Plan du site | Mentions légales | Crédits | Espace rédacteur

Nos mots-clefs

Professions   Contenu illicite   Marques   Lettre du Cejem   Droit d’auteur   Au jour le jour   Conférences et colloques   Noms de domaine   Vie privée   Bases de données   Régulation   Contrats   Signes distinctifs   Brevet   Consommateurs  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Une nouvelle forme d’escroquerie en ligne : le « net phishing »

Mots-clefs :

par Anna Kiefer, le lundi 25 avril 2005

L’escroquerie en ligne devient de plus en plus sophistiquée. Selon un sondage effectué par l’Apwg (Anti-Phishing Working Group ; www.antiphishing.org), le nombre de cas de « net phishing » (se prononce « net fishing » et possède un sens double, car pouvant se traduire par « la pêche du réseau/la pêche au filet ») augmente et les méthodes deviennent de plus en plus sophistiquées [1]. Le net-phishing est une forme d’escroquerie en ligne, où les internautes sont conduits à aller sur des sites qui semblent appartenir à des entreprises connues du public, mais qui sont en réalité contrôlés par des escrocs. Sur ces sites, les internautes sont invités à communiquer des informations personnelles, passer des commandes...

Les attaques de phishing se caractérisent soit par le « social engineering » (la manipulation sociale), soit par le « technical subterfuge » (les manœuvres technologiques) pour dérober des informations personnelles et financières aux consommateurs.

Les méthodes de « social engineering » incluent des « spoofed e-mails » (les courriers électroniques trompeurs) pour diriger les consommateurs vers de faux sites internets, construits pour encourager les internautes à donner des informations financières, et notamment leurs numéros de carte de crédit, des logins aux comptes personnels, des mots de passe, et des numéros de sécurité sociale. En se servant abusivement des marques de banques renommées ou de celles de commerçants en ligne, les phishers persuadent les internautes de répondre aux questions posées.

Les méthodes de « technical subterfuge » consistent à mettre un « crimeware » (le logiciel criminel) sur les ordinateurs pour voler les informations directement. « Pharming crimeware » renvoie les internautes aux sites faux ou à des proxy serveurs faux, généralement par le détournement du DNS [2].

Au mois de décembre de l’année 2004, il y avait environ 1700 sites de « phishing ». Pendant les vacances de Noël, la circulation sur l’internet dérober des numéros de carte de crédit et d’autres informations sensibles des internautes.

Le nombre croissant de cas de « phising » inclut des courriers électroniques, ainsi que d’autres méthodes plus sophistiquées pour obtenir les informations. Les établissements financiers sont les plus frappés, mais les opérateurs techniques de l’internet en souffrent aussi.

Le « net-phishing » trouve son comble aux Etats-Unis, qui représentent 38 % de tous les sites de phishing, suivis par la Chine avec 12 %, et la Corée avec 11 %. En moyenne, les sites concernés sont accessibles pendant 6 jours avant qu’ils ne soient détectés et fermés. Certains sites sont même restés ouverts sur l’internet pendant plus de 30 jours.

L’Apwg est une organisation professionnelle composée de représentants de cabinets d’avocat et d’entreprises, comme les opérateurs d’internet, les banques et les fournisseurs de technologie. L’organisation offre un forum de discussions concernant phishing et elle évalue des solutions potentielles etc... Cette organisation fournit des informations sur les attaques des escrocs. Ceux-ci, par exemple, utilisent des erreurs de sécurité dans les logiciels et des chevaux de Troie qui cherchent des informations sensibles dans les ordinateurs.

Récemment, l’organisation Digital PhishNet a été fondée pour combattre le « net phishing ». Elle résulte d’une collaboration entre des entreprises comme Microsoft, America Online, VeriSign et EarthLink, et des agences gouvernementales américaines comme le FBI, le Secret Service et le US Postal Inspection Service. Elle a notamment pour objectif l’identification et la mise en cause des personnes impliquées dans les attaques de phishing..

[1] Source : www.Computersweden.idg.se, « Nätfiskandet ökar » (La pêche du réseau augmente), le 21 janvier 2005.

[2] DNS est l’acronyme de « Domain Name System » (ou "Service" ou "Server", en français : "Système ou Service de Nom du Domaine"). C’est un service internet qui traduit des noms de domaines en adresses IP. Comme les noms du domaine sont alphabétiques, ils sont plus faciles à mémoriser. Pourtant, l’internet est fondé sur des adresses IP. Chaque fois qu’on utilise un nom de domaine, un service DNS doit traduire le nom en une adresse IP correspondante. Par exemple, le nom www.example.com peut être traduit en l’adresse IP 198.105.232.4. Le système DNS est un réseau. Si un serveur DNS ne sait pas comment traduire un nom de domaine, il demande à un autre serveur, qui demande à un autre, et ainsi de suite jusqu’à ce qu’il trouve l’adresse IP correcte.