10.5.2012, Nicolas Berlie / Photo Shutterstock / kentoh
Depuis quelques semaines, les sollicitations de nos membres semblent indiquer une recrudescence des tentatives d'hameçonnage, toujours plus vicieuses. Nos conseils.
Swisscom, Orange, Postfinance et surtout Paypal: depuis quelques mois, ces sociétés sont de plus en plus visées par des tentatives d' »hameçonnage » (ou phishing en anglais). Le principe: des spammeurs envoient des milliers d’e-mails à la ronde, en se faisant passer pour des entreprises bien connues des Helvètes. La rhétorique est toujours la même: suite à un problème de facturation, ou dans le cadre d’une opération de maintenance, on vous demande d’entrer à nouveau vos données personnelles, « pour vérification ».
Bien entendu, l’intention est toute autre, puisqu’il s’agit de collecter des données qui pourront ensuite servir à des vols d’identité.
Jusqu’ici rien de bien nouveau, ce type d’arnaque est connu. Mais ce qui change, c’est que les spammeurs s’améliorent, deviennent plus « pros »: auparavant, les e-mails étaient truffés de fautes de français, et bourrés d’incohérences. La dernière vague d’attaques ciblant Paypal est un cas d’école: il mime l’identité de l’entreprise de paiement par internet, nous sert un discours plutôt convaincant, et le lien qu’on nous invite à cliquer semble légitime.
Le jeu des sept erreurs
Bref, pour autant qu’on ait un compte chez Paypal, on peut se laisser prendre. Il faut chercher le « diable dans le détail », comme disent les Anglo-Saxons. « Il est de plus en plus difficile de distinguer le vrai du faux », renchérit Mauro Vignati, analyste chez MELANI, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information. Pour autant, la vague actuelle de phishing est loin d’être exceptionnelle, souligne-t-il, « la menace est continue ».
« Les attaques qui touchent la Suisse proviennent notamment d’Afrique, continue Mauro Vignati. Leurs auteurs n’ont pas de compétences techniques de très haut niveau, contrairement aux pirates russes par exemple. Cela se joue donc sur autre chose, sur l’ingéniérie sociale ». Autrement dit, la façon dont les spammeurs savent utiliser les réflexes des gens, ou leur manque de familiarité avec internet, pour parvenir à leurs fins. Pas de piratage élaboré façon Mission impossible, tout se joue au contraire au bagou, au culot.
Et ça marche: même si de moins en moins d’internautes tombent dans le panneau, certains – un chiffre minime – se laissent toujours prendre, confirme Mauro Vignati.
La règle d’or
Que faire si on reçoit un e-mail qu’on croit frauduleux? En cas de doute, surtout ne touchez à rien. Sachez que les entreprises ne vous demanderont jamais de modifier vos données personnelles sensibles par le biais d’un e-mail, mais procéderont par courrier postal.
Si le doute subsiste, connectez-vous sur votre compte Swisscom, Paypal ou Orange, mais sans passer par l’e-mail douteux. Si la demande est légitime, vous devriez en trouver la trace dans votre messagerie.
Et si vraiment le doute continue à planer, contactez la hotline de la société en question.
Vous pouvez également signaler le cas au SCOCI, le Service national de Coordination de la lutte contre la Criminalité sur Internet. Ou consulter le site de MELANI, qui informe régulièrement sur les vagues d’attaques.