 |
  |
|
Les risques sur Internet
Elle donne des informations sur les principaux risques rencontrés par un utilisateur d'Internet (consultation de sites, messagerie, etc...):
Les "Zoaxes" (hoax)
Les Malwares
Le Phishing
Les e-mails dangereux (à venir)
..........
Vous trouverez également des informations intéressantes sur le site de la poste à l'adresse suivante: http://www.laposte.net/portail/Securite/
Le mot utilisé est hoax, assez imprononçable en français (il se prononce à peu près comme hawks en anglais et on a plutôt tendance à le prononcer hohax en français). C'est un mot du vocabulaire courant anglais, qui signifie canular, mais avec un sens de mauvaise plaisanterie, de tromperie, de duperie ("we were hoaxed" veut dire "nous nous sommes bien fait avoir").Le sens particulier sur Internet est le suivant : c'est un message e-mail rédigé de telle façon que la personne recevant le message soit incitée, soit pour son bénéfice, soit pour informer ou rendre service, à le transmettre à toutes les personnes qu’il connaît. Le but malfaisant des créateurs de ce genre de choses est de saturer le réseau et en particulier les serveurs de messagerie en bernant le plus grand nombre possible de personnes. On trouvait une forme voisine autrefois dans les lettres chaînes qui vous demandaient d'envoyer de l'argent et vous en promettaient des monceaux. C'est un parent des attaques par saturation (qui sont elles parfaitement organisées pour faire converger un grand nombre de messages sur une cible bien précise, en général une entreprise à laquelle les attaquants en veulent). Ici il n'y a pas d'organisation structurée, mais une personne envoie le message à une dizaine de ses contacts, qui eux-mêmes le transmettent à dix autres et on arrive très rapidement à des millions de messages qui empoisonnent le réseau. Ce n'est donc pas un virus à proprement parler, puisque les fichiers n'ont pas d'action, mais c'est malfaisant et dommageable.
Les conséquences des hoax sont en effet les suivantes :
• ils contribuent à engorger inutilement les réseaux en provoquant une masse de données superflues circulant dans les infrastructures réseaux, or le dimensionnement de ces infrastructures– et donc leur coût – dépend de ce trafic. L'utilisateur finit toujours par payer, ne serait-ce que par les publicités qu'il subit,
• ils tendent à provoquer de la désinformation, c'est-à-dire faire admettre à de nombreuses personnes de faux concepts ou véhiculer de fausses rumeurs (on parle de légendes urbaines) pour certains de ces courriers,
• ils encombrent inutilement nos boîtes aux lettres déjà chargées,
• ils nous font perdre du temps,
• ils peuvent contribuer à la dégradation de l'image d'une personne ou bien d'une entreprise,
• ils provoquent un effet d'incrédulité, c'est-à-dire qu'à force de recevoir de fausses informations on finit par ne plus croire aux vraies.
Le sens particulier du mot n'est donc pas différent du sens général, ce n'est que l'application qui est particulière.
Les premiers hoax sont apparus semble-t-il vers 1997 avec des sujets qui tournaient autour des virus, du genre :
• Attention, si vous recevez un message nommé Zozomachin, ne l'ouvrez surtout pas, c'est un virus extrêmement dangereux, Microsoft l'a signalé, etc.
• Attention, des milliers de téléphones portables sont infectés par un virus qui se transmet si on répond à un utilisateur qui a masqué son numéro, etc.
• Attention, si vous avez sur votre ordinateur un fichier du nom de Zozotruc, c'est que vous êtes infectés par un virus très dangereux (voir ci-dessus), détruisez ce fichier (que tout le monde avait parce que c'est un fichier système de Windows, peu utilisé, heureusement pour ceux qui ont suivi le conseil), etc. Ce type est un peu plus qu'un simple hoax, parce qu'il peut faire des dégâts, on le nomme un virhoax.
Tous se terminent par la phrase qui est la signature du hoax : transmettez ce message le plus rapidement possible à tous vos amis et collègues.
Depuis, les progrès, si l'on peut dire, ne se sont pas arrêtés. On trouve par exemple :
• ceux qui font appel à l'appât du gain. Si vous transmettez ce message à 8, 10 ou 20 personnes, vous aurez droit à un CD, un téléphone portable plus ou moins coûteux selon le nombre de messages transmis, un bateau, une voiture ou d'autres cadeaux,
• ceux qui font appel à la générosité ou à la compassion : sauvez la foret amazonienne, sauvez l'enfant qui a besoin d'une opération (simplement en envoyant des e-mails…), sauvez la femme condamnée à la lapidation, etc.
Ces derniers sont plus insidieux, car souvent basés sur des faits réels qui méritent attention, mais qui sont utilisés à d'autres fins par leur auteur malfaisant.
Des demandes concrètes (demande de sang rare, par exemple, plus ou moins justifiée de l'avis des spécialistes car la chaîne d'e-mails n'est pas le moyen le plus efficace pour trouver cela rapidement) peuvent se transformer plus ou moins spontanément en hoax en continuant à circuler sur Internet pendant des mois après que le problème ait été réglé.
Comment éviter de tomber dans le piège et de participer à la nuisance ?
S'il s'agit d'une annonce de virus venant d'une origine inconnue et faisant référence à Microsoft, Symantec ou un autre éditeur d'anti-virus, vous pouvez le passer sans hésiter à la poubelle : un éditeur de logiciel ou d'anti-virus, quel qu'il soit, ne fait JAMAIS d'annonce de ce genre par e-mail.
S'il s'agit d'un système de chaîne pyramidale quelconque, que vous détectez parce que chaque ligne du corps de message est précédée de >>>>> en plus ou moins grand nombre, vous pouvez être à peu près certains que c'est un hoax (pour fixer les idées, 5 signes > comme ci-dessus, si chaque message a été retransmis à 10 correspondants, cela donne un million de messages (*).D'ailleurs de plus en plus de systèmes de messagerie bloquent carrément les courriers de ce genre ou ne les livrent qu'après avoir ajouté ****SPAM**** dans l'objet. La encore, poubelle directement.
(*) Et non 100 000, parce qu'il n'y a pas de > dans le premier envoi. Cinq fois > veut donc dire six niveaux et donc 10 puissance 6 envois, soit un million.
S'il s'agit d'une pétition (forme un peu différente), même s'il s'agit d'un bon motif, ayez conscience que personne ni aucun organisme ne tiendra compte d'une pétition arrivant par Internet. Il est trop facile d'ajouter des signatures fictives – si vous avez cinq boites avec des pseudos non transparents, vous pouvez signer cinq fois, sans parler des fausses adresses qui peuvent être générées automatiquement par des logiciels, du type wz1258@hotmail.com (c'est souvent des adresses de ce type qu'on trouve dans les supposés destinataires précédents des hoax). Vous aurez perdu votre temps, fait perdre celui de vos destinataires et encombré le réseau, donc poubelle également.
Le style peut vous alerter, il y a souvent une certaine naïveté, le français est approximatif parce que c'est (mal) traduit, on vous garantit que ce n'est pas un canular, on vous promet la lune… et surtout, c'est le point commun, on vous demande de propager la chose.
Certains conseillent de ne pas faire suivre un courrier qui le propose s'il ne comporte pas un lien vers un site précisant sa véracité. C'est un critère un peu difficile à utiliser. Il y a peu de temps a circulé un courrier (ce n'était pas un hoax, c'était un porteur de virus) censé être émis par Microsoft, avec un en-tête sur fond bleu et un lien qui renvoyait effectivement à Microsoft. Il n'y avait évidemment pas de trace de la véracité de l'information sur le site Microsoft, mais comme c'est un site important et complexe, on peut penser qu'on est passé à côté de la preuve sans la voir et tomber dans le panneau. Donc critère à prendre avec précaution, mais utile, notamment pour des pétitions (avec la réserve ci-dessus…).
Si on a un doute, ce qui ne doit pas arriver souvent si vous suivez les conseils précédents, le mieux est d'aller vérifier sur un site spécialisé. Le plus connu, probablement parce que c'est le plus efficace, est :
Un système de recherche par mot clé pris dans le courrier douteux permet de rapidement trouver la référence, en général de confirmer le doute et d'envoyer immédiatement et définitivement le courrier à la poubelle, et encore mieux de transmettre la page ou sa référence à celui qui s'est fait avoir avant vous, pour qu'il se méfie la fois suivante et ne renouvelle pas son erreur.
Il existe d'autres sites utiles tels que :
http://hoaxkiller.com
http://securityresponse.symantec.com/avcenter/hoax.html
http://www.secuser.com/hoax/index.htm
http://www.secuser.com/outils/antihoax.htm
http://urbanlegends.miningco.com/c/ht/00/07/How_Spot_Email_Hoax0962932962.htm
Ce dernier est spécialisé dans les "légendes urbaines" qui colportent des rumeurs.
On trouve encore des renseignements au sujet des hoax sur les sites suivants :
http://zmaster007.free.fr/alertehoax.htm
http://fr.wikipedia.org/wiki/Hoax
http://www.topvirus.com/dossier5.php dossier
Le hoax n'est qu'une des perversités d'Internet, sans doute pas la plus méchante, mais chacun doit apporter sa petite pierre pour que le pire ne l'emporte pas sur le meilleur.
Pour faire pendant à l'article sur les zoaxes, quelques lignes sur les adwares (additionel programme, qui vient s'ajouter sur votre ordinateur) et malwares (programme malveillant). Ce sont de petits programmes qui viennent s'installer à votre insu sur votre ordinateur et qui agissent sans que vous vous en aperceviez.
Ils arrivent généralement par Internet, quand vous recevez un e-mail, téléchargez un fichier de quelque nature que ce soit ou consultez une page Internet. Ils peuvent être logés dans un cooky (petit fichier qui se stocke sur votre ordinateur quand vous consultez un site et qu'il est difficile d'éviter sous peine de ne pouvoir accéder à la moitié des informations), ou carrément dans des fichiers perdus dans les fins fonds de vos dossiers systèmes et/ou de la base de registres qui stocke des milliers d'informations dont votre ordinateur a besoin pour fonctionner.
Ils peuvent être très anodins, par exemple mémoriser votre accès à un site pour vous permettre d'y accéder plus facilement la fois suivante, un peu moins s'ils permettent à celui qu'il l'a placé de récupérer des informations telles que la liste des sites que vous avez visité et beaucoup moins si de manière carrément malhonnête, ils interceptent vos mots de passe ou vos numéros de cartes de crédit pour en faire un usage mauvais (pour vous) ou s'ils vous font facturer des frais téléphoniques indus et importants. Comme l'imagination humaine n'a pas de limite dans ces domaines, le pire est à craindre.
On ne peut évidemment pas éplucher son ordinateur directement pour rechercher ces petites bêtes, ce serait chercher dans une botte de foin une aiguille dont on ne connaît pas la couleur. Il y a donc des programmes pour cela. Norton Anti-virus en détecte un certain nombre depuis sa version 2005. Le top des gratuits en la matière était Spybot, c'est celui que j'utilisais jusqu'à ces derniers temps, mais en en essayant d'autres, je me suis aperçu qu'il en oubliait beaucoup et j'ai basculé sur Ad-aware SE Personal, gratuit avec mises à jour périodiques gratuites qu'on trouve sur http://www.lavasoft.com/ et qui a l'air plus efficace.
Un passage une fois par semaine minimum est indiqué si on ne veut pas prendre trop de risques. Pour être tout à fait sûr, en plus, videz une fois par semaine minimum aussi votre cache Internet et vos cookies (même si cela vous oblige à retaper des mots de passe) en ouvrant Internet Explorer et en faisant "Outils>Options Internet" onglet "Général" cadre "Fichiers Internet temporaires" boutons "Supprimer les fichiers…" et "Supprimer les cookies…".
C'est contraignant, mais c'est le prix à payer pour ne pas payer beaucoup plus cher…
Le phishing étant une forme de ce qu'on nomme généralement ingénierie sociale, nous allons d'abord nous intéresser à ce sujet. Ingénierie sociale, c'est la transposition littérale de "social engineering" qui fait un peu plus sens que son équivalent français. C'est une technique malveillante consistant à exploiter le facteur humain qui peut être considéré comme le maillon faible de tout système de sécurité. On abuse ainsi de la faiblesse de quelqu'un pour lui extorquer sans qu'il s'en aperçoive quelque chose qui profite à l'utilisateur de la technique.
Les faiblesses les plus couramment utilisées sont l'ignorance, la crédulité ou la naïveté.
Le bien extorqué peut être matériel (objet, argent, etc.) ou immatériel (code, mot de passe, information, etc.) et l'extorsion, selon sa nature, peut léser plus ou moins, et plus ou moins directement celui aux dépens duquel elle a été effectuée.
Cette technique n'est pas une nouveauté. La visite chez une personne âgée d'un faux employé (du gaz, de l'électricité ou autre) qui fait semblant de procéder rapidement à une vérification et repart aussitôt, suivie de l'intervention de deux personnes prétendant appartenir à la police et être à la poursuite d'un faux employé voleur, qui demandent à vérifier si rien n'a été volé et en profitent pour subtiliser les objets de valeur, c'est un procédé ancien qui relève bien de l'ingénierie sociale.
La manière dont Bertrand Goldschmidt a obtenu de Glenn Seaborg, dans la voiture qui le ramenait à l'aéroport, la confirmation que l'extractant retenu par les américains était le TBP relève également de l'ingénierie sociale : il lui a fait croire qu'il savait, et Seaborg, surpris, n'a pas pu retenir la confirmation qui a fait gagner un temps précieux dans la mise au point française du procédé PUREX.
Si la technique n'est pas nouvelle, ce qui est nouveau est sa mise en application sur l'Internet qui est dénommée "phishing".
Pour la petite histoire, il y a deux versions de l'origine du nom. Pour certains, ce serait une contraction de "phreaking" et de "fishing", phreaking étant lui-même une contraction de "phone" et de "freak" (monstre) qui est utilisée pour désigner le piratage des lignes téléphoniques, activité très en vogue aux États-Unis à une certaine époque pour pouvoir téléphoner sans payer. Le sens serait donc la pêche aux informations piratées. Pour d'autres, le mot serait la contraction de "password harvesting fishing", pêche pour récupérer des mots de passe, parce que c'était l'activité des premiers phreakers qui récupéraient des mots de passe de comptes AOL. L'idée est la même, avec la confusion entre f et ph ainsi que l'idée d'aller à la pêche. À noter que les Québécois, toujours soucieux d'éviter les anglicismes, préconisent d'éviter phishing et lui préfèrent hameçonnage.
Quoi qu'il en soit, le plus souvent sur l'Internet, le but est de récupérer des données de cartes bancaires ou de comptes bancaires en ligne pour pouvoir voler de l'argent. Les phishers envoient ainsi (de manière automatique le plus souvent) des rafales d'e-mails en usurpant l'identité d'un organisme financier ou d'un commerçant, avec l'en-tête, le logo et le décor d'origine, indiquant à la victime potentielle que son compte a été désactivé à cause d'un problème quelconque, et que la réactivation ne sera possible que s'il suit les indications qui lui sont données. Le message donne alors un lien qui dirige l'utilisateur vers une page Web qui ressemble à s'y méprendre au vrai site de l'organisme digne de confiance. Arrivé sur cette page trompeuse, l'utilisateur est invité à rentrer dans un faux formulaire des informations confidentielles que le fraudeur peut alors récupérer et utiliser à sa guise. Les messages sont le plus souvent destinés à des clients américains (Citybank, par exemple) et induisent peu de risque pour un utilisateur français, mais certains organismes français peuvent également être visés et il semble que plusieurs clients de la BNP se soient fait vider leur compte.
D'autres informations sont monnayables et peuvent intéresser les phishers, comme des numéros de sécurité sociale ou de permis de conduire.
En conséquence, gardez-vous d'être crédules et ne dévoilez sous aucun prétexte dans un environnement non sécurisé vos informations confidentielles (numéro et code de carte bancaire, numéros de compte et mots de passe divers, etc.). Ceci ne doit pas vous empêcher de faire des achats par Internet avec une carte bancaire, pour autant que la transaction soit sécurisée (les informations qui circulent sont cryptées), ce que vous pouvez vérifier par la présence d'un symbole particulier (en général un petit cadenas fermé jaune, en bas de la fenêtre).
Vous voulez en savoir plus ou voir des exemples de phishing ? Allez sur :
http://www.arobase.org/arnaques/phishing.htm
http://www.microsoft.com/athome/security/email/phishing.mspx(en anglais)
http://www.zdnet.fr/actualites/internet/0,39020774,39150265,00.htm
http://www.zebulon.fr/articles/phishing-1.php
JSI 12/12/2005
