Mis à jour le mardi 19 novembre 2013
  • 30 minutes
  • Facile
Connectez-vous ou inscrivez-vous gratuitement pour bénéficier de toutes les fonctionnalités de ce cours !

Introduction du cours

Bonjour à toi, Zér0 !

Combien de fois vous est-il arrivé de recevoir un email d'une banque chez laquelle vous n'avez pas de comptes, ou d'un jeu massivement multijoueur auquel vous n'avez jamais touché, vous demandant de vous connecter à votre compte ?
Parfois même, vous avez un compte chez cette banque ou ce jeu... Mais l'email n'était pas envoyé par la véritable institution. C'était une manipulation habile pour vous soutirer vos informations. C'est ce qu'on appelle le phishing.

Et des gens se font avoir. Ils entrent leurs informations secrètes, et se trouvent avec un personage principal tout nu dans leur jeu préféré. Ou plus gênant, avec des euros en moins, ou un compte email qui envoie des milliers de spam journaliers...

C'est pourtant souvent facile de repérer le phishing. Je ne suis pas du tout un expert, mais je vais vous faire partager ce que je sais, parce-que je me retrouve souvent à le répéter à mes connaissances. Alors pourquoi ne pas le faire partager à tous les Zér0s ?

Qu'est-ce-que le phishing?

Un peu de culture générale

Le phishing est un terme informatique qui relève de l'envoi d'emails frauduleux incitant les utilisateurs à se connecter sur un site ressemblant à un site de leur connaissance avec leurs identifiants, permettant de stocker lesdits identifiants dans une base de données pour utilisation future.

Techniquement, en français, on dit filoutage, ou hameçonnage si on est québécois. Phishing est le terme anglais, dérivé de fishing, qui signifie pêche. Bref, c'est de la pêche de filous, quoi ! :lol:

Pour en savoir plus, comme d'habitude, un petit coup de Wikipédia !

À quoi ça ressemble?

Généralement, ça consiste en un email envoyé à des milliers d'utilisateurs par des techniques de spam. Cet email prend la forme d'un envoi d'une banque, d'une entreprise gérant un jeu vidéo en ligne, d'un service de poste électronique, etc. globalement connu, demandant à l'utilisateur de se connecter sur le site, via un lien fourni, pour une raison quelconque.

Si l'on suit le lien, on arrive en général sur une copie conforme du site où l'on pense se diriger. Si l'on ne réfléchi pas, on entre ses identifiants, on confirme, et on arrive soit sur une page d'erreur, soit sur une page vous remerciant, disant que votre connexion a été confirmée, ou quelque excuse correspondant à l'email envoyé.

Tout content, on repart vaquer à ses occupations, pour se rendre compte plus tard que quelqu'un s'est connecté à votre compte. Et fort probablement, qu'il ne s'est pas contenté de faire un petit coucou...

Pourquoi ça marche ?

Ça marche parce que les personnes qui reçoivent ces emails ne prennent pas le temps de vérifier que l'email est légitime.

L'email est envoyé à tellement de gens qu'il touche forcément des personnes qui ont un compte sur le site émulé. De plus, la raison invoquée demandant une connexion impose souvent une notion de temps limité et de problèmes en cas de non-connexion. En général, cela s'exprime par quelque chose du style "Votre compte a été compromis. Veuillez vous connecter suivant le lien ci-dessous pour éviter la suppression de votre compte."

Alors évidemment, on ne veut pas risquer de perdre son compte. Et qui sait quand le compte va être supprimé ? Mieux vaut se connecter sans perdre de temps...

En plus, personne ne peut rien faire pour contrer cela. Le pirate n'a même pas touché au site officiel, ni à votre ordinateur. Il a juste envoyé un mail vous demandant vos coordonnées, et vous les lui avez gentiment données. Évidemment, en cas de vol, ça reste un crime, mais il est difficile d'aller chercher un pirate Russe ou Troudukistanais...

Mais heureusement, avec un peu de bon sens et de logique, il est facile de repérer ces emails frauduleux ! C'est ce que je vais vous apprendre dans la suite de ce tutoriel.

Reconnaître l'email

Tout d'abord, il est souvent facile de voir si l'email est légitime ou non.

L'expéditeur

L'expéditeur de l'email est malheureusement souvent peu indicatif. Bien sûr, si jojo_le_pirate@hackerZ.org vous écrit de la part de votre banque, c'est même pas la peine de vous fatiguer à ouvrir le message.

Malheureusement, il est très facile d'envoyer un message soi-disant en provenance de n'importe quelle adresse. Ou alors de créer une adresse email qui ressemble à quelque chose de légitime.

Jetez donc un oeil à l'expéditeur, mais ne basez pas votre jugement uniquement sur ceci !

Le contenu

Lisez le contenu du message d'un oeil critique. Les pirates informatiques sont souvent assez mauvais en ortographe. :) Surtout s'ils écrivent dans une langue qui n'est pas leur langue maternelle !

Déjà, si Amazon, dont vous n'avez jamais fréquenté que la partie française, vous écrit en anglais, c'est louche.

Ensuite, guettez les petites fautes, comme les "-é" à la place des "-er". Les institutions professionnelles ont généralement les moyens de se payer des gens qui savent écrire dans leur langue. Et ils savent que les fautes font mauvais effet. Il y a rarement de fautes dans les emails des professionnels.

Non. À ce niveau-là, c'est pas qu'il n'est probablement pas légitime. C'est que c'est du phishing. Et ne rigolez pas trop, j'ai déjà reçu pire que ça...

Mais certains pirates sont suffisamment organisés pour vérifier leur orthographe. Ou alors ils sont cultivés ! o_O
Donc une bonne orthographe n'est pas suffisante. (De la même manière qu'une petite faute perdue toute seule ne veut pas forcément dire que l'email est du phishing ! Même les meilleurs font des fautes de temps en temps !)

Le lien fourni

Le plus décisif, à ce niveau, c'est le lien fourni. Parce-qu'au final, les pirates ne peuvent pas vous envoyer vers le site officiel. Il y a plein de moyens de déguiser un lien (parce-que peu de gens vont cliquer sur http://www.jojoLePirate.org/hackerZ... bien que...). Je vais vous expliquer un peu plus comment repérer les liens frauduleux.

Structure de l'URL

Tout d'abord, je vais commencer par vous expliquer à quoi ressemble une URL (autre mot pour une adresse internet).
Une URL est de la forme suivante:
protocole://sous-domaine.domaine.extension(autre)
Vous remarquerez que chaque partie est séparée par un point. Les points dans une URL ne peuvent être utilisés que pour séparer ces parties.

  • Le protocole est généralement http ou https.

  • Le sous-domaine est généralement www mais peut être n'importe quoi !

  • Le domaine définit véritablement chez qui vous êtes.

  • L'extension est importante aussi, puisqu'il peut exister des sites avec le même nom de domaine mais des extensions différentes. monsite.fr et monsite.com n'ont probablement rien à voir !

  • Après l'adresse, on peut trouver plein de choses qui disent dans quelle partie du site aller, séparées de l'adresse principale par un symbole tel que # ou ?.

Pourquoi tu nous explique tout ça ? En quoi ça va nous aider ?

Ça va nous aider parce-que si on comprend comment marche une adresse internet, on peut facilement identifier les adresses déguisées. ^^

En effet, ce qui définit sur quel site vous êtes, c'est le domaine et l'extension. C'est tout. Tout le reste peut être n'importe quoi.
On va prendre un exemple, pour simplifier les choses. Supposons que le site de ma banque est http://www.banquedekatz.fr. :p
banquedekatz.fr est ce qui défini le site de ma banque. Et il faut que ce soit à la bonne position. Qu'est-ce-que ça veut dire ?

Ça veut dire que les adresses suivantes ne me mèneront pas sur le site de ma banque:

Les adresses ci-dessus mèneront en fait vers les domaines suivants, au lieu de vers le domaine banquedekatz.fr:

  • jojolepirate.fr

  • banquedekatz.com

  • jojolepirate.fr

  • jojolepirate.fr

En revanche, l'adresse http://jojolepirate.banquedekatz.fr mènera bel et bien vers le site de ma banque. Peut-être vers une partie du site dédiée entièrement à combattre ce malin qu'est Jojo le Pirate.

Évidemment, les adresses ci-dessus sont pour la plupart assez évidentes. Mais qu'arrive-t-il si Jojo le Pirate est plus futé que ça, et que son site devient: http://banquedekatz.servicesconso.fr ? Cette adresse nous guide vers le domaine servicesconso.fr, qui n'est probablement pas déposé par ma banque...

Une URL différente

Bien entendu, ceci n'était qu'un des moyens de déguiser une URL. Un autre moyen tout simple est de changer l'adresse, carrément.

Reprenons l'exemple de ma banque imaginaire (je suis millionnaire dans cette banque :p ), dont l'adresse est http://www.banquedekatz.fr.

Beaucoup de gens ne connaissant pas l'adresse exacte de leur banque. Et si Jojo le Pirate avait réussi à acquérir l'adresse http://www.labanquedekatz.fr ?

Il y a un moyen simple pour contrer cela, si je ne connais pas le domaine exact de ma banque. Google !
Je vais sur Google (ou mon moteur de recherche favori), et je cherche "banque de katz". Il y a de grandes chances que le premier lien soit le bon ! En tout cas, le lien du pirate a peu de chances de tomber dans les 50 premières pages...

Maintenant, même si je sais que le domaine de ma banque est banquedekatz.fr, il faut faire attention à bien lire l'URL fournie dans l'email:
www.bnaquedekatz.fr n'est pas bon ! wwwb.anquedekatz.fr non plus !

Il y a aussi toutes les lettres qui se ressemblent si on lit trop vite:
banquedekatz.fr et barquedekatz.fr, par exemple. Ou BANQUEDEKATZ.FR et BANQUEDEKAT2.FR (les majuscules ne font pas de différences dans une URL). Ou encore, spécialement avec les liens soulignés banquedekatz.fr et banguedekatz.fr

Enfin, prêtez attention à l'extension. Comme on me l'a fait remarquer, l'extension du cameroun est .cm. Il suffit d'un peu d'inattention pour cliquer sur http://www.facebook.cm en croyant arriver sur sa page Facebook...

Le HTML

De nos jours, on peut recevoir des emails en code HTML. C'est-à-dire codés comme un site internet. La plupart des grandes compagnies envoient d'ailleurs leurs messages en code internet, c'est pour ça qu'il y a plein de couleurs et des tableaux (et des pubs... :colere: ).
Essayez par exemple le lien ci-dessous (et ne paniquez pas, tout est sous contrôle ! ;) ):
http://www.banquedekatz.fr

:waw: Mais comment on peut combattre ça ? Y'a rien qui dit que le lien n'est pas celui qu'on croit !

Plusieurs façons, en fait:

  • Ne pas accepter les emails en HTML. L'option est disponibles dans la plupart des clients de courrier électronique. (Malheureusement, je ne crois pas qu'on puisse faire grand-chose si vous regardez vos emails sur un site internet comme MSN)

  • Regarder en bas de votre client ou de votre navigateur. Dans la petite barre en bas. Dans Firefox ou Thunderbird, par exemple (et je suis sûr que c'est pareil dans d'autres, bien que probablement pas dans tous), l'adresse réelle apparaît quand vous passez la souris sur un lien.

  • Souvent, il est possible de faire clic droit sur le lien, puis de copier la destination du lien. Vous pouvez coller cela quelque part et examiner cette adresse.

  • Enfin, au pire, cliquez dessus ! Et examinez l'adresse une fois arrivés sur la page concernée ! Tant que vous n'entrez pas vos informations, et que vous n'acceptez aucun téléchargement, il ne devrait rien vous arriver ! (Bon, il parait qu'il peut arriver des trucs... Mais c'est plus rare, surtout si vous avez un bon anti-virus et un explorateur internet intelligent. En cas de doute, rendez-vous sur le site via Google ou vos favoris !)

Autres déguisements

Enfin, il existe d'autres moyens de déguiser une adresse. http://www.banquedekatz.fr@jojolepirate.fr est un exemple. Utiliser des signes de pourcentage (%) permet de camoufler une adresse en utilisant le code ASCII au lieu des lettres. Donc évitez de cliquer sur une adresse qui contient un %. Toute partie de l'adresse se trouvant après un %00 sera aussi ignorée. (Merci Grabeuh pour cette précision.)
Il est aussi possible de donner une URL par son adresse IP. Comment savoir si http://152.165.23.241 est légitime ou non ? (Quoique par défaut, si ce n'est pas facile à identifier, c'est louche...)

Si vous avez le moindre doute, la méthode la plus sûre est toujours la suivante:
Allez sur le site concerné en suivant l'adresse que vous suivez habituellement, ou en cherchant sur Google. Connectez-vous depuis ce site-là. Si votre compte est vraiment en danger, vous pouvez être sûr que les administrateurs du site auront laissé un message vous prévenant et vous donnant la marche à suivre pour y remédier bien en vue.

Reconnaître le faux site

Supposons que vous n'avez pas réussi à identifier l'email comme un faux. Vous avez suivi le lien. Vous êtes sur le site. Ici encore, il y a plusieurs façons d'identifier un site de phishing !

L'adresse

Comme énoncé plus tôt, vérifiez que vous êtes sur le bon site. L'adresse dans votre barre d'adresse est beaucoup plus difficile à camoufler que dans un email !

Les liens

Maintenant, le site devrait avoir l'air très proche du site sur lequel vous êtes censé croire être. Le pirate aura été chercher toutes les images dont il a besoin sur le vrai site. Il est même assez facile de récupérer les feuilles de style qui définissent l'aspect d'un site.
Mais il va rarement avoir pris le temps de recopier le site en entier. La plupart du temps, il se contente de recopier la page de connexion à votre compte.

Je ne sais pas si vous avez remarqué, mais sur la plupart des grands sites, il y a toujours un myriade de liens, même sur la page de connexion: Aide, Page d'Accueil, News, Nous contacter, Ouvrez un nouveau compte avec nous et gagnez 3.57€, etc.
Or, sur toutes ces pages se trouvent probablement d'autres liens, et des pages et des pages de textes, d'images, etc. Des trucs qui prendraient un temps monstre à reconstruire.
Donc les pirates ont trois possibilités pour ne pas avoir à reconstruire le site en entier:

  • Soit ils font des liens morts, qui ne font rien du tout quand vous cliquez dessus

  • Soit ils font des liens qui conduisent tous à la page sur laquelle vous vous trouvez déjà.

  • Soit ils font des liens qui conduisent vers le site officiel.

Les deux premières options sont faciles à débusquer: il suffit de cliquer sur quelques liens !
La dernière est un peu plus délicate, mais je ne l'ai jamais vu mise en application. Une des raisons est peut-être que d'une part, s'ils vous renvoient vers le site original, ils risquent de vous perdre si vous suivez les liens là-bas plutôt que de faire "Retour". Une autre est que le site original peut être au courant de la tentative de phishing, et avoir un gros message en rouge sur toutes ses pages disant: "Attention, phishing en cours ! Suivez ce lien pour vous connecter !" :p
Quoi qu'il en soit, si vous avez suivi mon cours sur la forme d'une URL plus haut, vous devriez pouvoir reconnaître si vous changez de domaine en suivant ces liens.

Connectez-vous!

Finalement, si vous ne savez plus si le site est justifié ou non, il reste un moyen très simple... Connectez-vous sur ce site !

Quoi ? Mais si c'est du phishing, je vais pas avoir des problèmes ?

Si, si vous utilisez vos vraies informations... Maintenant, si vous utilisez le nom d'utilisateur "JojoLePirate", avec le mot de passe "TuNousPrendsPourDesC*?", et que le site ne vous dit pas "Nom d'utilisateur ou mot de passe incorrect" (ou une variation appropriée), c'est que soit vous avez une chance inouïe, et vous vous êtes connectés sur le compte de Jojo le Pirate (auquel cas je vous conseille de jouer au loto TOUT DE SUITE ! :p ), soit le site accepte tout et n'importe quoi... Phishing !

Voilà, j'espère que ceci vous permettra de ne plus vous faire avoir par le phishing. N'hésitez pas à faire partager ce tutoriel à vos connaissances ! Si plus personne ne se fait avoir, les phisheurs disparaîtront !

Et reviendrons sans doutes avec d'autres méthodes... Mais on apprendra à s'en méfier aussi vite ! ;)

Dernier point: Aucune des méthodes que je donne ci-dessus n'est réellement 100% sûre. Presque tout est possible, si le pirate a suffisamment de connaissances et y passe suffisamment de temps. Cela arrive rarement, parce-qu'il parait que le phisheur gagne peu, donc il n'a pas intérêt a mettre trop de moyens dans une attaque par phishing.

D'ailleurs, si vous vous connectez sur votre compte d'après le site officiel, vous pouvez réessayer de cliquer sur votre lien. Normalement, si vous avez laissé votre explorateur ouvert, vous devriez sauter l'étape de connexion et arriver directement à votre compte ! ;)

Si vous voulez en savoir plus sur certaines techniques, jetez un oeil sur les commentaires, il y a des choses intéressantes ! ;)

Exemple de certificat de réussite
Exemple de certificat de réussite