Le Cedef

Centre de documentation Économie-Finances

Recherche

Mots-clé

Chemin de navigation

Accueil > Sommaire des synthèses documentaires > Le "phishing" ou filoutage

Le "phishing" ou filoutage

Définiton
Importance et physionomie du phénomène
Ripostes juridiques
Autres ripostes
Evolutions du phénomène
Pour en savoir plus

Définition

On donne plusieurs explications relatives à l'étymologie du terme "phishing". Une des hypothèses les plus souvent avancées est qu'il s'agit de la contraction des termes anglais fishing (pêcher) et phreaking (piratage des centraux téléphoniques). Il pourrait également s'agir des mots password et fishing, ou tout simplement d'un dérivé de ce dernier terme. En tout état de cause, la notion de fishing, "pêcher", est au coeur de cette nouvelle forme de fraude informatique. Une des traductions francophone de cette technique, hameçonnage, y fait d'ailleurs référence.

En pratique, il s'agit de récupérer des données personnelles sensibles (données nominatives, bancaires, professionnelles, mots de passe...) sur internet. Le moyen utilisé est l'usurpation d'identité, adaptée au support numérique. L'escroquerie repose le plus fréquemment sur la contrefaçon d'un site internet (celui d'une banque ou d'un marchand en ligne). Des courriers électroniques sont ensuite massivement envoyés aux internautes pour les inciter à se rendre sur cette page, généralement pour y renseigner un formulaire avec des informations sensibles. Ces dernières sont ensuite récupérées par les phishers. Pendant toute la procédure, la victime croit avoir à faire au site officiel d'un opérateur qu'elle connaît.

 

Importance et physionomie du phénomène

Dans le monde

L'Anti-Phishing Working Group (APWG, une association de lutte regroupant des industriels et des agences gouvernementales) recense mensuellement, à partir des déclarations faites sur son site internet, le nombre d'attaques de phishing. En novembre 2005, on en dénombre ainsi 16 882. Il apparaît également que plus de 90 marques ou noms déposés ont été piratés dans le cadre de ces escroqueries. C'est le secteur bancaire et financier qui est le plus touché (à 90%), loin devant les sites de commerce en ligne. L'APWG note dans son rapport de novembre qu'un des phishings qui lui a été signalés utilisait le nom de l'Internal Revenue Service (service de recouvrement des impôts américain).

En France

C'est aux Etats-Unis que les attaques sont proportionnellement les plus nombreuses, suivent la Corée du sud, la Chine, l'Allemagne et le Royaume-Uni. Pour l'instant, la France semble relativement épargnée mais de plus en plus d'établissements financiers et d'internautes français sont victimes de phishing. Ainsi, le Crédit Lyonnais, la BRED et la Société Générale ont déjà été concernés par ce type d'attaque.
D'après Benoît Tabaka, juriste et chargé de mission au Forum des droits sur l'internet, "Le phishing en France est quelque chose de moins en moins marginal. La Befti (Brigade d'enquêtes sur les fraudes aux technologies de l'information) nous explique qu'elle y consacre entre 15% et 20% de ses activités. Les principales escroqueries concernent les fournisseurs d'accès internet et les services bancaires." (cité in Première condamnation en France pour escroquerie par "phishing", Zdnet, 27/01/2005).

Au début du mois de février 2006, LCL-Le Crédit Lyonnais a été victime d'une attaque de ce type qui, même si aucun préjudice n'a été constaté, l'a obligé à interrompre les transactions sur son site internet pendant 24 heures. De manière particulièrement retorse, les courriers électronique utilisés dans ce cas précis font référence au phishing et aux moyens de s'en prémunir ! cf. exemple de message sur le site de LCL.
Fin mars 2006, c'est une attaque massive qui a concerné trois établissement français : BNP Paribas, la Société Générale et encore une fois LCL-Le Crédit Lyonnais. Aucun préjudice n'a été constaté, les clients s'étant méfié des courriels malicieux. Cependant, ces derniers sont de plus en plus sophistiqués, dans leur présentation et leur rédaction, ils ressemblent beaucoup à des courriers officiels.

Ripostes juridiques

Face au développement du phishing, les états se sont dotés d'un arsenal législatif spécifique. Ainsi, le président des Etats-Unis a signé le 16 juin 2005 un texte de loi nommé "Identity Theft Penalty Enhancement Act" et qui vise à alourdir la durée d'emprisonnement infligée à l'encontre des voleurs d'identité numérique. Voir le communiqué de presse sur le site de la Maison Blanche.

De même, au Royaume Uni, le gouvernement entend durcir les textes punissant les fraudes en incluant des dispositions spécifiques aux escroqueries perpétrées sur internet. Le texte prévoit ainsi la possibilité de poursuivre les phishers dés l'envoi des e-mails malicieux (et non plus seulement après que des fonds ont été détournés).

En France, d'après l'avocate Natacha Martin, la jurisprudence concernant le phishing est encore "embryonnaire. Néanmoins, les décisions laissent apparaître trois qualifications possibles pour le phishing : la contrefaçon de droits de la propriété intellectuelle, l'escroquerie ou encore les délits d'atteinte à un système de traitement automatisé de données." (cité in Phishing : what's happening ? Quelles solutions juridiques pour lutter contre le phishing ?). Considérant que l'état actuel du droit était insuffisant pour protéger intégralement les internautes, M. Michel Dreyfus-Schmidt, sénateur, a déposé le 4 juillet 2005 une proposition de loi "tendant à la pénalisation de l'usurpation d'identité numérique sur les réseaux informatiques". Elle vise à ajouter au code pénal un article 323-8 ainsi rédigé : "Est puni d'une année d'emprisonnement et de 15 000 euros d'amende, le fait d'usurper sur tout réseau informatique de communication l'identité d'un particulier, d'une entreprise ou d'une autorité publique. Les peines prononcées se cumulent, sans possibilité de confusion, avec celles qui auront été prononcées pour l'infraction à l'occasion de laquelle l'usurpation

Autres ripostes

Au-delà des dispositions législatives et réglementaires, la lutte contre les escroqueries de type phishing requiert que les internautes soient sensibilisés à ce problème et apprennent à s'en défendre. Les initiatives pédagogiques émanent des secteurs publics et privés. En France, il existe le site Protège ton Ordi, à destination des plus jeunes. Le site internet de la banque LCL offre également des informations relatives au phishing et aux moyens de s'en prémunir.

D'autre part, les outils de messagerie commencent à intégrer des fonctions anti-phishing. Ainsi, la version 1.5 du logiciel libre Thunderbird inclut une fonctionnalité de ce type : "La solution de Thunderbird 1.5 est de comparer un lien présent dans un message avec le véritable nom de domaine auquel il renvoie. Si, par exemple, l'intitulé du lien est "societegenerale.fr" mais que le nom de domaine est "pirate123321.com", l'application estimera qu'il n'y a aucune corrélation et affichera le message suivant : "Thunderbird pense que ce message est peut-être frauduleux". L'utilisateur est ainsi mis en garde." (cité dans Thunderbird 1.5 doté d'une fonction "anti-phishing", Christophe Guillemin, Zdnet, 13/01/2006).
De même, la dernière version du navigateur Internet Explorer 7 pour Windows XP intègre un filtre anti-phishing : La première version grand public d'Internet Explorer 7 disponible, Christophe Guillemin, Zdnet, 01/02/2006. Par ailleurs, l'entreprise Microsoft s'est engagée dans un programme mondial contre le phishing. Dans le cadre de ce projet baptisé Global Phishing Enforcement Initiative, Microsoft a déjà déposé plusieurs plaintes dans de nombreux pays en vue de faire fermer les sites frauduleux liès à ce type d'escroquerie. cf. Microsoft frappe fort contre les auteurs de phishing, Tom Sanders, VNUnet, 21/03/2006.

L'enjeu essentiel concerne la confiance des internautes envers les services offerts sur internet. L'accroissement d'escroqueries comme le phishing peut freiner le développement du commerce électronique et la dématérialisation des échanges de données entre l'administration et le citoyen si ce dernier redoute le détournement de ses informations confidentielles.

Evolutions du phénomène

Le principe à la base du phishing, l'usurpation d'identité, ne se limite pas à la contrefaçon de sites internet associée à l'envoi de courriels malicieux. On a ainsi pu constater des attaques sous forme de :

- Vol de sessions ou attaques XSS (Cross site scripting)
Le pirate informatique se sert du serveur légitime d'un site internet sujet aux failles XSS. Il s'agit ici d'attaquer directement le serveur en y introduisant un code HTML malicieux, une fois exécuté par l'internaute, ce code peut avoir toutes sortes d'effets : afficher du contenu, rediriger l'utilisateur, servir à détourner des informations confidentielles...
Voir le détail de ce type d'attaques sur CommentCaMarche.net

- Fausse barre Google
Des liens hypertextes se sont propagées sur les logiciels de messageries instantanées incitant à télécharger une version de la barre Google (un module du moteur de recherche qui se greffe au navigateur). Cependant, cette fausse barre héberge en réalité un logiciel espion nommé CoolWebSearch, qui tente de récupérer des informations sensibles sur l'ordinateur où elle a été installée. Il s'agit là encore d'un cas d'usurpation d'identité visant à détourner des informations sensibles.
cf. La barre Google exploitée sous une nouvelle forme de phishing, Christophe Lagane, VNUnet, 07/10/2005.

- Les Keyloggers ou "enregistreur de frappe"
Les keyloggers sont des logiciels d'enregistrement de frappe, ils permettent de repérer une séquence de touches frappées sur un clavier piraté. Une fois installés subrepticement sur le poste d'un internaute, à la manière d'un vers ou d'un virus, ils permettent de récupérer login et mots de passe associés afin de les réutiliser à des fins délictueuses. Cf. : Phishing : la mode est aux keyloggers, Iain Thomson, VNUnet.fr, 09/05/2005

Pour en savoir plus