Guide d'autodéfense numérique

Dans le même ordre d'idée, l'hameçonnage1 (appelé également filoutage, ou phishing en anglais) consiste à pousser l'internaute à se connecter à un site qui n'est pas celui qu'il croit être, mais qui y ressemble beaucoup. Par exemple, un site qui ressemble comme deux gouttes d'eau à celui d'une banque, afin d’obtenir des mots de passe de connexion à une interface de gestion de comptes bancaires. Pour cela, l'adversaire achète un nom de domaine qu'on croira être le bon au premier coup d'œil. Il ne lui reste plus qu'à inciter la personne ciblée à se connecter à ce site, généralement en lui faisant peur, par exemple « Nous avons détecté une attaque sur votre compte » ou « Vous avez dépassé votre quota », suit alors la proposition de régulariser la situation en cliquant sur le lien piégé.

Pour que le nom de domaine affiché ressemble lui aussi comme deux gouttes d'eau à celui du site copié, il existe plein de techniques : l'adversaire peut par exemple utiliser des caractères spéciaux qui ont l'apparence des caractères de l'alphabet latin. Ainsi, en substituant un « e » cyrillique à un « e » latin dans exemple.org, on obtient une adresse qui s'affiche de façon (quasi) identique à l'originale, mais qui représente pour l'ordinateur une adresse différente ; on trouve parfois aussi des tirets en plus ou en moins (ma-banque.fr au lieu de mabanque.fr) ; il s'agit parfois d'un nom identique, avec un nom de domaine de premier niveau (top-level domain, ou TDL : .com, .net, .org, .fr...) différent (site.com au lieu de site.org) ; certains utilisent aussi des sous-domaines (paypal.phishing.com renvoie vers le site de phishing, et non vers paypal.com), etc.

Une parade intégrée dans les navigateurs web consiste à avertir l'utilisateur du danger et à lui demander une confirmation avant d'accéder au site suspect. Cela dit, cette solution nécessite que le navigateur web contacte une base de données centralisée, recensant les sites considérés comme malveillants, et peut donc poser des problèmes de discrétion : le serveur hébergeant cette liste aura nécessairement connaissance des sites que l'on visite.


  1. Voir à ce sujet Wikipédia, 2014, Hameçonnage, qui explique notamment quelques parades (partielles) à cette attaque.