Attention, pêche interdite à vélo !

L’hameçonnage est une technique des pirates informatiques pour vous piéger.

Article mis en ligne le 5 juillet 2008

dernière modification le 5 octobre 2021

par Laurent

L’hameçonnage (ou fishing dans la langue de Gordon Brown) est une technique de pirates informatiques pour vous soutirer vos codes de carte de crédit. Et bien figurez vous qu’on a tenté le coup avec moi avec un email de relance pour le réabonnement à Vélib

Ne vous laissez pas faire et restez vigilant. Voyez comment ils procèdent.

Voici quel est la procédure des pirates informatiques pour hameçonner.

Premièrement

Vous recevez un message publicitaire de votre banque ou autre dans votre boite aux lettres. Ce message ressemble comme deux gouttes d’eau à ceux que vous envoi régulièrement votre banque. Vous ne vous méfiez pas et vous cliquez sur le lien du message.

Dans mon cas, j’ai reçu un nimèle de relance pour prolonger mon abonnement à Vélib. Un message identique à celui que j’avais reçu quelques semaines plus tôt. Mais deux choses m’ont mis la puce à l’oreille : 1) je m’étais déjà réabonné entre temps et 2) l’adresse email présente dans l’entête du message était pour le moins ésotérique et n’était aucunement l’adresse officielle du site.

**Le faux mél**

Il ressemble comme deux gouttes d’eau au vrai.

Deuxièmement

Mettons que jusque là vous ne vous êtes pas méfié et vous vous retrouvez sur un site dont le graphisme est en tout point identique au site habituel que vous fréquentez. Dans l’exemple du site de votre banque, vous voulez aller vérifier vos comptes et vous entrez vos identifiants et mots de passe comme d’habitude. Alors, bêtement on vous informe que le site est en maintenance et que vous ne pouvez pas accéder aux informations désirées. C’est ballot, vous coupez ainsi votre connexion en pensant revenir plus tard. Mais ce n’était pas le vrai site de votre banque.

Alors que c’est là que tout se joue ! Le pirate qui a créé le faux site a récupéré ainsi tous vos paramètres de connexion et en profite donc pour vider votre vrai compte à votre insu. Le tour est joué, vous êtes ruiné mais le faussaire est riche.

Dans mon exemple avec Vélib, j’ai la chance d’avoir eu Firefox3 à jour qui a réussi à déjouer l’anomalie.

**L’avertissement de Firefox**

Avoir un bon navigateur web est un atout !

Comment se prémunir contre le hameçonnage ?

Il y a effectivement quelques recommandations de rigueur à suivre :

â€“ Impératif : Maintenir à jour ses logiciels de messagerie et de navigation Internet. [1]

â€“ Ne jamais cliquer sur les liens d’un email publicitaire ! [2]

â€“ Par extension, filtrer les messages non désirés via un logiciel antispam. La plus part des logiciels de messagerie proposent ce service, les logiciels apprenant petit à petit à distinguer les messages sains du spam. [3]

â€“ Ne jamais cliquer sur les liens de “désinscription” des emails commerciaux [4].

â€“ Vérifier toujours l’URL, c’est à dire l’adresse web des sites que vous visitez dans la barre d’adresse de votre navigateur.

**La vraie adresse de Vélib’**

Vérifiez bien l’adresse du site avant de rentrer vos identifiants et mots de passe.

Dans mon exemple, le site officiel de Vélib, c’est celui de Cyclocity, la société qui gère les Vélib pour le compte de JCDecaux et de la Mairie de Paris. Et vérifiez bien qu’il ai un petit s au bout du “https” et un cadena fermé dans la barre d’état [5] du navigateur. C’est un gage de sécurité (s comme sécurisé). Ce conseil est valable pour tous les sites.

â€“ Dernière recommandation qui va de soi : utiliser et maintenir une panoplie de logiciels de sécurité (antivirus, antispyware, antiadware, pare-feu...) surtout si vous utilisez Windows® très sujet à ce genre d’attaque.

Si vous avez une anecdote similaire ou des trucs et astuces supplémentaires, n’hésitez pas à en faire part dans les commentaires de cet article.

Ressources web : Wikipedia.

Notes

[1] C’est la raison pour laquelle je préfère utiliser un logiciel de messagerie plutôt qu’un webmail. Car je sais que le client mail de mon ordinateur est à jour alors que je ne connais pas le niveau de sécurité du webmail de mon fournisseur.

[2] Ne pas cliquer sur les emails publicitaires vous prémuni contre les tentatives d’hameçonnage. Mais en plus espérons que si tous le monde respecte cette directive, les publicitaires abandonneront l’habitude d’inonder nos boites aux lettres de spam en voyant que ça ne sert à rien.

[3] Personnellement, j’apprécie beaucoup la fonction antispam de Thunderbird qui est très efficace. Les plus paranos pourront de plus compléter la panoplie sécuritaire de Thunderbird à l’aide des extensions Personal Anti-Phishing Sidebar et Adblock.

[4] Car souvent, pour les sites les pirates, l’effet est inverse. Au lieu de vous désinscrire, ça leur confirme que votre adresse email est valide. Après ils peuvent vous flooder sachant que quelqu’un lit bien les messages à l’autre bout.

[5] La barre d’état, c’est la barre qui affiche des informations en bas de la fenêtre de votre navigateur.

Jeux de rôle

Bali, Indonésie

Escapades en France

L’Afrique du Sud

L’Islande

La Grèce

La Thaïlande

Le Cambodge

Le Japon

2017

2018

2020

Archives 2005

Archives 2006

Archives 2007

Archives 2008

Archives 2009

Archives 2010

Archives 2011

Archives 2012

Archives 2014

Archives 2016

Premièrement

Deuxièmement

Comment se prémunir contre le hameçonnage ?

Dans la même rubrique