucoup plus difficile à camoufler que dans un email !

Les liens

Maintenant, le site devrait avoir l'air très proche du site sur lequel vous êtes censé croire être. Le pirate aura été chercher toutes les images dont il a besoin sur le vrai site. Il est même assez facile de récupérer les feuilles de style qui définissent l'aspect d'un site.
Mais il va rarement avoir pris le temps de recopier le site en entier. La plupart du temps, il se contente de recopier la page de connexion à votre compte.

Je ne sais pas si vous avez remarqué, mais sur la plupart des grands sites, il y a toujours un myriade de liens, même sur la page de...