15/12/2011

Comment détecter un site de phishing ?

Pour faire suite à notre billet précédent sur le phishing (ou hameçonnage), penchons-nous un peu sur les sites de phishing en eux-mêmes.

Nous avons vu que des fraudeurs envoient des courriels ayant l'apparence d'e-mails provenant de sociétés/institutions de confiance telles que votre banque, votre centre des impôts, votre fournisseur d'accès Internet, etc. Ces mails contiennent un lien à cliquer, censé corriger un problème ou faire une mise à jour, argument utilisé couramment par les fraudeurs.

Nous avons vu qu'il ne faut pas donner suite et ne surtout pas cliquer sur ce genre de lien contenu dans un e-mail. Néanmoins, examinons ce qui se passe si le lien est quand même cliqué : le navigateur affiche un site, qui nous semble être celui de l'établissement qui a envoyé le mail.

Comment se rendre compte que l'on est sur un faux site, c'est-à-dire un site de phishing mis en place par des cybercriminels ?

Voici un exemple d'un faux site Société Générale :

En regardant rapidement cette copie d'écran, il semble légitime de penser qu'il s'agit du vrai site de Société Générale. Mais qu'en est-il vraiment ?

Plusieurs éléments doivent éveiller notre méfiance :

* L'absence d'une connexion sécurisée : 
En gros et en simplifiant, vous devez voir ce petit cadenas dans votre navigateur lorsque vous êtes sur un site sécurisé, par exemple sur https://particuliers.societegenerale.fr  :

(ancienne version d' Internet Explorer, mais ce cadenas est aussi présent dans le navigateur Firefox)

(version récente d' Internet Explorer)

Ce petit cadenas jaune ou gris indique que la connexion est chiffrée. De même, la barre de navigation doit montrer un "HTTPS" au lieu d'un "HTTP", le S indiquant que nous sommes sur un site avec lequel nous communiquons de façon sécurisée.

Si le cadenas n'est pas présent, ou indique une erreur, nous sommes probablement sur un site de phishing :

(exemple d'erreur dans Internet Explorer : probablement un site de phishing !)

Malheureusement, certains navigateurs très récents ne montrent plus ce cadenas. Par contre, des erreurs peuvent apparaitre lors de l'accès au site douteux :


Si vous voyez ceci alors que vous pensiez accéder à votre banque ou un autre établissement professionnel, il y a de fortes chances que vous soyez sur un site frauduleux : ne cliquez jamais sur "poursuivre avec ce site web" (Ce message d'erreur peut cependant apparaitre sur des sites de particuliers, mais jamais avec un site d'entreprise).

* Le site semble différent, il n'est pas comme d'habitude
Il arrive que les sites fassent peau neuve, mais c'est rare et généralement dans le but d' embellir un site qui devient un peu vieux. En cas de doute, se renseigner directement auprès de l'établissement ou par des recherches sur Internet : les sites qui changent d'apparence communiquent généralement largement sur le sujet.


* L'adresse dans la barre de navigation semble "bizarre" :
Notre navigateur utilise des "adresses" Internet pour se rendre sur des sites. Ces adresses se trouvent dans la barre de navigation lorsque nous surfons. Il faut toujours être prudent et les regarder attentivement quand nous allons sur un site sensible, tel que celui de notre banque ou de notre fournisseur d'accès Internet par exemple.
 
La plupart des entreprises sur Internet utilisent des "adresses" très claires et précises par rapport à leur marque. Quelques exemples:

http://google.com
http://www.google.fr
http://www.mozilla.org/fr/firefox/new/
https://particuliers.societegenerale.fr/
https://particuliers.societegenerale.fr/jeunes.html

Dans "google.com", google est appelé le nom de domaine, et ".com" est l'extension. Dans "particuliers.societegenerale.fr", le nom de domaine est "societegenerale", l'extension est ".fr", et "particuliers" est un sous-domaine.
Un domaine peut avoir plusieurs sous-domaines, et d'autres sous-domaines de sous-domaines etc.
Tout ce qui se trouve après l'extension est en fait un chemin dans le domaine (amis techniciens ne hurlez pas, nous simplifions au maximum).
Un exemple :

http://ceci.estune.adresse.trescompliquee.fr/jenesais/vraimentplusoujensuis.html

Cette adresse doit être lue de la façon suivante :

.fr : extension
trescompliquee: domaine principal.
adresse: sous-domaine
estune: sous-domaine
ceci: sous-domaine
/jenesais/vraimentplusoujensuis.html : chemin vers la page à afficher.

Ce n'est pas facile à lire lorsque l'on n'en a pas l'habitude. Les fraudeurs profitent de ce fait pour semer le trouble dans les esprits et faire passer un site frauduleux pour un site légitime, en faisant croire que l'adresse est la bonne.

Un exemple : la page véritable de Société Générale, pour les particuliers, se trouve sur https://particuliers.societegenerale.fr

Un fraudeur pourrait très bien héberger un site frauduleux  sur http://particulierssocietegenerale.fr par exemple, ou sur http://particuliers.societegenerale.fr.securitemaximum.com/

D'autres exemples :
* http://visa-europe.fr.home.aspx.ceciestuntest.com/VerifiedByVISA/FR/Access/Defaults/DeVotre/Compte/F5FGFG5G4FG20FG5/
* http://ceciestuntest.com/particuliers.societegenerale.fr/index.html

Ce ne sont que des exemples, mais l'idée est de semer le doute. Avec un peu de pratique, un examen attentif de la barre de navigation doit nous permettre de dire si un site est frauduleux ou non.

Le doute subsiste, que faire ?
Si vous êtes sur un site et que vous avez un doute, posez-vous certaines questions :
* Comment suis-je arrivé sur ce site ?
* Ai-je cliqué sur un lien dans un mail ?
* Ai-je cliqué sur d'autres liens m'ayant amené sur cette page ?
* Ai-je vu un message d'erreur à un moment lors de la connexion au site ?

Exercez-vous en anglais
Plusieurs sites proposent des "tests phishing" :

Les bonnes pratiques
Dans tous les cas, il vaut mieux carrément fermer son navigateur Internet, le rouvrir, et accéder à l'établissement concerné soit en tapant directement son adresse Internet, soit en se servant des favoris.

En parlant de favoris, prenez le temps de les organiser dans votre navigateur : Mettez-y votre banque, votre fournisseur d'accès, vos boites mails (hotmail, gmail, yahoo, etc.), et tous les sites importants pour vous (Facebook, etc.) . N'y accédez que par ce biais.

Si vous recevez un mail de l'un de ces établissements, ne cliquez pas les liens dans le mail, ouvrez simplement votre navigateur et allez-y en vous servant de vos favoris. Et n'oubliez jamais : ne croyez pas tout ce que les mails vous disent...