Sécurité : Phishing, la menace qui monte?

phishing est la technique employée par les pirates internet qui cherchent à tromper l’internaute en l’invitant à rejoindre une adresse détournée et en affichant la copie d’un écran qui semble légitime, généralement en détournant l’enseigne d’une banque. L’internaute qui se fait piéger par cette pratique pense avoir à faire avec un service financier sérieux, ou un site d’e-commerce réputé, qui l’interpelle par email. Mis en confiance par l’environnement qui lui est proposé, il ne manquera pas d’y laisser des informations personnelles, et en particulier son code de carte bancaire. L’affaire est très sérieuse, à la fois par sa dérive mafieuse, mais aussi parce que les pirates qui profitent de la naïveté des internautes pour les tromper ne se sont pas trompés -eux- quant à leur cible et leur méthode ! 3% à 5% des internautes américains s’y seraient déjà fait piéger, selon certaines études? (lire nos articles) Jusqu’à présent, les attaques par phishing ciblaient l’industrie financière, avec une prédilection pour Citibank, mais aussi de plus en plus US Bank et PayPal. Mais le phénomène s’étend, et touche de plus en plus d’acteurs en ligne susceptibles de demander logiquement des renseignements bancaires. Selon l’étude récente de Radicati Group, le phishing touche à 68% des organismes financiers, mais aussi à 17% des sociétés de cartes de crédits, à 12% des sites d’e-commerce, et pour 3% d’autres secteurs d’activités, dont des organismes sociaux faisant appel à des dons. Actuellement, le nombre de campagnes de phishing reste limité, et touche essentiellement les Etats-Unis. Bien que? la technique du mass mailing, qui consiste à envoyer aveuglément des millions d’emails afin de toucher un maximum d’internautes, ne nous met pas à l’abri des attaques. Encore faut-il que le message nous touche, et en français, ce qui ne saurait tarder, l’internaute français est au moins aussi naïf que son homologue américain ! En attendant, Radicati Group constate une moyenne de 51 attaques mensuelles de phishing en 2004, ce qui représente mensuellement plusieurs dizaines de millions d’emails vérolés et détournés. Ce chiffre devrait passer en 2008 à 110 attaques mensuelles. Quant aux moyens de lutter contre le phishing, ils sont de trois ordres : la sensibilisation de l’internaute, tout d’abord, c’est une évidence mais il est systématiquement nécessaire de le rappeler. Le développement d’outils qui bloquent l’utilisateur lorsqu’il va saisir ses coordonnées bancaires, ensuite. Enfin un environnement législatif sévère qui prenne en compte le phénomène et donne aux pouvoirs judiciaires les moyens de frapper les ‘phishers‘ sans la contrainte des frontières, mais là, ce n’est pas gagné !. La protection contre le phishing a un coût?

S’il est difficile de connaître la valorisation exacte des méfaits commis par les ‘

phishers‘ -c’est-à-dire combien ils ont escroqué- , une chape de silence domine les victimes honteuses de s’être faites piéger, et qui hésitent à l’avouer aux autorités, il est plus facile d’obtenir une estimation du coût de la lutte contre le phénomène dans l’entreprise. Radicati Group a estimé ce coût à 202 millions de dollars en 2004. Il devrait passer à 880 millions de dollars en 2008.