22% des salariés reçoivent 5 messages de phishing par jour

ochicheportiche,

Le risque grandit car les utilisateurs sont de plus en plus nombreux à se faire piéger, observe l’éditeur de sécurité Sophos

Star en 2005, le phishing devrait conserver son rang de menace la plus sérieuse cette année. Cette technique permettant à des pirates de piéger les internautes par le biais de vrai-faux mails et sites Web bancaires a le vent en poupe et les attaques se multiplient.

Selon une étude de l’éditeur Sophos, portant sur 600 utilisateurs, 58% des salariés en entreprise reçoivent au moins un message de phishing par jour. Pire, 22% en reçoivent quotidiennement plus de cinq. Selon le Groupe de Travail Anti-Phishing (APWG, ou Anti-Phishing Working Group), 15.244 signalements de phishing ont été reçus en décembre 2005, contre 8.829 en décembre 2004. Pourquoi une telle prolifération ? La qualité des attaques est en progression, les fausses pages Web et les faux mails bancaires qui demandent leurs coordonnées bancaires aux internautes sont de mieux en construits. Par aiieurs, les messages sont désormais écrits dans la langue de l’internaute, rendant le piège encore plus dangereux. Ainsi, de nombreuses attaques ont récemment visé la banque LCL (Crédit Lyonnais). Mais surtout, la crédulité des internautes fait tout le travail. « La multiplication des tentatives de phishing est due à leur taux de réussite : chaque jour, de nouveaux utilisateurs se laissent tromper par ces man?uvres illégales », commente Annie Gay, directeur général de Sophos France et Europe du Sud. « Au rythme de cinq messages de ce type par jour, soit on devient un expert de leur détection, soit on est probablement déjà tombé dans le piège ». Pour les entreprises visées, la marge de manoeuvre est étroite. Elles peuvent, comme la banque LCL, limiter provisoirement certaines opérations en ligne ou modifier les codes d’accès des victimes et lançant une grande campagne d’information. Mais ces mesures risquent de devenir insuffisantes. Comme le souligne David Jevans, président de l’APWG: « Les entreprises sont responsables de la sécurisation de leurs propres sites Web, mais ne peuvent pas faire grand-chose contre les phisheurs qui exploitent leur image dans leur dos. Dans l’avenir, les attaques par phishing seront sans doute de plus en plus ciblées, ce qui obligera les utilisateurs à la plus grande prudence. »