Comment reconnaître les menaces contre les données personnelles : Quatre façons de détourner vos renseignements personnels sur Internet

Guide relatif à la détection et la protection contre la fraude par hameçonnage, harponnage, détournement de domaine et hameçonnage vocal

Introduction

Des études récentes révèlent que, en dépit du fait que les escrocs existent probablement depuis la nuit des temps, les personnes continuent d’être victimes de fraudes, particulièrement dans le nouveau monde du commerce électronique.

Avant l’arrivée des ordinateurs personnels, les fraudes par télémarketing faisaient le plein de victimes – qui envoyaient des chèques ou communiquaient des numéros de carte de crédit en réponse à des campagnes de vente frauduleuses. Ce type de fraude s’est déplacé sur Internet.

La présente fiche d’information explique divers types d’attaques d’« ingénierie sociale » – « hameçonnage », « harponnage », « détournement de domaine » et « hameçonnage vocal » – et propose des moyens de se protéger contre elles.

Contexte : Qu’est-ce que l’ingénierie sociale?

L’ingénierie sociale est l’art ou la pratique consistant à manipuler les gens afin d’obtenir des données confidentielles ou sensibles.

Pour la plupart, les gens veulent aider les personnes en situation d’autorité que ce soit de par les fonctions qu’elles exercent au sein d’une organisation (p. ex. le PDG) ou de par les connaissances spécialisées qu’elles possèdent (p. ex. les employés du service des TI), ou leur faire confiance. Bien des gens sont curieux et d’autres sont avides, espérant obtenir quelque chose sans effort de leur part. Les ingénieurs sociaux sont des observateurs de la nature humaine et savent bien comment exploiter ces tendances à leur avantage.

Les ingénieurs sociaux influencent et persuadent pour tromper les gens en se faisant passer pour ce qu’ils ne sont pas et, ce faisant, les manipulent pour obtenir leurs renseignements personnels. Les ingénieurs sociaux d’aujourd’hui ont recours à la technologie pour profiter d’autrui.

Les astuces d’ingénierie sociale courantes sont, notamment :

1. Quelqu’un vous contacte en prétendant être un administrateur de système. Il prétend avoir décelé des problèmes relatifs à votre compte et a besoin de votre mot de passe pour les régler;
2. Quelqu’un vous contacte et prétend représenter une entreprise de carte de crédit. Il doit vérifier votre compte et demande votre numéro de carte de crédit et sa date d’expiration;
3. Une personne vous contacte et se présente comme un nouvel employé . Elle a oublié son mot de passe et vous demande de lui fournir le vôtre parce qu’elle a besoin d’accéder au système de toute urgence faute de quoi votre patron pourrait lui causer des ennuis;
4. Quelqu’un à l’autre bout du monde veut vous donner des millions de dollars, mais a besoin de votre aide, sous la forme d’argent pour soudoyer des fonctionnaires, acquitter des frais, etc., afin de transférer l’argent de son pays à votre compte.

L’ingénierie sociale vise les mêmes objectifs fondamentaux que le piratage informatique en général, soit accéder sans autorisation à des systèmes ou de l’information pour commettre de la fraude, s’introduire dans le réseau, faire de l’espionnage industriel, voler des identités ou simplement congestionner le système ou le réseau.

Variations sur un thème

(I) – Hameçonnage

Un courriel de « hameçonnage » est un message prétendument envoyé par une banque ou une entreprise comme eBay ou Amazon.com. On vous demande d’ouvrir une session et de vérifier les éléments de votre compte, souvent en prétextant que des transactions douteuses ont été relevées à l’égard de votre compte ou que des mesures supplémentaires de sécurité ont été mises en œuvre. Un lien Internet est habituellement inclus dans le message, et si vous cliquez sur ce lien, vous accédez à un faux site Internet ressemblant à s’y méprendre au vrai.

La victime croit alors qu’elle accède au vrai site Internet. En détournant l’image de marque d’entreprises connues, auxquelles les personnes ont tendance à faire confiance, les « hameçonneurs » obtiennent des numéros de carte de crédit, des noms d’usagers, des mots de passe et des numéros d’assurance sociale.

Voilà qui donne aux fraudeurs suffisamment d’information pour accéder à vos comptes ou commettre d’autres crimes avec votre identité.

(II) – Harponnage

Les sites de réseautage social, comme MySpace et Facebook, sont devenus des moyens populaires de nouer des relations virtuelles. Les usagers de ces sites ouvrent des comptes et peuvent ensuite personnaliser une page Web contenant des renseignements personnels comme des photographies, des vidéos, des listes, des descriptions et des blogues.

Ces sites ont une fonction qui permet de « relier » votre page à la page de vos amis par la création d’une liste d’« amis ». Ces amis peuvent ensuite utiliser les babillards électroniques (sorte de courrier électronique offert sur ces sites) pour envoyer et recevoir des messages ainsi que des « demandes de nouveaux amis ». Puisque ces sites reposent sur les listes d’amis, la confiance est pratiquement déjà installée.

Les « spécialistes du harponnage » privilégient les utilisateurs d’un site ou service donné (c.-à-d. une communauté Internet), un site de réseautage social comme MySpace ou les utilisateurs d’un babillard électronique en se posant en membre de cette communauté.

Ils utiliseront souvent les renseignements personnels contenus dans les pages des utilisateurs pour « personnaliser » leurs attaques, ce qui accroît leurs chances de gagner la confiance de leur proie. Les attaques peuvent prendre la forme de messages dans la boîte aux lettres et contenant des questions ou des liens vers d’autres sites ou de codes malveillants inclus dans un lien à un site qui sollicite l’information des utilisateurs.

(III) – Détournement de domaine

Les ordinateurs sur Internet s’identifient au moyen de leur adresse de protocole Internet (p. ex. 192.168.2.214), qui sont grosso modo l’équivalent des numéros de téléphone ou des adresses civiques. Comme il est difficile pour les gens de se souvenir de ces numéros, le système de nom de domaine (DNS) relie les adresses informatiques à une forme plus facile à garder en mémoire (p. ex. Archambault.ca), tout comme les bottins téléphoniques associent aux gens ou aux entreprises des numéros de téléphone.

Supposons maintenant qu’un criminel veut voler l’information liée au compte d’une personne. Pour ce faire, il établit un faux site Internet qui ressemble à s’y méprendre à celui d’une banque ou d’une entreprise détenant des renseignements sensibles en reproduisant la présentation matérielle, les couleurs, les symboles graphiques, les sceaux et le reste. Il n’a ensuite qu’à convaincre sa victime d’aller sur le site Web et de communiquer de l’information confidentielle, comme le numéro de compte, le mot de passe, etc.

Comment s’y prend-il? La tactique la plus courante consiste à envoyer un courriel de hameçonnage, mais, comme elle est désormais relativement bien connue, les gens y regardent à deux fois avant de cliquer sur les liens inclus dans les courriels.

Le « détournement de domaine », toutefois, représente une forme d’attaque moins connue. Cela suppose la manipulation directe du DNS et le remplacement de l’adresse IP du site Web visé par l’adresse IP du faux site. Ainsi, la victime peut entrer la bonne adresse Web (p. ex. en tapant http://www.mabanque.com sur le navigateur) et être dirigée vers le faux site Web.

Les protocoles SSL (Secure Locket Layer) sont un protocole cryptographique conçu pour la protection des données qui sont transférées d’un navigateur à un serveur. Il est à noter que les protocoles SSL ne protègent que le lien entre les deux ordinateurs – et pas les ordinateurs où loge le navigateur ou le site Web.

Soulignons que ce type d’attaque est possible même si la victime est dirigée vers un site sécuritaire (c’est-à-dire un site protégé par protocole SSL) étant donné que l’attaquant peut imiter les sites Web et produire de faux certificats SSL. Comme les certificats ressembleront à s’y méprendre à de vrais, il est très difficile de distinguer le vrai du faux. Un double-clic sur l’icône en forme de clef fera apparaître le certificat SSL et indiquera le titulaire du certificat, le nom de l’émetteur et la date d’expiration. Pour distinguer un faux certificat d’un vrai, vous devez regarder attentivement le certificat pour voir s’il porte des mentions comme « certificat émis par l’entreprise » ou « autorité de certification inconnue ».

Les mesures recommandées pour se protéger contre les détournements de domaine comprennent aussi l’installation d’une barre d’outils efficace contre les détournements de domaine ou d’un navigateur doté de fonctions anti-détournement de domaine (comme Internet Explorer 7 ou Firefox 2), voire les deux. Ces outils vous indiqueront le plus souvent si le certificat du site ne correspond pas au nom de l’entreprise. Ils peuvent aussi utiliser les bases de données de fraudes par détournement de domaine qui ont été mises au jour pour détecter les sites Web illégitimes et émettre des avertissements.

(IV) – Hameçonnage vocal

De vastes efforts ont été déployés pour sensibiliser les internautes aux fraudes de sorte que ceux-ci y regardent à deux fois avant de cliquer sur des liens provenant d’expéditeurs inconnus. Pour contrer ce phénomène, les fraudeurs demandent maintenant aux gens de composer un numéro de téléphone donné au lieu de cliquer sur un lien. Les victimes font l’appel, croyant que le numéro est celui de leur banque ou compagnie de carte de crédit, et sont plutôt dirigées vers un système vocal sur Internet qui peut reconnaître et enregistrer les touches du téléphone.

Cette tactique relativement nouvelle s’appelle le « hameçonnage vocal ».

Les fraudes par hameçonnage vocal commencent généralement lorsque les fraudeurs se procurent un système vocal sur Internet et configurent un système de composition automatique qui appelle les gens et leur livre un message enregistré ou qui envoie des courriels de hameçonnage conventionnels. Dans les deux cas, le message fait savoir à la victime que ses cartes de crédit sont tombées entre des mains criminelles et qu’elle devrait téléphoner immédiatement à tel numéro pour remédier à la situation. Le numéro de téléphone est souvent une ligne sans frais qui fournit sur l’afficheur le nom d’une institution financière légitime.

Dans la version téléphonique d’une attaque par hameçonnage vocal, un signal verbal généré par ordinateur donne instruction aux appelants d’entrer leurs numéro de carte de crédit, date d’expiration et code de vérification.

La version électronique de ce hameçonnage repose sur l’idée voulant que le fait d’inviter les gens à composer un numéro sans frais dissipera les doutes associés aux liens fournis dans des courriels — sources notoires de virus informatiques et d’autres logiciels malveillants. Une fois que les renseignements personnels sont entrés, le « hameçonneur vocal » a l’information voulue pour utiliser à des fins criminelles la carte de crédit de sa victime.

Recommandations pour la protection de la vie privée : Mesures à prendre

1. Protégez votre ordinateur au moyen d’un coupe-feu, d’un logiciel antivirus et d’autres mesures de sécurité. Il est de plus en plus courant d’utiliser des programmes malveillants (virus, vers et chevaux de Troie) pour obtenir les renseignements personnels nécessaires pour commettre un vol d’identité. Songez à installer une barre d’outils antihameçonnage ou un navigateur Web doté de fonctions antihameçonnage comme Internet Explorer 7 ou Firefox 2.
2. Assurez-vous que votre navigateur Web soit à jour, et que les correctifs de sécurité aient été appliqués. Si, par exemple, vous utilisez le navigateur Web Microsoft Internet Explorer, vous devriez vous rendre immédiatement à la page d’accueil de Microsoft Security au  http://www.microsoft.com/security/  - pour télécharger un correctif spécial pour certains procédés d’hameçonnage.
3. Méfiez-vous des courriels provenant d’institutions financières, de fournisseurs de service Internet ou d’autres organisations dans lesquels on vous demande des renseignements personnels en ligne. Les entreprises dignes de confiance ne demandent jamais de renseignements personnels de cette manière. Si vous avez le moindre doute, vérifiez leur numéro de téléphone dans l’annuaire ou utilisez le numéro inscrit au dos de la carte de crédit ou sur le relevé de compte et appelez-les. L’absence de salutations personnalisées et la présence de fautes d’orthographe et de grammaire sont autant d’indices qu’un courriel est frauduleux.
4. Ne cliquez jamais sur un lien inséré dans un courriel, et n’en faites pas un couper-coller dans votre navigateur. Ce lien pourrait vous mener à un site Web contrefait. Il est beaucoup plus sécuritaire de taper l’adresse directement dans votre navigateur avant d’ouvrir une session.
5. Assurez-vous d’utiliser un site Web authentique et sécuritaire chaque fois que vous transmettez votre numéro de carte de crédit ou des renseignements de nature délicate. Tapez d’abord l’adresse Web dans la barre du navigateur. Une fois dans le site, assurez-vous que le serveur Web est sécuritaire en vérifiant le début de l’adresse Web dans la barre du navigateur. L’adresse devrait débuter par « https:// » plutôt que « http:// ». Normalement, un petit cadenas jaune paraîtra au bas de l’écran, à droite.
6. N’utilisez jamais un numéro de téléphone qui vous a été donné pendant un appel ou dans un courriel concernant la sécurité de votre carte de crédit ou de votre compte bancaire. Le seul numéro fiable pour échanger de l’information sur votre compte de crédit est celui au dos de votre carte de crédit ou sur votre état de compte.
7. Si une icône ou tout autre lien suspect ou inhabituel apparaît sur un site Web que vous fréquentez, un profil MySpace par exemple, vérifiez son authenticité avant de cliquer sur celui-ci. (Pour ce faire, vous pouvez consulter les sites sur le hameçonnage indiqués à la section suivante). Si vous cliquez sur l’un de ces liens par erreur, ne donnez AUCUNE information qui pourrait vous être demandée par la suite. Il est en effet possible que les spécialistes du harponnage aient intégré un programme malveillant directement dans des pages Web personnelles.
8. Si vous croyez ou soupçonnez, pour une raison ou une autre, que vos renseignements personnels ont été compromis, avertissez les institutions concernées (c.-à-d. la banque, les sociétés émettrices de carte de crédit, les agences d’évaluation du crédit et les fournisseurs de service) le plus rapidement possible. Si vous croyez qu’il y a eu délit ou tentative de délit, vous devriez également avertir la police. Après avoir prévenu les autorités, vous pouvez également signaler toute activité suspecte à l’une des organisations en ligne indiquées à la section suivante.

Complément d’information

Il y a de nombreuses organisations qui offrent de la documentation à des fins d’éducation et de sensibilisation, des centres de signalement, ainsi que des archives en ligne sur l’hameçonnage et les courriels frauduleux. Entre autres :

1. PhoneBusters (http://www.phonebusters.com; numéro sans frais 1-888-495-8501) est un centre d’appel antifraude national, dirigé conjointement par la Police provinciale de l’Ontario et par la Gendarmerie royale du Canada. Au Canada, PhoneBusters est l’organisme central qui recueille de l’information sur le télémarketing frauduleux, les lettres frauduleuses exigeant la perception préalable de frais (lettres de pays étrangers dans lesquelles l’expéditeur demande de l’aide pour transférer de l’argent) et les plaintes de vol d’identité.
2. Signalement en direct des délits économiques (Centre RECOL; http://www.recol.ca; numéro sans frais 1-888-495-8501) est une initiative à laquelle participent les organismes d’application de la loi provinciaux, fédéraux et internationaux ainsi que les autorités de réglementation et les entreprises du secteur privé qui ont un intérêt légitime pour recevoir une copie des plaintes concernant les délits économiques dans le cadre d’enquêtes. Il est possible d’y signaler une plainte portant sur divers types de délits économiques, entre autres la fraude liée à l’identité, à la perception préalable de frais et aux enchères en ligne.
3. Le Anti-Phishing Working Group (APWG; http://www.antiphishing.org) est une association de l’industrie qui a pour objectif de mettre fin au vol d’identité et à la fraude qui résulte des problèmes croissants d’hameçonnage et de courriels frauduleux. L’organisation offre une tribune pour discuter de l’hameçonnage, des essais et des évaluations de solutions technologiques possibles, et un accès à un répertoire central d’attaques d’hameçonnage. Visitez son site Web (hyperlien ci-dessus) pour obtenir des statistiques et des exemples de courriels hameçons.
4. Le site millersmiles.co.uk (http://www.millersmiles.co.uk), créé en 2003, est une source d’information internationale sur les courriels frauduleux et les escroqueries d’hameçonnage. Il compte une vaste collection d’exemples véridiques, avec les détails et les images des courriels et du pseudo-contenu Web. Notez que millersmiles.co.uk est un partenaire du Anti-Phishing Working Group.
5. L’institut SANS (System Administration, Audit, Network, Security; http://www.sans.org) est une organisation de recherche coopérative et de formation. Elle offre également accès à de nombreuses ressources gratuites, notamment le bulletin Ouch! de SANS, qui montre comment éviter les attaques d’hameçonnage et autres escroqueries, ainsi que les virus et les maliciels, en utilisant en exemple les dernières attaques.

Note : Le fait de mentionner un outil ou un commerçant ne signifie nullement que le Commissariat appuie cet outil ou ce commerçant en particulier. Il s’agit d’exemples seulement.

Mars 2007