Je suis collectionneur de filoutages, et j’ai validé il y a peu la découverte de mon 666ème site de phishing.
Pour moi, cela a commencé comme un “jeu” courant 2003 : détecter des phishings dans la centaine de spams que je recevais à l’époque.
Le phishing est une forme d’attaque informatique qui consiste à soutirer des renseignements personnels à une personne et lui faisant croire qu’elle est mise en relation avec le site Web d’un tiers de confiance, tel celui de sa banque, de son opérateur téléphonique ou de sa messagerie électronique. L’objectif est ensuite d’utiliser ces informations pour perpétrer des actes malveillants basés sur l’usurpation d’identité. Il se fait la plupart du temps par l’intermédiaire du courrier électronique, qui amène la (future) victime vers un site Web falsifié et usurpant l’identité d’un site Web officiel.
À partir de 2003, j’ai assisté aux premières tentatives d’organisation pour lutter contre le spam de la part d’acteurs parfois très divers : organismes officiels, groupes d’utilisateurs ou de sociétés tel le consortium Anti-Phishing Working Group (APWG), chercheurs en sécurité intéressés par le phénomène, et bien sûr sociétés qui ont commencé à proposer des services – parfois gratuits – de détection de ces sites de phishing. La société Netcraft – notamment connues jusqu’alors pour son analyse régulière des serveurs de l’Internet et ses statistiques sur les types de serveurs Web – est l’une d’entre elles.
En 2005, j’ai ainsi commencé à transmettre régulièrement mes découvertes auprès de Netcraft. Cette société a en effet commencé à diffuser une extension pour Internet Explorer : la “Netcraft Toolbar“. Elle permet d’avertir l’utilisateur lorsque tente de visiter un site qui est référencé comme un site de phishing connu. Ce “référencement” est notamment fondé sur les contributions que les utilisateurs envoient lorsqu’ils jugent qu’un site est douteux. Après vérification par les équipes de Netcraft, le site et les URL concernés sont ajoutés à la liste des sites avérés de phishing.
En étant le premier à transmettre mes découvertes à Netcraft, mon compteur a commencé à croître, de même que ma “phishing e-réputation” … et en mai 2005, j’ai fais parti des beta-testeurs de la tant attendue “Netcraft Toolbar” pour Firefox.
J’employais parfois le terme “hameçonnage” préconisé par l’Office québécois de la langue française dès 2004. J’ai dû modifier mon vocabulaire, car les travaux de la Commission Générale de Terminologie et de Néologie ont abouti à une publication au Journal officiel en date du 12 février 2006 : le terme d’usage devait désormais être celui de “filoutage” en France.
En mars 2006, j’ai eu la chance d’être sans doute l’un des premiers à détecter en 3 jours, des vagues d’attaques visant les 3 plus grandes banques françaises. Cela m’a ainsi permis d’apprécier leurs capacités respectives de réaction, et même pour l’une d’entre elles son haut niveau de préparation : moins de 2 heures après avoir été averti, un plan de gestion de crise préparé à l’avance avait été déclenché, le plan d’action finalisé et la communication prête à être diffuser sur le site de banque en ligne et le serveur Web institutionnel.
C’est un peu comme au rugby : les joueurs se préparent longuement car ils savent qu’ils doivent anticiper des rebonds de ballon parfois surprenants. Mais cela devrait aussi être le cas pour d’autres sports, tels le tennis et le cyclisme !
Et maintenant ? Ma collection s’enrichit tous les jours avec des périodes plus ou moins “chargées”. Le graphique ci-dessous donne la quantité mensuelle de sites de filoutages dont je suis le premier à informer Netcraft.
Courbe 1 : Nombre mensuel de filoutages avérés (mise à jour au 31 Août 2008).
Fin 2007, j’ai pu améliorer ma capacité de détection de filoutage de façon significative. Ainsi parmi les 80.000 spams que je reçois mensuellement, je repêche et détecte presque automatiquement entre 200 et 400 emails de filoutage comme le montre le graphique ci-dessous.
Courbe 2 : mise en perspective du nombre de filoutages reçus par rapport au nombre de filoutages reconnus (mise à jour au 31 Août 2008).
Mes outils sont simples :
- de bons détecteurs d’emails porteurs de filoutage : des adresses Emails chez différents hébergeurs et avec différentes extensions de domaine,
- un client de messagerie : mon fidèle Eudora avec lequel je travaille depuis 15 ans et qui compte maintenant plusieurs centaines de filtres,
- un navigateur Web : Firefox renforcé par plusieurs extensions sécurité dont l’indispensable NoScript.
Dans ma collection j’ai bien entendu les filoutages des sites qui sont le plus souvent contrefaits (Amazon, eBay, Google Adwords, Paypal, …), des portails d’opérateurs de télécommunications, ainsi que des établissements financiers américains, anglais, australiens, canadiens, écossais, espagnols, italiens, néo-zélandais, suisses, tchèques, turcs, … et bien sûr français.
Pour suivre les exploits des “chasseurs de filoutages” chez Netcraft, consulter la page des “Most Active Reporters“. Vous verrez que je ne suis cependant qu’un “amateur” qui ne chasse qu’à ses moments perdus ou la nuit, loin des “professionnels” qui chassent le filoutage à longueur de journée.
La prochaine fois que vous trouvez des traces d’hameçonnage dans vos Emails, pensez à moi. Mais attention, seul le “poisson frais” m’intéresse ! Et comme tout collectionneur, je suis prêt à “faire des échanges”.
Bien que le mot n’existe pas (encore), peut-être suis-je un “hammaepistophile”, mot gréco-québécois (sic) construit à partir du grec “hamma” pour hameçon, et “epistolé” pour courrier.
Quant à ceux qui pourraient se demander pourquoi publier un billet pour mon 666ème filoutage … c’est tout simplement pour montrer que je ne souffre pas d’hexakosioihexekontahexaphobie !
(6 votes)
Loading ...