0899379170 code service 92829 *
informations bancaires darknet

Phishing : les victimes sont aussi coupables d’avoir été piégées

La cour de cassation confirme que si vous êtes des victimes de phishing, c’est de votre faute.

Je vous expliquais, depuis plusieurs mois, que certaines banques ne voulaient plus rembourser leurs clients victimes de phishing. Les entreprises bancaires considèrent que les clients étaient assez informés, aujourd’hui, pour ne plus se faire avoir par un hameçonnage. La justice vient de donner raison aux banques. Par un arrêt du 25 octobre 2017, la Cour de cassation a annulé le jugement du tribunal de Calais. Ce dernier avait ordonné à la Caisse du Crédit Mutuel du Nord de cette ville des Hauts de France de rembourser un client piégé par un phishing.

L’attaque, aux couleurs de SFR, avait réclamé à une cliente du CMN ses informations bancaires. Le pirate s’est empressé de les utiliser. Par deux fois, la victime va recevoir un code 3D Secure qui aurait dû lui mettre la puce à l’oreille. Cette double authentification apparue dans son smartphone aurait dû l’alerter sur un achat en cours qu’elle n’avait pas provoqué.

La cour de cassation considère que la calaisienne n’avait pas pris toutes les précautions pour sécuriser son compte bancaire. Il faut aussi dire que dans son cas, elle n’y a pas été avec le dos de sa carte bancaire en fournissant : login, mot de passe, identité, CVV (le code chiffré derrière la CB et les 3D secure reçus par SMS, …

Mais ne tirons pas sur l’ambulance. Le phishing continue à faire des victimes. Des internautes de bonne fois piégés par les malveillances pirates.

Repérer le phishing

Arrêtons de penser que tout le monde est sur le même pied d’égalité sur le web. Éduquer les plus  fragiles, ne pas hésiter à faire des rappels feront que nous serons tous capables de répondre et de nous défendre face à ce genre d’attaque.

Voici quelques points à retenir pour s’assurer que le courriel que vous venez de recevoir, que le site que vous êtes en train de visiter, sont légitimes et ne vous mettront pas en danger, vous, vos proches, votre entreprise …

Jamais une banque, l’administration fiscale, votre Fournisseur d’Accès à Internet (FAI), votre opérateur téléphonique, ne vous réclameront votre mot de passe, vos données bancaires par courrier électronique. Si cela devait arriver ? NE FOURNISSEZ JAMAIS ces informations sans avoir eu un interlocuteur au téléphone pour connaitre la raison de cette demande ; la finalité de cette réclamation ; la sauvegarde de vos données …

Le courriel

Les phishing sont souvent bourrés de fautes d’orthographe et de grammaire. Ce détail tant à disparaitre. Les pirates se professionnalisent et les kits de phishing reprennent de plus en plus les contenus officiels des opérateurs usurpés. Vous pouvez cependant, dans le courriel, repérer des éléments qui vous alerteront.

D’abord, l’adresse de l’émetteur. Même si ce contrôle peut être aléatoire, le pirate pouvant aussi usurper l’adresse d’une société, une adresse tirée d’un webmail comme gMail, Yahoo!, La Poste, … doit vous mettre la puce à l’oreille.

Le Crédit Mutuel du Nord, BNP-Paribas, FREE, … ne vous contacteront jamais via un gmail.com. Ensuite, l’url proposé dans le courriel. Pas besoin de cliquer dessus. Passez votre souris sur le lien (sans cliquer donc, NDR) et lisez l’information que va afficher votre logiciel de réception de courriel (en bas à gauche).

Comme je vous le montre ci-dessous : les informations ne sont pas identiques ? Il y a un piège ! Attention cependant à un autre détail. Certaines sociétés passent par des services extérieurs transformant l’adresse web officielle en un URL marketing différent de l’original. Dans tous les cas, au moindre doute. Le courriel va à la poubelle !

Le site web

Comme je peux vous le montrer ci-dessous, plusieurs détails doivent vous interroger sur la légitimité du site que vous êtes en train de visiter. Premier détail, est-il en HTTPS ? Pour rappel, le S indique une connexion « Sécurisée ». Attention, justement, à ce détail. Les créateurs de filoutage peuvent utiliser cette indication rassurante. Ce n’est pas parce que le site est en HTTPS que ce dernier est légitime. Il ne fait que chiffrer votre connexion entre lui et vous. Vous trouverez d’ailleurs des explications sur le HTTPS sur le portail de la société HTTPCS.

Ensuite, l’url ! Vérifiez l’adresse. https://www.zataz.com n’est pas za|az.com ; paypal-accounts.com-dataaccountslimit.com/myaccount/ ou encore paypal-update-user.com ne sont pas des adresses Paypal.com ; www.secure-societegenerale-authpass.com n’est bien évidement pas un site de la Société General ; fvceb0ok.yolasite.com n’est pas Facebook.com ; … Préférez bookmarker dans votre navigateur l’adresse web que vous utilisez.

Mieux encore, tapez l’adresse de l’entreprise qui vous contacte directement dans votre navigateur afin de visiter l’espace officiel. Une petite application pour Firefox et Chrome, baptisée Netcraft, peut vous aider à vérifier le site que vous visitez. Prudence aussi aux redirections comme tinyurl.com, bit.ly …

Pour finir, au moindre doute, le courriel va à la poubelle ! Au moindre doute, contactez par téléphone l’entreprise qui vous a « contacté ». Au moindre doute, alertez votre entourage.

Au sujet de l'auteur

Damien Bancal – Fondateur de ZATAZ – Journaliste – Spécialiste des sujets liés à la Cyber Sécurité depuis plus de 20 ans. Premier article en 1989 dans le mensuel « Amstar & CPC ». Fondateur de ZATAZ, ZATAZWEB.tv & datasecuritybreach.fr. Officie/a officié dans de nombreux journaux et magazines (Europe 2, 01net, La Voix du Nord, Tilt, Entrevue, l’Echo des Savanes, Le Canard Enchaîné, France 3, …). Auteurs et coauteurs de 6 livres dont « Pirates & hackers sur Internet » (Ed. Desmart) ; « Hacker, le 5ème pouvoir » (Ed. Maxima). Intervenant pour la Licence professionnelle Collaborateur pour la Défense et l’Anti-Intrusion des Systèmes Informatiques (CDAISI) de l’Université de Valenciennes ; pour l’Ecole Européenne de Guerre Economique de Versailles. Réserviste Cyber Défense.

Articles connexes

  1. Steph Reply

    Juste une remarque à propos de l’orthographe/grammaire, non seulement effectivement les pirates s’améliorent (enfin les correcteurs linguistiques) mais aussi les lecteurs ne sont pas forcément plus doués dans ce domaine et donc dans l’incapacité de détecter ce défaut.

    • Damien Bancal Reply

      Effectivement, comme le rédacteur de cet article d’ailleurs [moi] qui devrait se relire avant de publier 🙂

  2. Hervé Reply

    Bonjour Damien,
    cela prouve encore une fois que la sensibilisation et l’éducation des utilisateurs sont indispensables. Le comportement de chacun représente la première ligne de défense …

  3. Michel SERRES Reply

    La première ligne de défense devrait être le fournisseur d’accès internet qui devrait être en mesure d’analyser le soit disant expéditeur du mail et l’expéditeur réel et ainsi bloquer les mails avant réception par leur client. C’est un peu facile de ne vouloir responsabiliser que l’utilisateur alors que malheureusement on encourage voir on oblige petit à petit tout le monde à utiliser internet pour les déclarations et les paiements des abonnements, des impôts, …etc alors qu’on sait très bien que nous n’avons pas tous le même niveau « d’instruction, d’intelligence » pour déjouer les pièges.
    C’était à prévoir tant que les utilisateurs d’internet qui payaient en ligne étaient peu nombreux les banques prenaient en charge ces escroqueries pour ne pas faire peur aux clients et développer les transactions internet, maintenant que même l’état oblige les gens à utiliser internet et à payer en ligne il ne sera plus question de couvrir les agissements frauduleux de certains, les gens n’ayant pas le choix que de continuer d’utiliser internet.

Laisser un commentaire

*